收藏
下载资源

中国移动WEB服务器安全配置手册

上传人:汽*** 文档编号:493242814 上传时间:2023-06-25 格式:DOC 页数:40 大小:202.01KB
返回 下载 相关 举报
中国移动WEB服务器安全配置手册_第1页
第1页 / 共40页
中国移动WEB服务器安全配置手册_第2页
第2页 / 共40页
中国移动WEB服务器安全配置手册_第3页
第3页 / 共40页
中国移动WEB服务器安全配置手册_第4页
第4页 / 共40页
中国移动WEB服务器安全配置手册_第5页
第5页 / 共40页
点击查看更多>>
资源描述

《中国移动WEB服务器安全配置手册》由会员分享,可在线阅读,更多相关《中国移动WEB服务器安全配置手册(40页珍藏版)》请在金锄头文库上搜索。

1、密 级:文档编号:项目代号:中国移动WEB服务器安全配置手册Version 1.0中国移动通信有限公司二零零四年十二月拟 制:审 核:批 准:会 签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人,负责对本文档进行标准化审核4读取5读取目录第1章.目的6第2章.范围6第3章.WEB服务安全加固原则73.1.Web主机平台安全设置73.1.1.主机安全标准加固规范73.1.2.用户权限设置73.1.3.事件日志设置73.1.4.关闭非必要的服务和程序73.2.W

2、eb服务安全设置83.2.1.Web系统资源保护83.2.2.Web服务权限设置83.2.3.Web服务访问控制83.2.4.机密信息保护83.2.5.日志设置93.2.6.去除不必要的服务脚本9第4章.IIS WEB服务安全配置建议104.1.审核策略设置104.2.用户权限分配104.2.1.拒绝通过网络访问该计算机104.3.安全选项114.4.事件日志设置114.5.系统服务114.5.1.HTTP SSL124.5.2.IIS Admin 服务124.5.3.万维网发布服务134.6.其它安全设置134.6.1.仅安装必要的 IIS 组件144.6.2.仅启用必要的 Web 服务扩展

3、144.6.3.在专用磁盘卷中放置内容154.6.4.设置 NTFS 权限154.6.5.设置 IIS Web 站点权限164.6.6.配置 IIS 日志174.6.7.向用户权限分配手动添加唯一的安全组194.6.8.保护众所周知帐户的安全194.6.9.保护服务帐户的安全204.6.10.用 IPSec 过滤器阻断端口204.7.参考材料22第5章.APACHE WEB服务安全配置建议245.1.审核策略设置245.2.用户权限分配245.2.1.拒绝通过网络访问该计算机245.3.安全选项265.3.1.绝对不要以 root 身份执行守护程序265.3.2.次序的规则265.3.3.符号

4、连结275.3.4.Apache 下的索引275.4.事件日志设置285.5.系统服务285.5.1.HTTP SSL285.6.其它安全设置315.6.1.升级到最新的版本315.6.2.建立 Chroot 环境325.7.参考材料39第1章. 目的本文的目标是为中移动企业范围内的Web服务应用提供安全配置的规范建议。Web应用服务是互联网WWW应用的重要基础,在中国移动企业范围内安装和使用了大量的各种Web服务应用。为了提高中国移动企业Web服务的安全性,降低由于Web服务配置不规范而造成的安全风险,特针对中国移动企业的重要典型Web服务提出了规范的配置安全加固建议。第2章. 范围本文针对

5、通用的HTTP Web服务器的主机平台安全配置、HTTP服务安全配置提出了规范加固的要求。并且对典型的HTTP Web服务应用提出了具体的安全配置建议,如Microsoft IIS Web服务、Apache Web服务。Web服务器的加固方法包括了两个层面的工作,这就是平台安全配置和HTTP Web服务安全配置。首先,作为接受广泛用户网络访问的Web应用服务器,必须设置成为安全的堡垒主机,按照主机平台加固规范对Web服务器平台的操作系统进行安全设置,关闭所有非必要的网络服务、应用程序和系统组件等;其次,对于HTTP Web服务进行安全设置,包括服务资源权限设置、用户帐号设置、远程管理安全设置、

6、日志设置等。第3章. Web服务安全加固原则3.1. Web主机平台安全设置3.1.1. 主机安全标准加固规范必须对Web服务器主机平台进行规范的安全加固,参照中国移动操作系统安全配置手册建立安全可靠的Web应用服务的主机运行环境。此外,必须针对Web应用服务的特点进行安全设置。3.1.2. 用户权限设置清晰的区分并定义主机管理员、Web应用服务管理员以及Web应用开发人员的帐号,并明确的定义其访问Web应用服务器的方式。禁止普通用户通过网络登陆到主机系统。3.1.3. 事件日志设置主机系统日志应记录Web应用服务的启动、关闭等操作,以及主机管理员、Web应用服务管理员、和应用开发人员的行为等

7、。事件日志应保存在安全保护的目录或者其它的安全主机系统中。3.1.4. 关闭非必要的服务和程序主机系统应关闭所有非必要的服务,例如SMTP、FTP、DNS等。如果需要使用网络服务,如FTP协助Web服务内容管理,必须严格按照FTP服务器加固规范进行安全设置,并且严格限制用户权限。删除所有非必要的系统组件、应用程序,如C编译程序等。3.2. Web服务安全设置3.2.1. Web系统资源保护Web系统资源是指Web服务的所在目录和文件。Web系统资源应该安装在独立的目录或者文件系统中。这些Web系统资源应该属于Web管理员拥有。根据需要,严格控制其它用户对这些资源的访问。严格禁止普通用户对Web

