Apache系统安全配置基线

Tomcat中间件安全配置基线加固操作指导书
佛山供电局信息中心
2014年4月
目录
1.1 Tomcat安全基线要求 (3)
1.1.1 对登录Tomcat的用户进行身份鉴别 (3)
1.1.2 限制管理中间件用户权限 (3)
1.1.3 修改默认口令 (4)
1.1.4 访问日志审计功能 (4)
1.1.5 保护日志审计 (5)
1.1.6 限制超时连接 (5)
1.1.7 修改SHUTDOWN字符串 (5)
1.1.8 禁止目录遍历操作 (6)
1.1.9 防止版本信息泄漏 (6)
1.1.10 自定义错误信息 (7)
1.1 Tomcat安全基线要求
1.1.1 对登录Tomcat的用户进行身份鉴别
1.1.2 限制管理中间件用户权限
1.1.3 修改默认口令
1.1.4 访问日志审计功能
1.1.5 保护日志审计
1.1.6 限制超时连接
1.1.7 修改SHUTDOWN字符串
1.1.8 禁止目录遍历操作
1.1.9 防止版本信息泄漏
1.1.10 自定义错误信息。

Apache服务器安全配置基线中国移动通信有限公司管理信息系统部2012年 04月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章日志配置操作 (5)2.1日志配置 (5)2.1.1审核登录 (5)第3章设备其他配置操作 (6)3.1访问权限 (6)3.1.1禁止访问外部文件 (6)3.2防攻击管理 (6)3.2.1错误页面处理 (7)3.2.2目录列表访问限制 (7)3.2.3拒绝服务防范 (8)3.2.4删除无用文件 (8)3.2.5隐藏敏感信息 (9)3.2.6Apache账户安全* (9)3.2.7限制请求消息长度 (10)第4章评审与修订 (11)第1章概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的Apache服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Apache服务器的安全配置。

1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的Apache 服务器系统。

1.3适用版本2.0.x、2.2.x版本的Apache服务器。

1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章日志配置操作2.1日志配置2.1.1审核登录第3章设备其他配置操作3.1访问权限3.1.1禁止访问外部文件3.2防攻击管理3.2.1错误页面处理3.2.2目录列表访问限制3.2.3拒绝服务防范3.2.4删除无用文件3.2.5隐藏敏感信息3.2.6Apache账户安全*3.2.7限制请求消息长度范文范例指导参考第4章评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。

终端安全配置基线名词解释
安全配置基线是操作系统，DB，中间件，网络设备（交换机，路由器，防火墙），终端PC设备上设置的基本配置项。

除了软件系统最基本最重要的安全配置，还需要符合国家信息安全政策法规及监管要求。

人行，四部委，国家标准化管理委员会，质量监督检验检疫总局等都发布过相关指引文件。

一般都要新建基线，然后持续维护修订。

系统复杂的，基线规范和手册需要进行分离编写。

规范类似宪法，手册类似各种普通法律法规。

规范指导手册。

里面应该明确每年什么时间，对什么配置进行哪些项目的检查。

上线前后，开发环境，生产环境都需要按照基线规范进行检查。

比如中间件：Apache,Tomcat,Nginx,Weblogic,IBM MQ,Tuexdo,Kafka 等需要确认日志配置（符合监管，设置日志门卫，不能所有信息都打出来），账号口令设置定期修改策略，账号登录系统多久超时强制下线，端口设置，目录权限（主目录一般小于775），配置文件权限（一般小于775）。

Win2003 & 2008操作系统安全配置要求2、1、帐户口令安全帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。

