1、技 术 文 件技术文件名称：中间件基本加固方案 技术文件编号： 版 本：V1.2 文件质量等级：共11页(包括封面) 拟 制 审 核 会 签 标准化 批 准 中兴通讯股份有限公司修改记录文件编号版本号拟制人/修改人拟制/修改日期更改理由主要更改内容（写要点即可）1.0王华刚2009/05/18无无1.1王华刚2009/06/15配置编号配置加固项编号1.1.1王华刚2009/07/03更新配置编号更新配置加固项编号1.2王华刚2009-11-27增加内容增加APACHE加固项，并增加回退项注1：每次更改归档文件（指归档到事业部或公司档案室的文件）时，需填写此表。注2：文件第一次归档时，“更改理2、由”、“主要更改内容”栏写“无”。中间件基本加固方案目录(包括封面)1修改记录21概述4内部适用性说明4外部引用说明4术语和定义4符号和缩略语42中间件安全配置操作指导52.1MID-TOMCAT Tomcat52.1.1ZTE-MID-TOMCAT-EH01修改8005端口密码52.1.2ZTE-MID-TOMCAT-EH02删除管理应用52.1.3ZTE-MID-TOMCAT-EL03设置访问日志（可选）52.1.4ZTE-MID-TOMCAT-EM04屏蔽列出目录62.2ZTE-MID-APACHE Apache62.2.1ZTE-MID-APACHE-EH01以专门的用户帐号和组运行A3、pache62.2.2ZTE-MID-APACHE-EH02配置Apache系统日志72.2.3ZTE-MID-APACHE-EH03禁止Apache访问Web目录之外的任何文件72.2.4ZTE-MID-APACHE-EL04限制http请求的消息主体的大小82.2.5ZTE-MID-APACHE-EL05更改Apache默认端口82.2.6ZTE-MID-APACHE-EM06 Apache错误页面重定向82.2.7ZTE-MID-APACHE-EH07禁止Apache列表显示文件92.2.8ZTE-MID-APACHE-EM08防范拒绝服务攻击92.2.9ZTE-MID-APACHE-E4、L09删除缺省安装的无用文件102.2.10ZTE-MID-APACHE-EL10隐藏Apache的版本号及其它敏感信息102.3ZTE-MID-IIS IIS11中间件基本加固方案1 概述内部适用性说明本规范是在业务研究院网络安全规范中各项要求的基础上，提出中间件安全配置指南，针对通用规范中所列的配置要求，给出了在Tomcat、Apache和IIS上的具体配置方法和检测方法。外部引用说明中国移动设备通用安全功能和配置规范术语和定义符号和缩略语缩写英文描述中文描述本文件中的字体标识如下：蓝色斜体 在具体执行时需要替换的内容检查/加固项编码意义如下：公司名称-操作系统-条目性质 风险级别 数字编5、号-小项数字编号条目性质中：S意为检查；E意为加固风险级别中：H意为高风险；M意为中等风险；L意为低风险，风险级别仅存于具体条目中注意，各操作系统版本和特定现场的apache、tomcat安装位置不同，在此不描述配置文件的安装位置。2 中间件安全配置操作指导2.1 MID-TOMCAT Tomcat2.1.1 ZTE-MID-TOMCAT-EH01修改8005端口密码备份操作：备份server.xml文件加固操作：检查server.xml文件，server.xml默认有下面一行：修改为注意newpassword为新密码，需要满足8位，至少2个特殊字符等强密码要求重新启动tomcat回退操作：恢6、复原server.xml文件，重新启动tomcat2.1.2 ZTE-MID-TOMCAT-EH02删除管理应用备份操作：备份Tomcat安装目录serverwebapps目录下的admin和manager两个应用加固操作：Tomcat管理台的应用文件，默认在Tomcat安装目录serverwebapps下，有admin和manager两个应用，将这两个目录删除。回退操作：将备份的admin和manager两个应用恢复到原目录下2.1.3 ZTE-MID-TOMCAT-EL03设置访问日志（可选）备份操作：备份server.xml文件加固操作：修改server.xml配置文件：原配置：修改为：7、进行此项配置后，日志文件增加会很快，请项目注意解决日志问题定期清理。重新启动tomcat。回退操作：恢复原server.xml文件，重新启动tomcat2.1.4 ZTE-MID-TOMCAT-EM04屏蔽列出目录备份操作：备份conf/web.xml文件加固操作：修改conf/web.xml文件将listingstrue修改为listings false 重新启动tomcat回退操作：恢复原conf/web.xml文件，重新启动tomcat2.2 ZTE-MID-APACHE Apache2.2.1 ZTE-MID-APACHE-EH01以专门的用户帐号和组运行Apache备份操作：备份ht8、tpd.conf配置文件加固操作：创建apache用户和apachegroup组，apache用户的主组为apachegroup，具体命令请参考相关操作系统加固文档修改httpd.conf配置文件，添加如下语句：User apache Group apachegroup其中apache、apachegroup分别为前面为Apache创建的用户和组。重新启动Apache服务回退操作：恢复httpd.conf文件，重新启动Apache服务2.2.2 ZTE-MID-APACHE-EH02配置Apache系统日志备份操作：备份httpd.conf配置文件加固操作：编辑httpd.conf配置文件，设9、置日志记录文件、记录内容、记录格式。