中间件基本加固方案.doc

1、技 术 文 件技术文件名称：中间件基本加固方案技术文件编号：版 本：V1.2文件质量等级：共 11 页(包括封面)拟 制 审 核 会 签 标准化 批 准 中兴通讯股份有限公司内部公开本文所有信息为中兴通讯股份有限公司内部信息，未经允许，不得外传 第 2 页，共 11 页修改记录文件编号 版本号 拟制人/修改人 拟制/ 修改日期 更改理由 主要更改内容（写要点即可）1.0 王华刚 2009/05/18 无 无1.1 王华刚 2009/06/15 配置编号 配置加固项编号1.1.1 王华刚 2009/07/03 更新配置编号 更新配置加固项编号1.2 王华刚 2009-11-27 增加内容 增加

2、APACHE 加固项，并增加回退项注 1：每次更改归档文件（指归档到事业部或公司档案室的文件）时，需填写此表。注 2：文件第一次归档时， “更改理由” 、 “主要更改内容”栏写“无” 。内部公开本文所有信息为中兴通讯股份有限公司内部信息，未经允许，不得外传 第 3 页，共 11 页中间件基本加固方案目录(包括封面) .1修改记录 .21 概述 .4内部适用性说明 .4外部引用说明 .4术语和定义 .4符号和缩略语 .42 中间件安全配置操作指导 .52.1 MID-TOMCAT Tomcat .52.1.1 ZTE-MID-TOMCAT-EH01 修改 8005 端口密码 .52.1.2 ZT

3、E-MID-TOMCAT-EH02 删除管理应用 .52.1.3 ZTE-MID-TOMCAT-EL03 设置访问日志（可选） .52.1.4 ZTE-MID-TOMCAT-EM04 屏蔽列出目录 .62.2 ZTE-MID-APACHE Apache.62.2.1 ZTE-MID-APACHE-EH01 以专门的用户帐号和组运行 Apache.62.2.2 ZTE-MID-APACHE-EH02 配置 Apache 系统日志 .72.2.3 ZTE-MID-APACHE-EH03 禁止 Apache 访问 Web 目录之外的任何文件 .72.2.4 ZTE-MID-APACHE-EL04 限

4、制 http 请求的消息主体的大小 .82.2.5 ZTE-MID-APACHE-EL05 更改 Apache 默认端口 .82.2.6 ZTE-MID-APACHE-EM06 Apache 错误页面重定向 .82.2.7 ZTE-MID-APACHE-EH07 禁止 Apache 列表显示文件 .92.2.8 ZTE-MID-APACHE-EM08 防范拒绝服务攻击 .92.2.9 ZTE-MID-APACHE-EL09 删除缺省安装的无用文件 .102.2.10 ZTE-MID-APACHE-EL10 隐藏 Apache 的版本号及其它敏感信息 .102.3 ZTE-MID-IIS IIS

5、.11内部公开本文所有信息为中兴通讯股份有限公司内部信息，未经允许，不得外传 第 4 页，共 11 页中间件基本加固方案1 概述内部适用性说明本规范是在业务研究院网络安全规范中各项要求的基础上，提出中间件安全配置指南，针对通用规范中所列的配置要求，给出了在 Tomcat、Apache 和 IIS 上的具体配置方法和检测方法。外部引用说明中国移动设备通用安全功能和配置规范术语和定义符号和缩略语缩写 英文描述 中文描述本文件中的字体标识如下：蓝色斜体 在具体执行时需要替换的内容检查/加固项编码意义如下：公司名称-操作系统-条目性质 风险级别 数字编号-小项数字编号条目性质中：S 意为检查；E 意为