帐户锁定:应删除或锁定过期帐户、无用帐户。

用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。

帐户权限最小化:应根据实际需要为各个帐户分配最小权限。

默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。

口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母与特殊符号中至少2类的组合。

口令最长使用期限:应设置口令的最长使用期限小于90天。

口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次(含 5 次)已使用过的口令。

口令锁定策略:应配置当用户连续认证失败次数为5次,锁定该帐户30分钟。

2、2、服务及授权安全服务开启最小化:应关闭不必要的服务。

SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。

系统时间同步:应确保系统时间与NTP服务器同步。

DNS服务指向:应配置系统DNS指向企业内部DNS服务器。

2、3、补丁安全系统版本:应确保操作系统版本更新至最新。

补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。

2、4、日志审计日志审核策略设置:应合理配置系统日志审核策略。

日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。

日志存储路径:应更改日志默认存放路径。

日志定期备份:应定期对系统日志进行备份。

2、5、系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。

2、6、防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。

2、7、关闭自动播放功能:应关闭Windows 自动播放功能。

2、8、共享文件夹删除本地默认共享:应关闭Windows本地默认共享。

共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。

序号控制点基线要求1补丁管理应及时更新系统补丁2服务管理应删除已过时且不安全的服务3账号管理删除或锁定多余的默认系统用户4口令策略密码包括3种字符(数字、小写字母、大写字母和特殊符)，口令长度至少8位。

5口令策略设置本地和远程登录5次失败后，普通账户锁定10分钟，root不受影响6认证授权设置10分钟无键盘操作，则退出终端。

7认证授权限制root直接远程登录8日志配置应配置日志功能，记录所有用户所执行的程序，程序执行情况信息等等9日志配置修改日志配置文件syslog.conf/rsyslog.conf权限为400(管理员只读)10协议安全使用SSH等相对安全的加密协议进行远程连接11操作安全记录bash命令历史记录12权限设置对重要的口令文件权限进行限制，防止恶意修改13权限设置拒绝系统默认的系统帐号使用ftp服务linux类基线：共13项，适用于centos 7+（注意：部分配置完成后需要重操作指南根据组织的信息安全策略要求，为系统安装系统安全补丁检测以下服务是不是运行中，若不需要以下服务，则删除服务：telnet . rsh . NIS . TFTP . Talk . chargen-dgram . daytime-dgram .echo-dgram . tcpmux-server若不需要以下系统默认账户，建议删除或锁定：adm . lp . mail . uucp . operator . games . gopher . ftp . nobody . rpm . dbus. avahi . mailnull . smmsp . nscd . vcsa . rpc . rpcuser . nfsnobody . sshd .pcap . ntp .haldaemon . distcache . apache . webalizer . squid . xfs .gdmsabayon . named删除用户：#userdel username;锁定用户：1.修改/etc/shadow文件，用户名后的第一个冒号后加一个感叹号"!"2.将/etc/passwd文件中的shell域设置成/bin/nologin#vi /etc/security/pwquality.confminlen = 8 密码至少8位minclass = 3 至少3种字符指定当本地用户登陆失败次数等于或者大于允许的重试次数则账号被锁定：1.本地登录失败锁定：#vi /etc/pam.d/system-auth 在第2行添加：auth required pam_tally2.so deny=5 unlock_time=600 no_lock_time2.远程登录失败锁定：#vi /etc/pam.d/sshd 在第2行添加：auth required pam_tally2.so deny=5 unlock_time=600 no_lock_time#vim /etc/ssh/sshd_config将"#ClientAliveInterval 0"更改为"ClientAliveInterval 600"重启SSH服务：service sshd restart#vi /etc/ssh/sshd_config将"PermitRootLogin yes"改为"PermitRootLogin no"重启SSH服务：service sshd restartaccton默认是不开启，需要先创建记录文件再开启：#touch /var/log/pacct 创建记录文件#accton /var/log/pacct 开启并记录信息(#accton off 关闭)1.centos6以前版本#chmod 400 /etc/syslog.conf2.centos7+版本#chmod 400 /etc/rsyslog.conf#/etc/init.d/sshd start 启动SSH#/etc/init.d/sshd stop 停止SSH#/etc/init.d/sshd status 查看运行状态#chkconfig --level 2345 sshd on 设置开机启动1).#vi /etc/profile 在底部添加以下代码：#------------------------------------------#historyHISTFILESIZE=4096HISTSIZE=4096USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` if [ -z $USER_IP ]thenUSER_IP=`hostname`fiHISTTIMEFORMAT="[%F %T] [`whoami`: $USER_IP] "export HISTTIMEFORMAT#------------------------------------------2).#source /etc/profile 重新加载配置文件对/etc/passwd、/etc/shadow、/etc/ group进行以下权限配置：#chown root：/etc/passwd /etc/shadow /etc/group#chmod 644 /etc/passwd /etc/group#chmod 400 /etc/shadow1).#touch /etc/ftpusers 创建文件2).#chmod 644 /etc/ftpusers 配置访问限制3).vi /etc/ftpusers 将不使用的系统默认账户添加进文件里rootdaemonsysy...需要重启服务/系统）检测方法1、 判定条件服务器不存在中高危漏洞。

