apache安全配置基线

《apache安全配置基线》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、Apache安全配置基线Apache安全配置基线中国移动通信有限公司管理信息系统部2009年03月中国移动通信有限公司-2-Apache安全配置基线版本版本控制信息更新日期更新人审批人V1.0创建2009年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。中国移动通信有限公司-2-Apache安全配置基线目录第1章概述11.1目的11.2适用范围11.3适用版本11.4实施11.5例外条款1第2章日志配置操作22.1日志配置22.1.1审核登录2第3章设备其他配置操作33.1访问权限33.1.1禁止访问外部文件33.2防攻击管理33.2.1错误页

2、面处理43.2.2目录列表访问限制43.2.3拒绝服务防范53.2.4删除无用文件53.2.5隐藏敏感信息6第4章评审与修订7中国移动集团公司-3-Apache安全配置基线第1章概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的Apache服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Apache服务器的安全配置。1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的Apache服务器系统。1.3适用版本2.0.x、2.2.x版本的Apache

3、服务器。1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。中国移动通信有限公司第7页共10页Apache安全配置基线第1章日志配置操作1.1日志配置1.1.1审核登录安全基线项目名称Apache审核登录策略安全基线要求项安全基线编号SBL-Apache-02-01-01安全基线项说明设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括时间，用户使

4、用的IP地址等内容。检测操作步骤1、参考配置操作编辑httpd.conf配置文件，设置日志记录文件、记录内容、记录格式。LogLevelnoticeErrorLoglogs/error_logLogFormat"%h%l%u%t"%r"%>s%b"%{Accept}i""%{Referer}i""%{User-Agent}i""combinedCustomLoglogs/access_logcombinedErrorLog指令设置错误日志文件名和位置。错误日志是最重要的日志文件，Apachehttpd将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志

5、送到Syslog，则设置：ErrorLogsyslog。CustomLog指令设置访问日志的文件名和位置。访问日志中会记录服务器所处理的所有请求。LogFormat设置日志格式。LogLevel用于调整记录在错误日志中的信息的详细程度，建议设置为notice。基线符合性判定依据1、判定条件查看logs目录中相关日志文件内容，记录完整。2、检测操作查看相关日志记录。3、补充说明备注中国移动通信有限公司第7页共10页Apache安全配置基线第1章设备其他配置操作1.1访问权限1.1.1禁止访问外部文件安全基线项目名称Apache目录访问权限安全基线要求项安全基线编号SBL-Apach

6、e-03-01-01安全基线项说明禁止Apache访问Web目录之外的任何文件。检测操作步骤1、参考配置操作编辑httpd.conf配置文件，OrderDeny,AllowDenyfromall2、补充操作说明设置可访问目录，OrderAllow,DenyAllowfromall其中/web为网站根目录。基线符合性判定依据1、判定条件无法访问Web目录之外的文件。2、检测操作访问服务器上不属于Web目录的一个文件，结果应无法显示。3、补充说明备注1.2防攻击管理中国移动通信有限公

7、司第7页共10页Apache安全配置基线1.1.1错误页面处理安全基线项目名称Apache错误页面安全基线要求项安全基线编号SBL-Apache-03-02-01安全基线项说明Apache错误页面重定向检测操作步骤1、参考配置操作(1)修改httpd.conf配置文件：ErrorDocument400/custom400.htmlErrorDocument401/custom401.htmlErrorDocument403/custom403.htmlErrorDocument4