政府組態基準 (Government Configuration Baseline,簡稱 GCB) 知識庫 - Apache HTTP Server 2.4 V1.1

項次 TWGCB-ID 原則設定名稱 設定值
1TWGCB-04-007-0001Log Config 模組 啟用
2TWGCB-04-007-0002WebDAV 模組 停用
3TWGCB-04-007-0003Status 模組 停用
4TWGCB-04-007-0004Autoindex 模組 停用
5TWGCB-04-007-0005Proxy 模組 停用
6TWGCB-04-007-0006User Directories 模組 停用
7TWGCB-04-007-0007Info 模組 停用
8TWGCB-04-007-0008以非 root 身分運行 Apache 網頁伺服器 以非 root 身分(如 apache) 使用者與群組運行 Apache 網頁伺服器
9TWGCB-04-007-0009運行 Apache 網頁伺服器之帳戶禁止登入系統 禁止登入系統
10TWGCB-04-007-0010鎖定運行 Apache 網頁伺服器之帳戶密碼 鎖定密碼
11TWGCB-04-007-0011設定 Apache 目錄與檔案之擁有者 root
12TWGCB-04-007-0012設定 Apache 目錄與檔案之所屬群組 root
13TWGCB-04-007-0013設定 Apache 目錄與檔案之 others 身分權限 others 身分不具寫入權限
14TWGCB-04-007-0014限制 Apache 目錄與檔案之群組寫入權限 群組不具寫入權限
15TWGCB-04-007-0015限制文件根目錄與檔案之群組寫入權限 運行 Apache 網頁伺服器之群組不具有寫入權限
16TWGCB-04-007-0016保護核心轉儲目錄 目錄所有權設為「root: 運行 Apache 伺服器群組(例如 apache)」所擁有,並移除 others 權限
17TWGCB-04-007-0017保護鎖定檔案 目錄位於本機硬碟,且所有權設為「root:root」與僅由啟動 Apache 的帳戶 (例如 root)具寫入權限
18TWGCB-04-007-0018保護 pid 檔案 目錄所有權設為「root:root」與僅由啟動 Apache 的帳戶 (例如 root)具寫入權限
19TWGCB-04-007-0019保護 ScoreBoard 檔案 目錄位於本機硬碟,且所有權設為「root:root」與僅由啟動 Apache 的帳戶 (例如 root) 具寫入權限
20TWGCB-04-007-0020拒絕存取作業系統根目錄 all denied
21TWGCB-04-007-0021禁止作業系統根目錄的設定被取代 None
22TWGCB-04-007-0022禁止所有目錄的設定被取代 None
23TWGCB-04-007-0023限制作業系統根目錄之 Options 功能 None
24TWGCB-04-007-0024限制文件根目錄之 Options 功能 None
25TWGCB-04-007-0025最小化其他目錄的 Options 功能 刪除 Includes 參數
26TWGCB-04-007-0026預設 HTML 內容 移除
27TWGCB-04-007-0027預設 CGI 腳本 (printenv) 移除
28TWGCB-04-007-0028預設 CGI 腳本 (test-cgi) 移除
29TWGCB-04-007-0029限制 HTTP 請求方法 至多允許 GET、POST 及 OPTIONS 等 HTTP 請求方法
30TWGCB-04-007-0030HTTP TRACE 請求方法 off
31TWGCB-04-007-0031HTTP 協定版本 使用 HTTP 1.1(含) 以上版本
32TWGCB-04-007-0032「.ht*」檔案存取 all denied
33TWGCB-04-007-0033可使用的檔案副檔名 僅允許存取清單內之副檔名
34TWGCB-04-007-0034基於 IP 位址的請求 拒絕
35TWGCB-04-007-0035限制 Listen 指令 明確指定 IP 位址與埠號
36TWGCB-04-007-0036X-Frame-Options 回應標頭 Header always append X-Frame-Options SAMEORIGIN 或 Header always append X-Frame-Options DENY
37TWGCB-04-007-0037設定錯誤日誌的記錄等級 核心模組的記錄等級設為 info(含) 以下,其餘模組的記錄等級設為 notice(含) 以下
38TWGCB-04-007-0038設定存取日誌格式 combined
39TWGCB-04-007-0039日誌保留時間 13 週(含) 以上
40TWGCB-04-007-0040mod_ssl 模組 安裝
41TWGCB-04-007-0041保護伺服器之私鑰 將私鑰所有權設為 root:root,且權限設為 0400
42TWGCB-04-007-0042SSLv3、TLSv1.0 及 TLSv1.1 協定 停用
43TWGCB-04-007-0043SSL/TLS 加密演算法 SSLHonorCipherOrder On SSLCipherSuite ALL:!EXP:!NULL:!LOW:!SSLv2:!MD5:!RC4:!aNULL
44TWGCB-04-007-0044SSL 的不安全重新協商 off
45TWGCB-04-007-0045SSL 壓縮 off
46TWGCB-04-007-0046OCSP 裝訂 On
47TWGCB-04-007-0047HTTP 強制安全傳輸機制 (HSTS) 啟用,且 max-age 設為 480 秒(含) 以上
48TWGCB-04-007-0048設定 HTTP 伺服器回應標頭 Prod
49TWGCB-04-007-0049設定伺服器生成頁面之頁腳資訊 Off
50TWGCB-04-007-0050Apache 預設內容 移除 Apache 預設內容
51TWGCB-04-007-0051ETag 回應標頭 None
52TWGCB-04-007-0052連線逾時時間 60 以下,但須大於 0
53TWGCB-04-007-0053HTTP 持續連線 On
54TWGCB-04-007-0054HTTP 持續連線所允許的請求數量 100 以上
55TWGCB-04-007-0055HTTP 持續連線關閉前的等待後續請求時間 15 以下,但須大於 0
56TWGCB-04-007-0056請求標頭的逾時時間 40 以下
57TWGCB-04-007-0057請求主體的逾時時間 20 以下
58TWGCB-04-007-0058限制請求行的大小 512 以下,但須大於 0
59TWGCB-04-007-0059限制請求欄位的數量 100 以下,但須大於 0
60TWGCB-04-007-0060限制請求標頭的大小 1024 以下,但須大於 0
61TWGCB-04-007-0061限制請求主體的大小 102400 以下,但須大於 0
62TWGCB-04-007-0062SELinux 啟用,並設為 enforcing 模式
63TWGCB-04-007-0063Apache 程序在受限制的 SELinux 安全性本文中運行 httpd 二進制檔案具有 httpd_exec_t 的安全性本文,以及 apachectl 二進制檔案具有 initrc_exec_t 的安全性本文
64TWGCB-04-007-0064設定 httpd_t 程序類型的運行模式 不使用寬容模式
© 2015 美麗島安全科技 4MOSAn Security Technology Co., Ltd. 版權所有
新竹市草漯街 205 巷 17 號     聯絡:info 小老鼠 4mosan.com