操作系统安全基线配置操作系统安全基线配置1、系统基本配置1.1、设置强密码策略1.1.1、密码复杂度要求1.1.2、密码长度要求1.1.3、密码历史记录限制1.2、禁用默认账户1.3、禁用不必要的服务1.4、安装最新的操作系统补丁1.5、配置防火墙1.6、启用日志记录功能1.7、安装安全审计工具2、访问控制2.1、确定用户账户和组织结构2.2、分配最小特权原则2.3、管理账户权限2.3.1、内置管理员账户2.3.2、各类用户账户2.4、用户认证和授权2.4.1、双因素身份验证2.4.2、权限管理2.5、用户追踪和监管2.5.1、记录登录和注销信息2.5.2、监控用户活动3、文件和目录权限管理3.1、配置文件和目录的ACL3.2、禁止匿名访问3.3、确保敏感数据的安全性3.4、审计文件和目录访问权限4、网络安全设置4.1、配置安全网络连接4.1.1、使用SSL/TLS加密连接4.1.2、配置安全的网络协议 4.2、网络隔离设置4.2.1、网络分段4.2.2、VLAN设置4.3、防御DDoS攻击4.4、加密网络通信4.5、网络入侵检测和预防5、应用程序安全配置5.1、安装可靠的应用程序5.2、更新应用程序到最新版本 5.3、配置应用程序的访问权限 5.4、定期备份应用程序数据5.5、应用程序安全策略6、数据保护与恢复6.1、定期备份数据6.2、加密敏感数据6.3、完整性保护6.4、数据恢复7、安全审计与监控7.1、审计日志管理7.1.1、配置日志记录7.1.2、日志监控和分析7.2、安全事件响应7.2.1、定义安全事件7.2.2、响应安全事件7.2.3、安全事件报告8、物理安全8.1、服务器和设备安全8.1.1、物理访问控制8.1.2、设备保护措施8.2、网络设备安全8.2.1、路由器和交换机的安全配置 8.2.2、网络设备的物理保护8.3、数据中心安全8.3.1、安全区域划分8.3.2、访问控制措施附件：无法律名词及注释：1、双因素身份验证：双因素身份验证是指通过两个或多个不同的身份验证要素来确认用户身份的一种安全措施。

Apache配置详解Apache的配置由httpd.conf文件配置，因此下面的配置指令都是在httpd.conf文件中修改。

主站点的配置(基本配置)(1) 基本配置:ServerRoot "/mnt/software/apache2" #你的apache软件安装的位置。

其它指定的目录如果没有指定绝对路径，则目录是相对于该目录。

PidFile logs/httpd.pid #第一个httpd进程(所有其他进程的父进程)的进程号文件位置。

Listen 80 #服务器监听的端口号。

ServerName :80 #主站点名称（网站的主机名）。

ServerAdmin admin@ #管理员的邮件地址。

DocumentRoot "/mnt/web/clusting" #主站点的网页存储位置。

以下是对主站点的目录进行访问控制：<Directory "/mnt/web/clusting">Options FollowSymLinksAllowOverride NoneOrder allow,denyAllow from all</Directory>在上面这段目录属性配置中，主要有下面的选项：Options：配置在特定目录使用哪些特性，常用的值和基本含义如下：ExecCGI: 在该目录下允许执行CGI脚本。