6、加固风险级别中：H 意为高风险； M 意为中等风险；L 意为低风险，风险级别仅存于具体条目中注意，各操作系统版本和特定现场的 apache、tomcat 安装位置不同，在此不描述配置文件的安装位置。内部公开本文所有信息为中兴通讯股份有限公司内部信息，未经允许，不得外传 第 5 页，共 11 页2 中间件安全配置操作指导2.1 MID-TOMCAT Tomcat2.1.1 ZTE-MID-TOMCAT-EH01 修改 8005 端口密码备份操作：备份 server.xml 文件加固操作：检查 server.xml 文件，server.xml 默认有下面一行：修改为注意 newpassword 为

7、新密码，需要满足 8 位，至少 2 个特殊字符等强密码要求重新启动 tomcat回退操作：恢复原 server.xml 文件，重新启动 tomcat2.1.2 ZTE-MID-TOMCAT-EH02 删除管理应用备份操作：备份Tomcat 安装目录serverwebapps 目录下的 admin 和 manager 两个应用加固操作：Tomcat 管理台的应用文件，默认在Tomcat 安装目录serverwebapps 下，有 admin 和manager 两个应用，将这两个目录删除。回退操作：将备份的 admin 和 manager 两个应用恢复到原目录下2.1.3 ZTE-MID-TOMC

8、AT-EL03 设置访问日志（可选）备份操作：备份 server.xml 文件加固操作：修改 server.xml 配置文件：原配置：修改为：进行此项配置后，日志文件增加会很快，请项目注意解决日志问题定期清理。重新启动 tomcat。回退操作：恢复原 server.xml 文件，重新启动 tomcat2.1.4 ZTE-MID-TOMCAT-EM04 屏蔽列出目录备份操作：备份 conf/web.xml 文件加固操作：修改 conf/web.xml 文件将listingstrue修改为listingsfalse 重新启动 tomcat回退操作：恢复原 conf/web.xml 文件，重新启动

9、tomcat2.2 ZTE-MID-APACHE Apache2.2.1 ZTE-MID-APACHE-EH01 以专门的用户帐号和组运行 Apache备份操作：备份 httpd.conf 配置文件加固操作：内部公开本文所有信息为中兴通讯股份有限公司内部信息，未经允许，不得外传 第 7 页，共 11 页创建 apache 用户和 apachegroup 组，apache 用户的主组为 apachegroup，具体命令请参考相关操作系统加固文档修改 httpd.conf 配置文件，添加如下语句：User apache Group apachegroup其中 apache、apachegroup

10、分别为前面为 Apache 创建的用户和组。重新启动 Apache 服务回退操作：恢复 httpd.conf 文件，重新启动 Apache 服务2.2.2 ZTE-MID-APACHE-EH02 配置 Apache 系统日志备份操作：备份 httpd.conf 配置文件加固操作：编辑 httpd.conf 配置文件，设置日志记录文件、记录内容、记录格式。LogLevel notice ErrorLog logs/error_log LogFormat “%h %l %u %t “%r“ %s %b “%Accepti“ “%Refereri“ “%User-Agenti“ combined C

11、ustomLog logs/access_log combinedErrorLog 指令设置错误日志文件名和位置。错误日志是最重要的日志文件， Apache httpd将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到 Syslog，则设置：ErrorLog syslog。CustomLog 指令设置访问日志的文件名和位置。访问日志中会记录服务器所处理的所有请求。LogFormat 设置日志格式。 LogLevel 用于调整记录在错误日志中的信息的详细程度，建议设置为 notice。重新启动 Apache 服务回退操作：恢复 httpd.conf 文件，重新启动 Apache

12、 服务2.2.3 ZTE-MID-APACHE-EH03 禁止 Apache 访问 Web 目录之外的任何文件备份操作：备份 httpd.conf 配置文件加固操作：编辑 httpd.conf 配置文件，Order Deny,Allow 内部公开本文所有信息为中兴通讯股份有限公司内部信息，未经允许，不得外传 第 8 页，共 11 页Deny from all 设置可访问目录，Order Allow,Deny Allow from all 其中/web 为网站根目录。回退操作：恢复 httpd.conf 文件，重新启动 Apache 服务2.2.4 ZTE-MID-APACHE-EL04 限制

