中國移动WEB服务器安全配置手册.docVIP

密 级： 文档编号： 项目代号： 中国移动WEB服务器 安全配置手册 Version 1.0 中国移动通信有限公司 二零零四年十二月  拟 制: 审 核: 批 准: 会 签: 标准化: 版本控制 版本号 日期 参与人员 更新说明 分发控制 编号 读者 文档权限 与文档的主要关系 1 创建、修改、读取 负责编制、修改、审核 2 批准 负责本文档的批准程序 3 标准化审核 作为本项目的标准化负责人，负责对本文档进行标准化审核 4 读取 5 读取 目录 第1章. 目的 6 第2章. 范围 6 第3章. Web服务安全加固原则 7 3.1. Web主机平台安全设置 7 3.1.1. 主机安全标准加固规范 7 3.1.2. 用户权限设置 7 3.1.3. 事件日志设置 7 3.1.4. 关闭非必要的服务和程序 7 3.2. Web服务安全设置 8 3.2.1. Web系统资源保护 8 3.2.2. Web服务权限设置 8 3.2.3. Web服务访问控制 8 3.2.4. 机密信息保护 8 3.2.5. 日志设置 9 3.2.6. 去除不必要的服务脚本 9 第4章. IIS Web服务安全配置建议 10 4.1. 审核策略设置 10 4.2. 用户权限分配 10 4.2.1. 拒绝通过网络访问该计算机 10 4.3. 安全选项 11 4.4. 事件日志设置 11 4.5. 系统服务 11 4.5.1. HTTP SSL 12 4.5.2. IIS Admin 服务 12 4.5.3. 万维网发布服务 13 4.6. 其它安全设置 13 4.6.1. 仅安装必要的 IIS 组件 14 4.6.2. 仅启用必要的 Web 服务扩展 14 4.6.3. 在专用磁盘卷中放置内容 15 4.6.4. 设置 NTFS 权限 15 4.6.5. 设置 IIS Web 站点权限 16 4.6.6. 配置 IIS 日志 17 4.6.7. 向用户权限分配手动添加唯一的安全组 19 4.6.8. 保护众所周知帐户的安全 19 4.6.9. 保护服务帐户的安全 20 4.6.10. 用 IPSec 过滤器阻断端口 20 4.7. 参考材料 22 第5章. Apache Web服务安全配置建议 24 5.1. 审核策略设置 24 5.2. 用户权限分配 24 5.2.1. 拒绝通过网络访问该计算机 24 5.3. 安全选项 26 5.3.1. 绝对不要以 root 身份执行守护程序 26 5.3.2. 次序的规则 26 5.3.3. 符号连结 27 5.3.4. Apache 下的索引 27 5.4. 事件日志设置 28 5.5. 系统服务 28 5.5.1. HTTP SSL 28 5.6. 其它安全设置 31 5.6.1. 升级到最新的版本 31 5.6.2. 建立 Chroot 环境 32 5.7. 参考材料 39  目的 本文的目标是为中移动企业范围内的WebWeb应用服务是互联网WWW应用的重要基础，在中国移动企业范围内安装和使用了大量的各种Web服务应用。为了提高中国移动企业Web服务的安全性，降低由于Web服务配置不规范而造成的安全风险，特针对中国移动企业的重要典型Web服务提出了规范的配置安全加固建议。 范围 本文针对通用的HTTP Web服务器的主机平台安全配置、HTTP服务安全配置提出了规范加固的要求。并且对典型的HTTP Web服务应用提出了具体的安全配置建议，如Microsoft IIS Web服务、Apache Web服务。 Web服务器的加固方法包括了两个层面的工作，这就是平台安全配置和HTTP Web服务安全配置。首先，作为接受广泛用户网络访问的Web应用服务器，必须设置成为安全的堡垒主机，按照主机平台加固规范对Web服务器平台的操作系统进行安全设置，关闭所有非必要的网络服务、应用程序和系统组件等；其次，对于HTTP Web服务进行安全设置，包括服务资源权限设置、用户帐号设置、远程管理安全设置、日志设置等。 Web服务安全加固原则 Web主机平台安全设置 主机安全标准加固规范 必须对Web服务器主机平台进行规范的安全加固，参照《中国移动操作系统安全配置手册》建立安全可靠的Web应用服务的主机运行环境。此外，必须针对Web应用服务的特点进行安全设置。 用户权限设置 清晰的区分并定义主机管理员、Web应用服务管理员以及Web应用开发人员的帐号，并明确的定义其访问Web应用服务器的方式。禁止普通用户通过网络登陆到主机系统。 事件日志设置 主机系统日志应记录Web应用服务的启动