FollowSymLinks: 在该目录下允许文件系统使用符号连接。

Indexes: 当用户访问该目录时，如果用户找不到DirectoryIndex指定的主页文件(例如index.html),则返回该目录下的文件列表给用户。

SymLinksIfOwnerMatch: 当使用符号连接时，只有当符号连接的文件拥有者与实际文件的拥有者相同时才可以访问。

其它可用值和含义请参阅：/Apache/ApacheManual/mod/core.html#options AllowOverride：允许存在于.htaccess文件中的指令类型(.htaccess文件名是可以改变的，其文件名由AccessFileName指令决定)：None: 当AllowOverride被设置为None时。

安全基线配置检查安全基线配置检查是一种常见的安全检查方法，它可以帮助企业和组织确保其计算机系统的安全性。

安全基线配置检查是通过检查计算机系统的配置文件和设置来确定系统是否符合安全标准。

在本文中，我们将探讨安全基线配置检查的重要性、实施步骤以及如何解决常见问题。

安全基线配置检查的重要性安全基线配置检查是确保计算机系统安全的关键步骤之一。

通过检查计算机系统的配置文件和设置，可以确定系统是否符合安全标准。

这些标准通常是由行业组织、政府机构或安全专家制定的。

如果计算机系统不符合这些标准，那么它就容易受到攻击，从而导致数据泄露、系统崩溃或其他安全问题。

实施步骤安全基线配置检查通常包括以下步骤：1. 确定安全标准：首先，需要确定适用于计算机系统的安全标准。

这些标准通常是由行业组织、政府机构或安全专家制定的。

2. 收集配置信息：然后，需要收集计算机系统的配置信息。

这些信息包括操作系统、应用程序、网络设置等。

3. 比较配置信息：将收集的配置信息与安全标准进行比较，以确定系统是否符合标准。

4. 发现问题：如果系统不符合标准，则需要发现问题并记录下来。

5. 解决问题：最后，需要解决发现的问题，以确保计算机系统符合安全标准。

常见问题及解决方法在进行安全基线配置检查时，可能会遇到以下常见问题：1. 配置信息不完整：如果收集的配置信息不完整，则可能会导致无法确定系统是否符合安全标准。

解决方法是确保收集的配置信息完整。

2. 标准不明确：如果安全标准不明确，则可能会导致无法确定系统是否符合标准。

解决方法是确保使用的安全标准明确。

3. 问题解决困难：如果发现的问题难以解决，则可能需要寻求专业帮助。

解决方法是寻求专业帮助。

总结安全基线配置检查是确保计算机系统安全的关键步骤之一。

通过检查计算机系统的配置文件和设置，可以确定系统是否符合安全标准。

在实施安全基线配置检查时，需要确定适用于计算机系统的安全标准、收集配置信息、比较配置信息、发现问题并解决问题。

主机基线检查方案1. 简介主机基线检查是一种用于评估和确保主机系统配置和安全性的方法。

基线是指主机系统的安全标准或最佳实践，通过进行基线检查，可以发现系统配置是否符合预期、是否存在安全风险和漏洞。

本文档将介绍主机基线检查的目的、步骤和工具。

2. 目的主机基线检查的主要目的是确保主机系统的安全性和稳定性。

通过检查主机的配置和衡量其与预设基线标准的一致性，可以及时发现和修复配置错误、漏洞和存在的安全威胁。

主机基线检查的结果将作为主机系统安全性评估和风险管理的基础。

3. 步骤进行主机基线检查通常包括以下步骤：3.1. 收集信息在进行主机基线检查之前，首先需要收集有关主机的信息。

