Apache 应用安全测评指导书
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
手工检查:应保证只有系统管理员可以对网站文件进行读写操作,执行命令#ls-l对apache安装目录和网站目录的权限进行检查。
apache的安装目录权限设置严格。
授权的主体
手工检查:使用命令ls-l/usr/local/apache/bin
来检查httpd和apachectl文件的权限,建议权限为700,即只允许
手工检查:对于有保密要求的系统,在浏览器地址栏输入https://
服务器ip来确认是否启用了ssl加密功能。
启用web的加密功能。
密码算法合规
访谈:询问系统管理员目前apache使用的是哪种加密强度的算法,应抛弃使用SSLv2和加密强度较低的算法。
使用符合加密强度要求的算法。
序号
测评指标
测评项
检测方法
日志功能打开。
审计记录:重要用户行为、系统资源的异常使用和重要系统命令的使用
手工检查:1.使用命令查看apache的主配置文件
#cat/usr/local/apache/conf/httpd.conf
查看CustomLog、LogFormat、ErrorLog行的配置,确认是否包含了措施要求的内容。
进行访问超时设置。
资源限额
手工检查:查看/usr/local/apache/conf/httpd.conf文件中
MaxRequestsPerChild的配置,查看是否进行了访问限制。
存在对apache使用系统资源的限制。
多种方式限制终端登录
访谈:询问系统管理员,是否对网站资源按照用户身份、IP地址、
apache的日志配置要求。
安全事件记录:日期和时间、类型、主体标识、客体标识、事件的结果等
手工检查:1.使用命令查看apache的日志文件
#cat/usr/local/apache/logs/access_log和
#cat/usr/local/apache/logs/error_log,确认日志文件是否包含了措施要求的内容;
访谈:询问系统管理员,配置文件和网站文件是否有备份策略,查看备份文件。
存在备份、恢复策略。
提供实时报警手段。
审计记录保护
访谈:询问系统管理员,apache的日志是否定期进行备份,以防止记录被覆盖、修改或删除等。
日志得到合理的保护。
4
剩余信息保护
彻底清除用户鉴别信息
访谈:是否具备该措施;
用户鉴别信息被彻底清除。
彻底清除系统敏感信息
访谈:是否具备该措施;
系统敏感信息被彻底清除。
5
通信保密性
整个报文、会话过程加密
实现最大并发会话数限制。
一个时间段内可能的并发会话连接数
访谈:询问系统管理员,是否采用防火墙等设备对一个时间段内可能的并发会话数进行限制。
存在配置。
操作超时锁定和鉴别失败锁定,解锁或终止方式
手工检查:查看/usr/local/apache/conf/httpd.conf文件中
KeepAliveTimeout的配置,查看是否进行了访问超时限制。
root用户访问。
apache的重要文件只允许root访问。
最小授权原则,且相互制约
手工检查:查看apache的运行是否使用单独的系统账号,不能和系统管理账号如root等共用。
没有使用root运行apache,账号没有混用。
3
安全审计
覆盖范围:每一个用户
访谈:访谈系统管理员,是否打开了日志记录功能,并进行查看。
时间段等进行了相关限制,如果有,查看相关措施;手工检查:查看/usr/local/apache/conf/httpd.conf文件中
<Directory></Directory>部分的配置,查看是否进行了访问限制,
如禁止目录浏览。
禁止通过web客户端对敏感信息进行访问。
8
备份和恢复
本地数据备份、恢复
信息安全等级保护测评指导书
Apache 应用安全测评
杭州辰龙检测技术有限公司
2013.12
序号
测评指标
测评项
检测方法
预期结果
1
身份鉴别
身份标识和鉴别
手工检查:执行命令#cat/etc/passwd,运行apache的账户应该禁止登录。
apache的运行账户禁止登陆。
2
访问控制
覆盖范围:主体、客体、操作
预期结果
6
软件容错
状态监测能力
访谈:访谈系统管理员,是否对系统错误页面进行了自定义;手工检查:执行命令
#grepErrorDocument/usr/local/apache/httpd.conf
确认是否有自定义错误页面的配置。
存在自定义错误页面配置。7资源控制最大并发会话连接数
手工检查:查看/usr/local/apache/conf/httpd.conf文件中MaxKeepAliveRequests、MaxClients的配置,查看是否进行了访问限制。
apache的日志记录要求。
序号
测评指标
测评项
检测方法
预期结果
审计报表
访谈:询问系统管理员,apache的日志是否定期进行专门的分析和审计,如果有,查看报表的内容。
日志定期生成报表,并查看。