8、系统资源的访问。3.2.2. Web服务权限设置此项是限制Web服务程序对于系统资源的访问权限。目的是防止Web服务程序对系统机密信息的读写操作,从而造成对信息的泄漏或者破坏。对于Web服务ID方式的系统,应严格限制Web服务ID其拥有系统管理员的权限,禁止其拥有非必要的系统特权;限制其所能访问的目录,根据需要,控制其资源的读权限;禁止对Document Root以及其它系统目录的写权限。而对Document Root以及其下的目录,亦应限制除Web服务ID使用者外,其余用户均不具列出目录内所有档案之权限。对于Web服务程序方式的系统,严格控制Web服务程序对系统目录和文件的执行、读写权限。3

9、.2.3. Web服务访问控制Web服务系统提供配置文件对访问用户进行限制。Web服务的缺省配置一般不做任何的用户访问限制,允许来自所有地址范围的访问。建议根据业务需要,屏蔽或者允许指定地址范围的用户访问。3.2.4. 机密信息保护Web系统必须具备SSL的安全加密机制。如果Web服务器具有机密的信息内容,为了保护机密信息的传输安全,必须在Web系统中配置SSL V2.0 128位加密功能,这能够有效保护用户客户端与Web服务器之间的数据安全传输,防止信息网络窃取。3.2.5. 日志设置Web系统必须定义Web活动日志,记录Web Server的活动。Web系统的日志目录和文件属于Web系统资

10、源必须严格访问权限。日志必须保存指定时间,以备系统审计和安全分析之用。3.2.6. 去除不必要的服务脚本检查Web系统使用的服务脚本,如CGI,Perl等。去除Web系统中与业务应用无关的各种服务脚本。避免未经检验的服务脚本的引入而增加Web系统安全风险。另外,对于正式上线的Web服务器,亦应移除所有相关的支持档案与范例档案,以避免恶意人员利用范例档案入侵。第4章. IIS Web服务安全配置建议4.1. 审核策略设置在本手册定义的三种环境下,IIS 服务器的审核策略设置通过 MSBP 来配置。有关 MSBP 的详细信息,请参阅Windows 2000/2003安全配置手册中建立服务器安全基准

11、部分。MSBP 设置可确保所有相关的安全审核信息都记录在所有的 IIS 服务器上。4.2. 用户权限分配本手册中定义的三种环境中的 IIS 服务器的大多数用户权限分配都是通过 MSBP 配置的。有关 MSBP 的详细信息,请参阅Windows 2000/2003安全配置手册中建立服务器安全基准部分。4.2.1. 拒绝通过网络访问该计算机表 1:设置成员服务器默认值旧客户端企业客户端高安全性SUPPORT_388945a0匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作

12、系统服务帐户匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户注意:安全模板中不包含匿名登录、内置管理员帐户、Support_388945a0、Guest 和所有非操作系统服务帐户。对于组织中的每个域,这些帐户和组拥有唯一的安全标识 (SID)。因此,必须手动添加它们。“拒绝通过网络访问该计算机”设置决定了哪些用户不能通过网络访问该计算机。这些设置将拒绝大量的网络协议,包括服务器消息块 (SMB) 协议、网络基本输入/输出系统 (NetBIOS)、通用 Internet 文件系统 (CIFS)、超文本传输协议 (HTTP) 和组件对象模型 (COM+

13、)。当用户帐户同时适用两种策略时,该设置将覆盖“允许通过网络访问该计算机”设置。通过给其它组配置该用户权限,您可以限制用户在您的环境中执行委托管理任务的能力。在建立服务器安全基准中,本手册建议将 Guests 组包含在被分配了该权限的用户和组列表中,以提供最大可能的安全性。但是,用于匿名访问 IIS 的 IUSR 帐户被默认为 Guests 组的成员。本手册建议从增量式 IIS 组策略中清除 Guests 组,以确保必要时可配置对 IIS 服务器的匿名访问。因此,在本手册所定义的全部三种环境下,我们针对 IIS 服务器将“拒绝通过网络访问该计算机”设置配置为包括:匿名登录、内置管理员、Supp

14、ort_388945a0、Guest 以及所有非操作系统服务帐户。4.3. 安全选项在本手册所的定义的三种环境中,IIS 服务器的安全选项通过 MSBP 来配置。有关 MSBP 的详细信息,请参阅Windows 2000/2003安全配置手册中建立服务器安全基准部分。MSBP设置确保了在企业IIS服务器中统一配置正确的事件日志设置。4.4. 事件日志设置在本手册中定义的三种环境中,IIS 服务器的事件日志设置通过 MSBP 来配置。有关 MSBP 的详细信息,请参阅请参阅Windows 2000/2003安全配置手册中建立服务器安全基准部分。MSBP 设置确保了在企业 IIS 服务器中统一配置正确的事件日志设置。4.5. 系统服务为了让 IIS 向 Windows Server 2003 中添加 Web 服务器功能,则必须启用以下三种服务。增量式 IIS 组策略确保了这些服务被配置为自动启动。注意:MSBP 禁用了几种其它的 IIS 相关服务。FTP、SMTP 和 NNTP 就是 MSBP 所禁用的一些服务。如果想要在本手册所定义的任何一种环境下的 IIS 服务器上启用这些服务,必须更改增量式 IIS 组策略。4.5.1. HTTP SSL表 2:设置服务名成员服务器默认值旧客户端企业客户端高安全性HTTPFilter手动自

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 机械/制造/汽车 > 汽车技术

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号