这些信息可以包括主机的操作系统类型和版本、应用程序、服务和补丁等。

此外，还需要收集主机的配置文件、日志和网络连接等相关信息。

3.2. 确定基线标准基于组织的需求和行业的最佳实践，制定主机基线标准。

基线标准应包括操作系统、服务配置、访问控制、审计策略和密码策略等方面的要求。

基线标准的制定应综合考虑安全性、易用性和合规性等因素。

3.3. 进行基线检查根据制定的基线标准，使用适当的工具和技术进行基线检查。

可以使用自动化工具扫描主机系统，检查其配置和安全性，如OpenSCAP、Nessus和Qualys等。

同时，也可以使用手动检查方法，例如检查配置文件、访问控制列表和日志文件等。

3.4. 分析结果对基线检查的结果进行分析和评估。

根据检查的结果，确定主机系统存在的配置错误、安全漏洞和风险。

对于检查的结果，应进行适当的分类和优先级排序，以便后续的修复工作。

3.5. 修复问题根据基线检查的结果，对主机系统存在的问题进行修复。

可以通过修改配置文件、升级补丁、加强访问控制等方式来解决问题。

修复过程应遵循变更管理的原则，并记录和验证修复的过程和结果。

3.6. 定期重复检查主机基线检查不是一次性的工作，应定期进行重复检查以确保系统的持续安全性。

可以根据需要制定检查的频率，例如每季度、每半年或每年进行一次基线检查。

安全基线配置检查随着互联网的发展，网络安全问题日益突出。

为了保障信息系统的安全性，企业和组织需要采取一系列的安全措施。

其中，安全基线配置检查是一项重要的工作，它可以帮助企业识别和排除安全隐患，确保系统的安全性。

一、什么是安全基线配置检查？安全基线配置检查是指对信息系统中的各项配置进行评估和检查，以确定系统是否符合安全基线要求。

安全基线是指一组安全策略和配置要求，旨在确保系统在设计、部署和操作过程中的安全性。

通过对系统配置的检查，可以发现配置错误、弱点和漏洞，并及时采取措施进行修复。

二、为什么需要进行安全基线配置检查？1. 保护信息系统免受安全威胁：通过对系统配置的检查，可以发现和修复潜在的安全漏洞，提高系统的抵御能力，确保信息系统免受攻击和破坏。

2. 遵守法律法规和行业规范：许多法律法规和行业规范都对信息系统的安全性提出了具体要求。

进行安全基线配置检查可以确保系统符合相关要求，避免违法和不合规。

3. 提高系统的稳定性和可靠性：合理的系统配置可以提高系统的稳定性和可靠性，减少系统故障的发生和影响。

三、安全基线配置检查的内容安全基线配置检查通常包括以下几个方面：1. 操作系统配置：检查操作系统的安全配置，包括账户管理、访问控制、日志记录和审计等。

2. 应用程序配置：检查各种应用程序的安全配置，包括数据库、Web服务器、邮件服务器等。

3. 网络设备配置：检查网络设备的安全配置，包括防火墙、路由器、交换机等。

4. 数据库配置：检查数据库的安全配置，包括访问控制、密码策略、备份和恢复等。

5. 安全策略和控制：检查系统中的安全策略和控制措施，确保其有效性和适用性。

四、安全基线配置检查的步骤进行安全基线配置检查时，一般可以按照以下步骤进行：1. 制定安全基线要求：根据法律法规和行业规范，制定系统的安全基线要求，明确配置检查的标准和指标。

2. 收集配置信息：收集系统的配置信息，包括操作系统、应用程序、网络设备和数据库等。

Apache的各种优化以及安全配置详解简介：Apache所运⾏的硬件环境都是对性能影响最⼤的因素，即使不能对硬件进⾏升级，也最好给Apache⼀个单独的主机以免受到其他应⽤的⼲扰。