LogLevel notice ErrorLog logs/error_log LogFormat %h %l %u %t %r %s %b %Accepti %Refereri %User-Agenti combined CustomLog logs/access_log combinedErrorLog指令设置错误日志文件名和位置。错误日志是最重要的日志文件，Apache httpd将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到Syslog，则设置：ErrorLog syslog。CustomLog指令设置访问日志的文件名和位置。访10、问日志中会记录服务器所处理的所有请求。LogFormat设置日志格式。LogLevel用于调整记录在错误日志中的信息的详细程度，建议设置为notice。重新启动Apache服务回退操作：恢复httpd.conf文件，重新启动Apache服务2.2.3 ZTE-MID-APACHE-EH03禁止Apache访问Web目录之外的任何文件备份操作：备份httpd.conf配置文件加固操作：编辑httpd.conf配置文件， Order Deny,Allow Deny from all 设置可访问目录， Order Allow,Deny Allow from all 其中/web为网站根目录。回退操作11、：恢复httpd.conf文件，重新启动Apache服务2.2.4 ZTE-MID-APACHE-EL04限制http请求的消息主体的大小备份操作：备份httpd.conf配置文件加固操作：编辑httpd.conf文件的LimitRequestBody参数，修改为102400ByteLimitRequestBody 102400重新启动Apache服务回退操作：恢复httpd.conf文件，重新启动Apache服务2.2.5 ZTE-MID-APACHE-EL05更改Apache默认端口备份操作：备份httpd.conf配置文件加固操作：修改httpd.conf配置文件，更改默认端口到808012、 Listen x.x.x.x:8080配置完成后，重启Apache服务注意，是否可以更改端口与具体业务要求相关。回退操作：恢复httpd.conf文件，重新启动Apache服务2.2.6 ZTE-MID-APACHE-EM06 Apache错误页面重定向备份操作：备份httpd.conf配置文件加固操作：修改httpd.conf配置文件：ErrorDocument 400 /custom400.htmlErrorDocument 401 /custom401.htmlErrorDocument 403 /custom403.htmlErrorDocument 404 /custom404.h13、tmlErrorDocument 405 /custom405.html ErrorDocument 500 /custom500.htmlCustomxxx.html为要设置的错误页面。配置完成后，重新启动Apache服务注意，加固操作中出现的各种错误页面应该存在，建议各个项目根据自身特点定制出错页面回退操作：恢复httpd.conf文件，重新启动Apache服务2.2.7 ZTE-MID-APACHE-EH07禁止Apache列表显示文件备份操作：备份httpd.conf配置文件加固操作：编辑httpd.conf配置文件， Options FollowSymLinks AllowOverr14、ide None Order allow,denyAllow from all将Options Indexes FollowSymLinks中的Indexes 去掉，就可以禁止 Apache 显示该目录结构。Indexes 的作用就是当该目录下没有 index.html文件时，就显示目录结构。设置Apache的默认页面，编辑%apache%confhttpd.conf配置文件， DirectoryIndex index.html其中index.html即为默认页面，可根据情况改为其它文件。配置完成后，重新启动Apache服务回退操作：恢复httpd.conf文件，重新启动Apache服务2.215、.8 ZTE-MID-APACHE-EM08防范拒绝服务攻击备份操作：备份httpd.conf配置文件加固操作：编辑httpd.conf配置文件， Timeout 10 KeepAlive OnKeepAliveTimeout 15AcceptFilter http dataAcceptFilter https data配置完成后，重新启动Apache服务回退操作：恢复httpd.conf文件，重新启动Apache服务2.2.9 ZTE-MID-APACHE-EL09删除缺省安装的无用文件备份操作：备份下文中准备删除的文件加固操作：首先确认apache的安装目录删除缺省HTML文件：# rm 16、-rf /usr/local/apache2/htdocs/* 删除缺省的CGI脚本：# rm rf /usr/local/apache2/cgi-bin/*删除Apache说明文件：# rm rf /usr/local/apache2/manual删除源代码文件：# rm -rf /path/to/httpd-2.2.4*根据安装步骤不同和版本不同，某些目录或文件可能不存在或位置不同。回退操作：恢复文件至原位置2.2.10 ZTE-MID-APACHE-EL10隐藏Apache的版本号及其它敏感信息备份操作：备份httpd.conf配置文件加固操作：修改httpd.conf配置文件：ServerSignature Off ServerTokens Prod配置完成后，重新启动Apache服务回退操作：恢复httpd.conf文件，重新启动Apache服务2.3 ZTE-MID-IIS IIS