风险评估-应用基线检查标准.docx

应用基线检查标准 编号 编制 审核 批准 密级 发布日期 变更记录 版本 修订时间 修订人 修订类型 修订章节 修订内容 ★修订类型分为：A-ADDED，M-MODIFIED，D-DELETED 注：对该文件内容增加、删除或修改均需填写此记录，详细记载变更信息，以保证其可追溯性 Apache基线检查标准 ip 名称 结果 加固方案 是否整改 以专门的用户帐号和组运行 Apache 1、根据需要为Apache 创建用户、组2、参考配置操作如果没有设置用户和组，则新建用户，并在 Apache 配置文件中指定(1) 创建apache 组：groupadd apache(2) 创建apache 用户并加入apache 组：useradd apache –g apache(3) 将下面两行加入Apache 配置文件httpd.conf 中User apacheGroup apache2、补充操作说明1、根据不同用户，取不同的名称。2、为用户设置适当的家目录和shell。 严格控制Apache 主目录的访问权限，非超级用户不能修改该目录中的内容 1、参考配置操作Apache 的主目录对应于Apache Server配置文件httpd.conf 的Server Root控制项中，应为：Server Root /usr/local/apache 严格设置配置文件和日志文件的权限，防止未授权访问 1、参考配置操作：使用命令“chmod 600 /etc/httpd/conf/httpd.conf”设置配置文件为属主可读写，其他用户无权限使用命令“chmod 644 /var/log/httpd/*.log”设置日志文件为属主可读写，其他用户只读权限 设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP 地址等内容。 1、参考配置操作编辑 httpd.conf 配置文件，设置日志记录文件、记录内容、记录格式。其中，错误日志：LogLevel notice #日志的级别ErrorLog /.../logs/error_log #日志的保存位置（错误日志）访问日志：LogFormat "%h %l %u %t \"%r\" %>s %b "%{Accept}i\"\"%{Referer}i\" \"%{User-Agent}i\"" combinedCustomLog /.../logs/access_log combined （访问日志）ErrorLog 指令设置错误日志文件名和位置。错误日志是最重要的日志文件，Apache httpd 将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到Syslog，则设置：ErrorLog syslog。CustomLog 指令指定了保存日志文件的具体位置以及日志的格式。访问日志中会记录服务器所处理的所有请求。LogFormat 设置日志格式，建议设置为combined 格式。LogLevel用于调整记录在错误日志中的信息的详细程度，建议设置为notice。 禁止 Apache 访问Web 目录之外的任何文件 1、参考配置操作编辑 httpd.conf 配置文件，<Directory />Order Deny,AllowDeny from all</Directory>2、补充操作说明设置可访问目录，<Directory /web>Order Allow,DenyAllow from all</Directory>其中/web 为网站根目录。 禁止 Apache 列表显示文件 1、参考配置操作(1) 编辑httpd.conf 配置文件，<Directory "/web">Options Indexes FollowSymLinks #删掉IndexesAllowOverride NoneOrder allow,denyAllow from all</Directory>将Options Indexes FollowSymLinks 中的Indexes 去掉，就可以禁止Apache 显示该目录结构。Indexes 的作用就是当该目录下没有 index.html 文件时，就显示目录结构。(2)重新启动Apache 服务 Apache 错误页面重定向 1、参考配置操作(1) 修改httpd.conf 配置文件：ErrorDocument 400 /custom400.htmlErrorDocument 401 /custom401.htmlErrorDocument 403 /custom403.htmlErrorDocument 404 /cu