各个硬件指标中，对性能影响最⼤的是内存，对于静态内容（图⽚、JavaScript⽂件、css⽂件等）。

它决定了Apache可以缓存多少内容，它缓存的内容越多，在硬盘上读取内容的机会就会越少，⼤内存可以极⼤提⾼静态站点的速度；对动态⾼负载站点来说，每个请求保存的时间更多⼀些，Apache的mpm模块会为每个请求派⽣出相应的进程或线程分别处理，⽽进程或线程的数量与内存的消耗近似成正⽐，因此增⼤内存对提⾼动态站点的负载和运⾏速度也极为有利。

其次是硬盘的速度，静态站点尤为突出，Apache不断的在读取⽂件并发送给相应的请求，硬盘的读写是极其频繁的；动态站点也要不断的加载web程序（php等），⼀个请求甚⾄要读取⼗⼏个⽂件才能处理完成，因此尽可能的提⾼硬盘速度和质量对提⾼Apache的性能是有积极意义的。

最后CPU和⽹络，CPU影响的是web程序执⾏速度，⽹络影响流量⼤⼩。

⼀、Apache的⼏种⼯作模式以及调优Apache HTTP服务器被设计为⼀个强⼤的、灵活的能够在多种平台以及不同环境下⼯作的服务器。

这种模块化的设计就叫做“多进程处理模块”（Multi-Processing Module，MPM），也叫做⼯作模式。

1.Prefork（⼀个⾮线程型的）：其主要⼯作⽅式是：当Apache服务器启动后，mpm_prefork模块会预先创建多个⼦进程（默认为5个），每个⼦进程只有⼀个线程，当接受到客户端的请求后，mpm_prefork模块再将请求转交给⼦进程处理，并且每个⼦进程同时只能⽤于处理单个请求。

如果当前的请求数将超过预先创建的⼦进程数时，mpm_prefork模块就会创建新的⼦进程来处理额外的请求。

这样客户端的请求就不需要在接受后等候⼦进程的产⽣。

服务器基线配置标准
服务器基线配置标准是一个用于确保服务器安全和稳定运行的重要标准。

以下是一些常见的服务器基线配置标准，这些标准可能会因不同的组织或应用场景而有所差异：
1. 操作系统和软件：确保服务器上安装的操作系统和软件都是最新版本，并且已经修复了所有已知的安全漏洞。