特定事件,实时报警
访谈:访谈系统管理员,目前是否对特定事件指定实时报警方式(如声音、EMAIL、短信等),并查看对应措施。
apache的安装目录权限设置严格。
授权的主体
手工检查:使用命令ls-l/usr/local/apache/bin
来检查httpd和apachectl文件的权限,建议权限为700,即只允许
手工检查:对于有保密要求的系统,在浏览器地址栏输入https://
服务器ip来确认是否启用了ssl加密功能。
启用web的加密功能。
密码算法合规
访谈:询问系统管理员目前apache使用的是哪种加密强度的算法,应抛弃使用SSLv2和加密强度较低的算法。
使用符合加密强度要求的算法。
序号
测评指标
测评项
检测方法
日志功能打开。
审计记录:重要用户行为、系统资源的异常使用和重要系统命令的使用
手工检查:1.使用命令查看apache的主配置文件
#cat/usr/local/apache/conf/httpd.conf
查看CustomLog、LogFormat、ErrorLog行的配置,确认是否包含了措施要求的内容。
进行访问超时设置。
资源限额
手工检查:查看/usr/local/apache/conf/httpd.conf文件中
MaxRequestsPerChild的配置,查看是否进行了访问限制。
存在对apache使用系统资源的限制。
多种方式限制终端登录
访谈:询问系统管理员,是否对网站资源按照用户身份、IP地址、
apache的日志配置要求。
安全事件记录:日期和时间、类型、主体标识、客体标识、事件的结果等
手工检查:1.使用命令查看apache的日志文件
#cat/usr/local/apache/logs/access_log和
#cat/usr/local/apache/logs/error_log,确认日志文件是否包含了措施要求的内容;
访谈:询问系统管理员,配置文件和网站文件是否有备份策略,查看备份文件。
存在备份、恢复策略。
提供实时报警手段。
审计记录保护
访谈:询问系统管理员,apache的日志是否定期进行备份,以防止记录被覆盖、修改或删除等。
日志得到合理的保护。
4
剩余信息保护
彻底清除用户鉴别信息
访谈:是否具备该措施;
用户鉴别信息被彻底清除。
彻底清除系统敏感信息
访谈:是否具备该措施;
系统敏感信息被彻底清除。
5
通信保密性
整个报文、会话过程加密
实现最大并发会话数限制。
一个时间段内可能的并发会话连接数
访谈:询问系统管理员,是否采用防火墙等设备对一个时间段内可能的并发会话数进行限制。
存在配置。
操作超时锁定和鉴别失败锁定,解锁或终止方式
手工检查:查看/usr/local/apache/conf/httpd.conf文件中
KeepAliveTimeout的配置,查看是否进行了访问超时限制。
root用户访问。
apache的重要文件只允许root访问。
最小授权原则,且相互制约
手工检查:查看apache的运行是否使用单独的系统账号,不能和系统管理账号如root等共用。
没有使用root运行apache,账号没有混用。
3
安全审计
覆盖范围:每一个用户
访谈:访谈系统管理员,是否打开了日志记录功能,并进行查看。
时间段等进行了相关限制,如果有,查看相关措施;手工检查:查看/usr/local/apache/conf/httpd.conf文件中
<Directory></Directory>部分的配置,查看是否进行了访问限制,
如禁止目录浏览。
禁止通过web客户端对敏感信息进行访问。
8
备份和恢复
本地数据备份、恢复
信息安全等级保护测评指导书
Apache 应用安全测评
杭州辰龙检测技术有限公司
2013.12
序号
测评指标
测评项
检测方法
预期结果
1
身份鉴别
身份标识和鉴别
手工检查:执行命令#cat/etc/passwd,运行apache的账户应该禁止登录。
apache的运行账户禁止登陆。
2
访问控制
覆盖范围:主体、客体、操作
预期结果
6
软件容错
状态监测能力
访谈:访谈系统管理员,是否对系统错误页面进行了自定义;手工检查:执行命令
#grepErrorDocument/usr/local/apache/httpd.conf
确认是否有自定义错误页面的配置。
存在自定义错误页面配置。7资源控制最大并发会话连接数
手工检查:查看/usr/local/apache/conf/httpd.conf文件中MaxKeepAliveRequests、MaxClients的配置,查看是否进行了访问限制。
apache的日志记录要求。
序号
测评指标
测评项
检测方法
预期结果
审计报表
访谈:询问系统管理员,apache的日志是否定期进行专门的分析和审计,如果有,查看报表的内容。
日志定期生成报表,并查看。
特定事件,实时报警
访谈:访谈系统管理员,目前是否对特定事件指定实时报警方式(如声音、EMAIL、短信等),并查看对应措施。