Apache服务器安全配置基线 Apache服务器安全配置基线 中国移动通信有限公司 管理信息系统部 2012年 04月 中国移动集团公司 第1页 共 11页 Apache服务器安全配置基线 版本版本控制信息 更新日期更新人审批人 V1.0创建 2009年4月 V2.0更新 2012年4月 备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 中国移动集团公司 第2页 共 11页 Apache服务器安全配置基线 目 录 第1章概述........................................................................................................................................... 4 1.1目的........................................................................................................................................... 4 1.2适用范围................................................................................................................................... 4 1.3适用版本................................................................................................................................... 4 1.4实施........................................................................................................................................... 4 1.5例外条款................................................................................................................................... 4 第2章日志配置操作........................................................................................................................... 5 2.1日志配置................................................................................................................................... 5 2.1.1审核登录.......................................................................................................................... 5 第3章设备其他配置操作................................................................................................................... 6 3.1访问权限................................................................................................................................... 6 3.1.1禁止访问外部文件.......................................................................................................... 6 3.2防攻击管理............................................................................................................................... 6 3.2.1错误页面处理.................................................................................................................. 7 3.2.2目录列表访问限制.......................................................................................................... 7 3.2.3拒绝服务防范.................................................................................................................. 8 3.2.4删除无用文件.................................................................................................................. 8 3.2.5隐藏敏感信息.................................................................................................................. 9 3.2.6Apache账户安全*............................................................................................................... 9 3.2.7限制请求消息长度........................................................................................................ 10 第4章评审与修订............................................................................................................................. 11 中国移动集团公司 第3页 共 11页 Apache服务器安全配置基线 第1章概述 1.1目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 Apache服务器应 当遵循的安全性设置标准，本文档旨在指导系统管理人员进行 Apache服务器的安全配置。 1.2适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理 的Apache 服务器系统。 1.3适用版本 2.0.x、2.2.x版本的Apache服务器。 1.4实施 本标准的解释权和修改权属于 中国移动集团管理信息系统部 ，在本标准的执行过程中 若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.5例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送 交中国移动通信有限公司管理信息系统部 进行审批备案。 中国移动集团公司 第4页 共 11页 Apache服务器安全配置基线 第2章日志配置操作 2.1日志配置 2.1.1审核登录 安全基线项 目名称Apache审核登录策略安全基线要求项 安全基线编 号SBL-Apache-02-01-01 安全基线项 说明 设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括时 间，用户使用的IP地址等内容。 检测操作步 骤1、参考配置操作 编辑httpd.conf配置文件，设置日志记录文件、记录内容、记录格式。 LogLevel notice ErrorLog logs/error_log LogFormat "%h %l %u %t \"