2. 账户管理：对服务器上的用户账户进行严格管理，禁止未经授权的用户访问。

3. 密码策略：实施强密码策略，要求用户使用复杂且独特的密码，并定期更换密码。

4. 访问控制：对服务器的访问权限进行严格控制，只允许授权用户访问。

5. 日志和监控：对服务器的运行状况进行实时监控，并对重要事件进行记录。

6. 安全审计：定期对服务器的安全进行审计，检查是否有任何潜在的安全风险。

7. 数据备份：定期备份服务器上的数据，以防数据丢失或损坏。

8. 防病毒和防火墙：在服务器上安装防病毒软件和防火墙，以防止恶意软件的入侵。

9. 配置管理：对服务器的配置进行统一管理，确保所有服务器都遵循相同的配置标准。

10. 物理安全：确保服务器所在的物理环境安全，如门禁系统、监控设备等。

这些标准可以根据实际需要进行修改和调整，但它们应该始终考虑到安全性、稳定性和可维护性等方面。

Win2003 & 2008操作系统安全配置要求2.1. 帐户口令安全帐户分配：应为不同用户分配不同的帐户，不允许不同用户间共享同一帐户。

帐户锁定：应删除或锁定过期帐户、无用帐户。

用户访问权限指派：应只允许指定授权帐户对主机进行远程访问。

帐户权限最小化：应根据实际需要为各个帐户分配最小权限。

默认帐户管理：应对Administrator帐户重命名，并禁用Guest（来宾）帐户。

口令长度及复杂度：应要求操作系统帐户口令长度至少为8位，且应为数字、字母和特殊符号中至少2类的组合。

口令最长使用期限：应设置口令的最长使用期限小于90天。

口令历史有效次数：应配置操作系统用户不能重复使用最近 5 次（含 5 次）已使用过的口令。

口令锁定策略：应配置当用户连续认证失败次数为5次，锁定该帐户30分钟。

2.2.服务及授权安全服务开启最小化：应关闭不必要的服务。

SNMP服务接受团体名称设置：应设置SNMP接受团体名称不为public或弱字符串。

系统时间同步：应确保系统时间与NTP服务器同步。

DNS服务指向：应配置系统DNS指向企业内部DNS服务器。

2.3.补丁安全系统版本：应确保操作系统版本更新至最新。

补丁更新：应在确保业务不受影响的情况下及时更新操作系统补丁。

2.4.日志审计日志审核策略设置：应合理配置系统日志审核策略。

日志存储规则设置：应设置日志存储规则，保证足够的日志存储空间。

日志存储路径：应更改日志默认存放路径。

日志定期备份：应定期对系统日志进行备份。

2.5.系统防火墙：应启用系统自带防火墙，并根据业务需要限定允许通讯的应用程序或端口。

2.6.防病毒软件：应安装由总部统一部署的防病毒软件，并及时更新。

2.7.关闭自动播放功能：应关闭Windows 自动播放功能。

2.8.共享文件夹删除本地默认共享：应关闭Windows本地默认共享。

共享文件权限限制：应设置共享文件夹的访问权限，仅允许授权的帐户共享此文件夹。

安全基线检查及部分中间件部署规范@author: jerrybird,JC0o0l@wechat: JC_SecNotes@wechat: JC0o0l@GitHub: /chroblert/assetmanage这篇⽂章是之前做基线检查⼯具参考的⼀些规范，⼤家可以通过下⾯的链接下载pdf⽂档：链接：https:///s/1z_m0HpAWSgRYahbsI5DeAg提取码：i4ft(⼀) Centos7安全基线0x01 初始设置1. ⽂件系统配置：2. 安全启动设置：3. 强制访问控制：0x02 服务配置1. 时间同步设置：0x03 ⽹络配置1. hosts设置：2. 防⽕墙配置0x04 审计设置1. 审计配置⽂件的设置2. 审计规则⽂件的设置0x05 ⽇志设置0x06 认证授权1. 配置cron:2. 配置SSH：3. 配置PAM：4. ⽤户账户和环境设置：0x07 系统维护1. 重要⽂件权限：2. ⽤户和组设置：(⼆) Windows2012安全基线0x01 账户策略0x02 审计策略0x03 ⽤户权限分配0x04 安全选项0x05 端⼝安全0x06 系统安全(三) MSSQL2016部署规范0x01安装更新和补丁0x02 减少受攻击⾯0x03 认证和授权0x04 密码策略0x05 审计和⽇志0x06 加密0x07 扩展存储(四) MySQL5.6部署规范0x01 操作系统级别配置0x02 安装和计划任务0x03 权限设置0x04 常规设置0x05 MySQL权限0x06 审计和⽇志0x07 ⾝份认证(五) 中间件部署规范0x01 Nginx安全部署规范1. 隐藏版本号2. 开启HTTPS3. 限制请求⽅法4. 拒绝某些User-Agent5. 利⽤referer图⽚防盗链6. 控制并发连接数7. 设置缓冲区⼤⼩防⽌缓冲区溢出攻击8. 添加Header头防⽌XSS攻击9. 添加其他Header头0x02 Tomcat安全部署规范1. 更改Server Header2. 保护telnet管理端⼝3. 保护AJP连接端⼝4. 删除默认⽂档和⽰例程序5. 隐藏版本信息（需要解jar包）6. 专职低权限⽤户启动tomcat7. ⽂件列表访问控制8. 脚本权限回收0x03 Apache安全部署规范1. 专职低权限⽤户运⾏Apache服务2. ⽬录访问权限设置3. ⽇志设置4. 只允许访问web⽬录下的⽂件5. 禁⽌列出⽬录6. 防范拒绝服务7. 隐藏版本号8. 关闭TRACE功能9. 绑定监听地址10. 删除默认安装的⽆⽤⽂件11. 限定可以使⽤的HTTP⽅法0x04 IIS安全部署规范1. 限制⽬录的执⾏权限2. 开启⽇志记录功能3. ⾃定义错误页⾯4. 关闭⽬录浏览功能5. 停⽤或删除默认站点6. 删除不必要的脚本映射7. 专职低权限⽤户运⾏⽹站8. 在独⽴的应⽤程序池中运⾏⽹站0x05 Redis安全部署规范1.专职低权限⽤户启动redis2. 限制redis配置⽂件的访问权限3. 更改默认端⼝4. 开启redis密码认证5. 禁⽤或者重命名危险命令6. 禁⽌监听在公⽹IP7. 开启保护模式0x06 RabbitMQ 规范1. 专职低权限⽤户启动RabbitMQ2.配置SSL证书3. 开启HTTP后台认证4. 删除或修改默认的guest⽤户和密码5. RabbitMQ的web ui插件存在⼀些安全漏洞(⼀) Centos7安全基线0x01 初始设置1. ⽂件系统配置：1.1 将/tmp挂载⾄⼀个单独的分区1.2 /tmp挂载时指定noexec：不允许运⾏可执⾏⽂件该选项使得/tmp⽬录下的⼆进制⽂件不可被执⾏1.3 /tmp挂载时指定nosuid该选项使得/tmp⽬录下的⽂件或⽬录不可设置Set-UID和Set-GID标志位，能够防⽌提权。