13、http 请求的消息主体的大小备份操作：备份 httpd.conf 配置文件加固操作：编辑 httpd.conf 文件的 LimitRequestBody 参数，修改为 102400ByteLimitRequestBody 102400重新启动 Apache 服务回退操作：恢复 httpd.conf 文件，重新启动 Apache 服务2.2.5 ZTE-MID-APACHE-EL05 更改 Apache 默认端口备份操作：备份 httpd.conf 配置文件加固操作：修改 httpd.conf 配置文件，更改默认端口到 8080Listen x.x.x.x:8080配置完成后，重启 Apach

14、e 服务注意，是否可以更改端口与具体业务要求相关。回退操作：恢复 httpd.conf 文件，重新启动 Apache 服务2.2.6 ZTE-MID-APACHE-EM06 Apache 错误页面重定向备份操作：备份 httpd.conf 配置文件内部公开本文所有信息为中兴通讯股份有限公司内部信息，未经允许，不得外传 第 9 页，共 11 页加固操作：修改 httpd.conf 配置文件：ErrorDocument 400 /custom400.htmlErrorDocument 401 /custom401.htmlErrorDocument 403 /custom403.htmlError

15、Document 404 /custom404.htmlErrorDocument 405 /custom405.html ErrorDocument 500 /custom500.htmlCustomxxx.html 为要设置的错误页面。配置完成后，重新启动 Apache 服务注意，加固操作中出现的各种错误页面应该存在，建议各个项目根据自身特点定制出错页面回退操作：恢复 httpd.conf 文件，重新启动 Apache 服务2.2.7 ZTE-MID-APACHE-EH07 禁止 Apache 列表显示文件备份操作：备份 httpd.conf 配置文件加固操作：编辑 httpd.conf

16、配置文件， Options FollowSymLinks AllowOverride None Order allow,denyAllow from all将 Options Indexes FollowSymLinks 中的 Indexes 去掉，就可以禁止 Apache 显示该目录结构。Indexes 的作用就是当该目录下没有 index.html 文件时，就显示目录结构。设置 Apache 的默认页面，编辑%apache%confhttpd.conf 配置文件，DirectoryIndex index.html其中 index.html 即为默认页面，可根据情况改为其它文件。配置完成后，

17、重新启动 Apache 服务回退操作：恢复 httpd.conf 文件，重新启动 Apache 服务2.2.8 ZTE-MID-APACHE-EM08 防范拒绝服务攻击备份操作：内部公开本文所有信息为中兴通讯股份有限公司内部信息，未经允许，不得外传 第 10 页，共 11页备份 httpd.conf 配置文件加固操作：编辑 httpd.conf 配置文件， Timeout 10 KeepAlive OnKeepAliveTimeout 15AcceptFilter http dataAcceptFilter https data配置完成后，重新启动 Apache 服务回退操作：恢复 httpd

18、.conf 文件，重新启动 Apache 服务2.2.9 ZTE-MID-APACHE-EL09 删除缺省安装的无用文件备份操作：备份下文中准备删除的文件加固操作：首先确认 apache 的安装目录删除缺省 HTML 文件：# rm -rf /usr/local/apache2/htdocs/* 删除缺省的 CGI 脚本：# rm rf /usr/local/apache2/cgi-bin/*删除 Apache 说明文件：# rm rf /usr/local/apache2/manual删除源代码文件：# rm -rf /path/to/httpd-2.2.4*根据安装步骤不同和版本不同，某些目录或文件可能不存在或位置不同。回退操作：恢复文件至原位置2.2.10ZTE-MID-APACHE-EL10 隐藏 Apache 的版本号及其它敏感信息备份操作：备份 httpd.conf 配置文件加固操作：修改 httpd.conf 配置文件：ServerSignature Off ServerTokens Prod配置完成后，重新启动 Apache 服务回退操作：恢复 httpd.conf 文件，重新启动 Apache 服务