中国移动WEB服务器安全配置手册

中国移动WEB服务器安全配置手册文档编号：

项目代号：

中国移动WEB服务器

安全配置手册

Version 1.0

中国移动通信有限公司

二零零四年十二月

拟制: 审核: 批准: 会签: 标准化:

版本操纵

分发操纵

名目

第1章. 目的6

第2章. 范畴6

第3章. Web服务安全加固原则6

3.1. Web主机平台安全设置6

3.1.1. 主机安全标准加固规范6

3.1.2. 用户权限设置6

3.1.3. 事件日志设置7

3.1.

4. 关闭非必要的服务和程序7

3.2. Web服务安全设置7

3.2.1. Web系统资源爱护7

3.2.2. Web服务权限设置7

3.2.3. Web服务访咨询操纵7

3.2.5. 日志设置8

3.2.6. 去除不必要的服务脚本8

第4章. IIS Web服务安全配置建议 9 4.1. 审核策略设置9

4.2. 用户权限分配9

4.2.1. 拒绝通过网络访咨询该运算机9 4.3. 安全选项10

4.4. 事件日志设置10

4.5. 系统服务10

4.5.1. HTTP SSL 10

4.5.2. IIS Admin 服务11

4.5.3. 万维网公布服务11

4.6. 其它安全设置12

4.6.1. 仅安装必要的IIS 组件 12

4.6.2. 仅启用必要的Web 服务扩展12 4.6.3. 在专用磁盘卷中放置内容13

4.6.4. 设置NTFS 权限14

4.6.

5. 设置IIS Web 站点权限15

4.6.6. 配置IIS 日志16

4.6.7. 向用户权限分配手动添加唯独的安全组17 4.6.8. 爱护众所周知帐户的安全18

4.6.9. 爱护服务帐户的安全19

4.6.10. 用IPSec 过滤器阻断端口19

4.7. 参考材料21

第5章. Apache Web服务安全配置建议22 5.1. 审核策略设置22

5.2. 用户权限分配22

5.2.1. 拒绝通过网络访咨询该运算机22

5.3. 安全选项24

5.3.1. 绝对不要以root 身份执行守护程序24 5.3.2. 次序的规则24

5.3.3. 符号连结25

5.3.4. Apache 下的索引25

5.4. 事件日志设置25

5.5. 系统服务26

5.5.1. HTTP SSL 26

5.6. 其它安全设置29

5.6.1. 升级到最新的版本29

5.6.2. 建立Chroot 环境30

5.7. 参考材料38

目的

本文的目标是为中移动企业范畴内的Web服务应用提供安全配置的规范建议。

Web应用服务是互联网WWW应用的重要基础，在中国移动企业范畴内安装和使用了大量的各种Web服务应用。为了提升中国移动企业Web服务的安全性，降低由于Web服务配置不规范而造成的安全风险，特针对中国移动企业的重要典型Web服务提出了规范的配置安全加固建议。

范畴

本文针对通用的HTTP Web服务器的主机平台安全配置、HTTP服务安全配置提出了规范加固的要求。同时对典型的HTTP Web服务应用提出了具体的安全配置建议，如Microsoft IIS Web服务、Apache Web服务。

Web服务器的加固方法包括了两个层面的工作，这确实是平台安全配置和HTTP Web服务安全配置。第一，作为同意广泛用户网络访咨询的W eb应用服务器，必须设置成为安全的堡垒主机，按照主机平台加固规范对Web服务器平台的操作系统进行安全设置，关闭所有非必要的网络服务、应用程序和系统组件等；其次，关于HTTP Web服务进行安全设置，包括服务资源权限设置、用户帐号设置、远程治理安全设置、日志设置等。

Web服务安全加固原则

Web主机平台安全设置

主机安全标准加固规范

必须对Web服务器主机平台进行规范的安全加固，参照《中国移动操作系统安全配置手册》建立安全可靠的Web应用服务的主机运行环境。此外，必须针对Web应用服务的特点进行安全设置。

用户权限设置

清晰的区分并定义主机治理员、Web应用服务治理员以及Web应用开发人员的帐号，并明确的定义其访咨询Web应用服务器的方式。禁止一般用户通过网络登陆到主机系统。

事件日志设置

主机系统日志应记录Web应用服务的启动、关闭等操作，以及主机治理员、Web应用服务治理员、和应用开发人员的行为等。事件日志应储存在安全爱护的名目或者其它的安全主机系统中。

关闭非必要的服务和程序

主机系统应关闭所有非必要的服务，例如SMTP、FTP、DNS等。如果需要使用网络服务，如FTP协助Web服务内容治理，必须严格按照FTP服务器加固规范进行安全设置，同时严格限制用户权限。

删除所有非必要的系统组件、应用程序，如C编译程序等。

Web服务安全设置

Web系统资源爱护

Web系统资源是指Web服务的所在名目和文件。Web系统资源应该安装在独立的名目或者文件系统中。这些Web系统资源应该属于Web治理员拥有。按照需要，严格操纵其它用户对这些资源的访咨询。严格禁止一般用户对Web系统资源的访咨询。

Web服务权限设置

关于Web服务ID方式的系统，应严格限制Web服务ID其拥有系统治理员的权限，禁止其拥有非必要的系统特权；限制其所能访咨询的名目，按照需要，操纵其资源的读权限；禁止对Document Root以及其它系统名目的写权限。而对Document Root以及其下的名目，亦应限制除Web服务ID使用者外，其余用户均不具列出名目内所有档案之权限。

关于Web服务程序方式的系统，严格操纵Web服务程序对系统名目和文件的执行、读写权限。

Web服务访咨询操纵