1. 操作系统安全基线技术要求 1.1. AIX 系统安全基线 1.1.1. 系统管理通过配置操作系统运维管理安全策略，提高系统运维管理安全性，详见表1。

表1 AIX 系统管理基线技术要求1.1.2. 用户账号与口令通过配置操作系统用户账号与口令安全策略,提高系统账号与口令安全性，详见表2。

表2 AIX 系统用户账户与口令基线技术要求1.1.3.日志与审计通过对操作系统的日志进行安全控制与管理，提高日志的安全性,详见表3。

表3 AIX系统日志与审计基线技术要求1.1.4.服务优化通过优化操作系统资源，提高系统服务安全性，详见表4。

表4 AIX系统服务优化基线技术要求1.1.5.访问控制通过对操作系统安全权限参数进行调整,提高系统访问安全性，详见表5。

表5 AIX系统访问控制基线技术要求1.2.Windows系统安全基线1.2.1.用户账号与口令通过配置操作系统用户账号与口令安全策略，提高系统账号与口令安全性,详见表6.表6Windows系统用户账号与口令基线技术要求1.2.2.日志与审计通过对操作系统日志进行安全控制与管理，提高日志的安全性与有效性，详见表7。

表7Windows系统日志与审计基线技术要求1.2.3.服务优化通过优化系统资源,提高系统服务安全性，详见表8。

表8 Windows系统服务优化基线技术要求1.2.4.访问控制通过对系统配置参数调整，提高系统安全性，详见表9。

表9 Windows系统访问控制基线技术要求1.2.5.补丁管理通过进行定期更新,降低常见的漏洞被利用，详见表10。

表10 Windows系统补丁管理基线技术要求1.3.Linux系统安全基线1.3.1.系统管理通过配置系统安全管理工具，提高系统运维管理的安全性，详见表11。

表11Linux系统管理基线技术要求1.3.2.用户账号与口令通过配置Linux系统用户账号与口令安全策略，提高系统账号与口令安全性，详见表12。