中间件基本加固方案

技术文件技术文件名称：中间件基本加固方案技术文件编号：版本：V1.2文件质量等级：共11页(包括封面)拟制审核会签标准化批准中兴通讯股份有限公司内部公开▲本文所有信息为中兴通讯股份有限公司内部信息，未经允许，不得外传第2页，共11页修改记录文件编号版本号拟制人/修改人拟制/修改日期更改理由主要更改内容（写要点即可）1.0王华刚2009/05/18无无1.1王华刚2009/06/15配置编号配置加固项编号1.1.1王华刚2009/07/03更新配置编号更新配置加固项编号1.2王华刚2009-11-27增加内容增加APACHE加固项，并增加回退项注1：每次更改归档文件（指归档到事业部或公司档案室的文件）时，需填写此表。注2：文件第一次归档时，“更改理由”、“主要更改内容”栏写“无”。内部公开▲本文所有信息为中兴通讯股份有限公司内部信息，未经允许，不得外传第3页，共11页中间件基本加固方案目录(包括封面)........................................................................................................................................1修改记录...........................................................................................................................................21概述...........................................................................................................................................4内部适用性说明.......................................................................................................................4外部引用说明...........................................................................................................................4术语和定义...............................................................................................................................4符号和缩略语...........................................................................................................................42中间件安全配置操作指导.......................................................................................................52.1MID-TOMCATTomcat................................................................................................52.1.1ZTE-MID-TOMCAT-EH01修改8005端口密码............................................52.1.2ZTE-MID-TOMCAT-EH02删除管理应用......................................................52.1.3ZTE-MID-TOMCAT-EL03设置访问日志（可选）......................................52.1.4ZTE-MID-TOMCAT-EM04屏蔽列出目录.....................................................62.2ZTE-MID-APACHEApache........................................................................................62.2.1ZTE-MID-APACHE-EH01以专门的用户帐号和组运行Apache.................62.2.2ZTE-MID-APACHE-EH02配置Apache系统日志........................................72.2.3ZTE-MID-APACHE-EH03禁止Apache访问Web目录之外的任何文件...72.2.4ZTE-MID-APACHE-EL04限制http请求的消息主体的大小......................82.2.5ZTE-MID-APACHE-EL05更改Apache默认端口........................................82.2.6ZTE-MID-APACHE-EM06Apache错误页面重定向....................................82.2.7ZTE-MID-APACHE-EH07禁止Apache列表显示文件................................92.2.8ZTE-MID-APACHE-EM08防范拒绝服务攻击.............................................92.2.9ZTE-MID-APACHE-EL09删除缺省安装的无用文件................................102.2.10ZTE-MID-APACHE-EL10隐藏Apache的版本号及其它敏感信息..........102.3ZTE-MID-IISIIS........................................................................................................11内部公开▲本文所有信息为中兴通讯股份有限公司内部信息，未经允许，不得外传第4页，共11页中间件基本加固方案1概述内部适用性说明本规范是在《业务研究院网络安全规范》中各项要求的基础上，提出中间件安全配置指南，针对《通用规范》中所列的配置要求，给出了在Tomcat、Apache和IIS上的具体配置方法和检测方法。外部引用说明《中国移动设备通用安全功能和配置规范》术语和定义符号和缩略语缩写英文描述中文描述本文件中的字体标识如下：蓝色斜体在具体执行时需要替换的内容检查/加固项编码意义如下：公司名称-操作系统-条目性质风险级别数字编号-小项数字编号条目性质中：S意为检查；E意为加固风险级别中：H意为高风险；M意为中等风险；L意为低风险，风险级别仅存于具体条目中注意，各操作系统版本和特定现场的apache、tomcat安装位置不同，在此不描述配置文件的安装位置。内部公开▲本文所有信息为中兴通讯股份有限公司内部信息，未经允许，不得外传第5页，共11页2中间件安全配置操作指导2.1MID-TOMCATTomcat2.1.1ZTE-MID-TOMCAT-EH01修改8005端口密码备份操作：备份server.xml文件加固操作：检查server.xml文件，server.xml默认有下面一行：Serverport=8005shutdown=SHUTDOWNdebug=0修改为Serverport=8006shutdown=newpassworddebug=0注意newpassword为新密码，需要满足8位，至少2个特殊字符等强密码要求重新启动tomcat回退操作：恢复原server.xml文件，重新启动tomcat2.1.2ZTE-MID-TOMCAT-EH02删除管理应用备份操作：备份{Tomcat安装目录}\server\webapps目录下的admin和manager两个应用加固操作：Tomcat管理台的应用文件，默认在{Tomcat安装目录}\server\webapps下，有admin和manager两个应用，将这两个目录删除。回退操作：将备份的admin和manager两个应用恢复到原目录下2.1.3ZTE-MID-TOMCAT-EL03设置访问日志（可选）备份操作：备份server.xml文件加固操作：修改server.xml配置文件：原配置：ValveclassName=org.apache.catalina.valves.AccessLogValvedirectory=logsprefix=localhost_access_log.suffix=.txtpattern=commonresolveHosts=false/修改为：内部公开▲本文所有信息为中兴通讯股份有限公司内部信息，未经允许，不得外传第6页，共11页ValveclassName=org.apache.catalina.valves.AccessLogValvedirectory=c:\logsprefix=localhost_access_log.suffix=.txtpattern=combinedresolveHosts=false/进行此项配置后，日志文件增加会很快，请项目注意解决日志问题定期清理。重新启动tomcat。回退操作：恢复原server.xml文件，重新启动tomcat2.1.4ZTE-MID-TOMCAT-EM04屏蔽列出目录备份操作：备份conf/web.xml文件加固操作：修改conf/web.xml文件将init-paramparam-namelistings/param-nameparam-valuetrue/param-value/init-param修改为init-paramparam-namelistings/param-nameparam-valuefalse/param-value/init-param重新启动tomcat回退操作：恢复原conf/web.xml文件，重新启动tomcat2.2ZTE-MID-APACHEApache2.2.1ZTE-MID-APACHE-EH01以专门的用户帐号和组运行Apache备份操作：备份httpd.conf配置文件加固操作：创建apache用户和apachegroup组，apache用户的主组为apachegroup，具体命令请参考相关操作系统加固文档修改httpd.conf配置文件，添加如下语句：内部公开▲本文所有信息为中兴通讯股份有限公司内部信息，未经允许，不得外传第7页，共11页UserapacheGroupapachegroup其中apache、apachegroup分别为前面为Apache创建的用户和组。重新启动Apache服务回退操作：恢复httpd.conf文件，重新启动Apache服务2.2.2ZTE-MID-APACHE-EH02配置Apache系统日志备份操作：备份httpd.conf配置文件加固操作：编辑httpd.conf配置文件，设置日志记录文件、记录内容、记录格式。LogLevelnoticeErrorLoglogs/error_logLogFormat%h%l%