中国移动WEB服务器安全配置手册

中国移动WEB服务器安全配置手册第1页共40页密级：文档编号：项目代号：中国移动WEB服务器安全配置手册Version1.0中国移动通信有限公司二零零四年十二月中国移动WEB服务器安全配置手册第2页共40页拟制:审核:批准:会签:标准化:中国移动WEB服务器安全配置手册第3页共40页版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人，负责对本文档进行标准化审核4读取5读取中国移动WEB服务器安全配置手册第4页共40页目录第1章.目的................................................................6第2章.范围................................................................6第3章.WEB服务安全加固原则.................................................73.1.WEB主机平台安全设置.....................................................73.1.1.主机安全标准加固规范...........................................73.1.2.用户权限设置...................................................73.1.3.事件日志设置...................................................73.1.4.关闭非必要的服务和程序.........................................73.2.WEB服务安全设置.........................................................83.2.1.Web系统资源保护...............................................83.2.2.Web服务权限设置...............................................83.2.3.Web服务访问控制...............................................83.2.4.机密信息保护...................................................83.2.5.日志设置.......................................................93.2.6.去除不必要的服务脚本...........................................9第4章.IISWEB服务安全配置建议............................................104.1.审核策略设置...........................................................104.2.用户权限分配...........................................................104.2.1.拒绝通过网络访问该计算机......................................104.3.安全选项...............................................................114.4.事件日志设置...........................................................114.5.系统服务...............................................................114.5.1.HTTPSSL......................................................124.5.2.IISAdmin服务................................................124.5.3.万维网发布服务................................................134.6.其它安全设置...........................................................134.6.1.仅安装必要的IIS组件.........................................144.6.2.仅启用必要的Web服务扩展.....................................144.6.3.在专用磁盘卷中放置内容........................................154.6.4.设置NTFS权限................................................154.6.5.设置IISWeb站点权限.........................................164.6.6.配置IIS日志.................................................174.6.7.向用户权限分配手动添加唯一的安全组............................194.6.8.保护众所周知帐户的安全........................................194.6.9.保护服务帐户的安全............................................204.6.10.用IPSec过滤器阻断端口.......................................204.7.参考材料...............................................................22第5章.APACHEWEB服务安全配置建议.........................................245.1.审核策略设置...........................................................24中国移动WEB服务器安全配置手册第5页共40页5.2.用户权限分配...........................................................245.2.1.拒绝通过网络访问该计算机......................................245.3.安全选项...............................................................265.3.1.绝对不要以root身份执行守护程序..............................265.3.2.次序的规则....................................................265.3.3.符号连结......................................................275.3.4.Apache下的索引...............................................275.4.事件日志设置...........................................................285.5.系统服务...............................................................285.5.1.HTTPSSL......................................................285.6.其它安全设置...........................................................315.6.1.升级到最新的版本..............................................315.6.2.建立Chroot环境..............................................325.7.参考材料...............................................................39中国移动WEB服务器安全配置手册第6页共40页第1章.目的本文的目标是为中移动企业范围内的Web服务应用提供安全配置的规范建议。Web应用服务是互联网应用的重要基础，在中国移动企业范围内安装和使用了大量的各种Web服务应用。为了提高中国移动企业Web服务的安全性，降低由于Web服务配置不规范而造成的安全风险，特针对中国移动企业的重要典型Web服务提出了规范的配置安全加固建议。第2章.范围本文针对通用的HTTPWeb服务器的主机平台安全配置、HTTP服务安全配置提出了规范加固的要求。并且对典型的HTTPWeb服务应用提出了具体的安全配置建议，如MicrosoftIISWeb服务、ApacheWeb服务。Web服务器的加固方法包括了两个层面的工作，这就是平台安全配置和HTTPWeb服务安全配置。首先，作为接受广泛用户网络访问的Web应用服务器，必须设置成为安全的堡垒主机，按照主机平台加固规范对Web服务器平台的操作系统进行安全设置，关闭所有非必要的网络服务、应用程序和系统组件等；其次，对于HTTPWeb服务进行安全设置，包括服务资源权限设置、用户帐号设置、远程管理安全设置、日志设置等。中国移动WEB服务器安全配置手册第7页共40页第3章.Web服务安全加固原则3.1.Web主机平台安全设置3.1.1.主机安全标准加固规范必须对Web服务器主机平台进行规范的安全加固，参照《中国移动操作系统安全配置手册》建立安全可靠的Web应用服务的主机运行环境。此外，必须针对Web应用服务的特点进行安全设置。3.1.2.用户权限设置清晰的区分并定义主机管理员、Web应用服务管理员以及Web应用开发人员的帐号，并明确的定义其访问Web应用服务器的方式。禁止普通用户通过网络登陆到主机系统。3.1.3.事件日志设置主机系统日志应记录Web应用服务的启动、关闭等操作，以及主机管理员、Web应用服务管理员、和应用开发人员的行为等。事件日志应保存在安全保护的目录或者其它的安全主机系统中。3.1.4.关闭非必要的服务和程序主机系统应关闭所有非必要的服务，例如SMTP、FTP、DNS等。如果需要使用网络服务，如FTP协助Web服务内容管理，必须严格按照FTP服务器加固规范进行安全设置，并且严格限制用户权限。删除所有非必要的系统组件、应用程序，如C编译程序等。中国移动WEB服务器安全配置手册第8页共40页3.2.Web服务安全设置3.2.1.Web系统资源保护Web系统资源是指Web服务的所在目录和文件。Web系统资源应该安装在独立的目录或者文件系统中。这些Web系统资源应该属于Web管理员拥有。根据需要，严格控制其它用户对这些资源的访问。严格禁止普通用户对Web系统资源的访问。3.2.2.Web服务权限设置此项是限制Web服务程序对于系统资源的访问权限。目的是防止Web服务程序对系统机密信息的读写操作，从而造成对信息的泄漏或者破坏。对于Web服务ID方式的系统