政府組態基準 (Government Configuration Baseline,簡稱 GCB) 知識庫 - Apache HTTP Server 2.4 V1.1
項次 | TWGCB-ID | 原則設定名稱 | 設定值 |
---|---|---|---|
1 | TWGCB-04-007-0001 | Log Config 模組 | 啟用 |
2 | TWGCB-04-007-0002 | WebDAV 模組 | 停用 |
3 | TWGCB-04-007-0003 | Status 模組 | 停用 |
4 | TWGCB-04-007-0004 | Autoindex 模組 | 停用 |
5 | TWGCB-04-007-0005 | Proxy 模組 | 停用 |
6 | TWGCB-04-007-0006 | User Directories 模組 | 停用 |
7 | TWGCB-04-007-0007 | Info 模組 | 停用 |
8 | TWGCB-04-007-0008 | 以非 root 身分運行 Apache 網頁伺服器 | 以非 root 身分(如 apache) 使用者與群組運行 Apache 網頁伺服器 |
9 | TWGCB-04-007-0009 | 運行 Apache 網頁伺服器之帳戶禁止登入系統 | 禁止登入系統 |
10 | TWGCB-04-007-0010 | 鎖定運行 Apache 網頁伺服器之帳戶密碼 | 鎖定密碼 |
11 | TWGCB-04-007-0011 | 設定 Apache 目錄與檔案之擁有者 | root |
12 | TWGCB-04-007-0012 | 設定 Apache 目錄與檔案之所屬群組 | root |
13 | TWGCB-04-007-0013 | 設定 Apache 目錄與檔案之 others 身分權限 | others 身分不具寫入權限 |
14 | TWGCB-04-007-0014 | 限制 Apache 目錄與檔案之群組寫入權限 | 群組不具寫入權限 |
15 | TWGCB-04-007-0015 | 限制文件根目錄與檔案之群組寫入權限 | 運行 Apache 網頁伺服器之群組不具有寫入權限 |
16 | TWGCB-04-007-0016 | 保護核心轉儲目錄 | 目錄所有權設為「root: 運行 Apache 伺服器群組(例如 apache)」所擁有,並移除 others 權限 |
17 | TWGCB-04-007-0017 | 保護鎖定檔案 | 目錄位於本機硬碟,且所有權設為「root:root」與僅由啟動 Apache 的帳戶 (例如 root)具寫入權限 |
18 | TWGCB-04-007-0018 | 保護 pid 檔案 | 目錄所有權設為「root:root」與僅由啟動 Apache 的帳戶 (例如 root)具寫入權限 |
19 | TWGCB-04-007-0019 | 保護 ScoreBoard 檔案 | 目錄位於本機硬碟,且所有權設為「root:root」與僅由啟動 Apache 的帳戶 (例如 root) 具寫入權限 |
20 | TWGCB-04-007-0020 | 拒絕存取作業系統根目錄 | all denied |
21 | TWGCB-04-007-0021 | 禁止作業系統根目錄的設定被取代 | None |
22 | TWGCB-04-007-0022 | 禁止所有目錄的設定被取代 | None |
23 | TWGCB-04-007-0023 | 限制作業系統根目錄之 Options 功能 | None |
24 | TWGCB-04-007-0024 | 限制文件根目錄之 Options 功能 | None |
25 | TWGCB-04-007-0025 | 最小化其他目錄的 Options 功能 | 刪除 Includes 參數 |
26 | TWGCB-04-007-0026 | 預設 HTML 內容 | 移除 |
27 | TWGCB-04-007-0027 | 預設 CGI 腳本 (printenv) | 移除 |
28 | TWGCB-04-007-0028 | 預設 CGI 腳本 (test-cgi) | 移除 |
29 | TWGCB-04-007-0029 | 限制 HTTP 請求方法 | 至多允許 GET、POST 及 OPTIONS 等 HTTP 請求方法 |
30 | TWGCB-04-007-0030 | HTTP TRACE 請求方法 | off |
31 | TWGCB-04-007-0031 | HTTP 協定版本 | 使用 HTTP 1.1(含) 以上版本 |
32 | TWGCB-04-007-0032 | 「.ht*」檔案存取 | all denied |
33 | TWGCB-04-007-0033 | 可使用的檔案副檔名 | 僅允許存取清單內之副檔名 |
34 | TWGCB-04-007-0034 | 基於 IP 位址的請求 | 拒絕 |
35 | TWGCB-04-007-0035 | 限制 Listen 指令 | 明確指定 IP 位址與埠號 |
36 | TWGCB-04-007-0036 | 限制網站被嵌入到 frame | Header always append X-Frame-Options SAMEORIGIN 或 Header always append X-Frame-Options DENY |
37 | TWGCB-04-007-0037 | 設定錯誤日誌的記錄等級 | 核心模組的記錄等級設為 info(含) 以下,其餘模組的記錄等級設為 notice(含) 以下 |
38 | TWGCB-04-007-0038 | 設定存取日誌格式 | combined |
39 | TWGCB-04-007-0039 | 日誌保留時間 | 13 週(含) 以上 |
40 | TWGCB-04-007-0040 | mod_ssl 模組 | 安裝 |
41 | TWGCB-04-007-0041 | 保護伺服器之私鑰 | 將私鑰所有權設為 root:root,且權限設為 0400 |
42 | TWGCB-04-007-0042 | SSLv3、TLSv1.0 及 TLSv1.1 協定 | 停用 |
43 | TWGCB-04-007-0043 | SSL/TLS 加密演算法 | SSLHonorCipherOrder On SSLCipherSuite ALL:!EXP:!NULL:!LOW:!SSLv2:!MD5:!RC4:!aNULL |
44 | TWGCB-04-007-0044 | SSL 的不安全重新協商 | off |
45 | TWGCB-04-007-0045 | SSL 壓縮 | off |
46 | TWGCB-04-007-0046 | OCSP 裝訂 | On |
47 | TWGCB-04-007-0047 | HTTP 強制安全傳輸機制 (HSTS) | 啟用,且 max-age 設為 480 秒(含) 以上 |
48 | TWGCB-04-007-0048 | 設定 HTTP 伺服器回應標頭 | Prod |
49 | TWGCB-04-007-0049 | 設定伺服器生成頁面之頁腳資訊 | Off |
50 | TWGCB-04-007-0050 | Apache 預設內容 | 移除 Apache 預設內容 |
51 | TWGCB-04-007-0051 | ETag 回應標頭 | None |
52 | TWGCB-04-007-0052 | 連線逾時時間 | 60 以下,但須大於 0 |
53 | TWGCB-04-007-0053 | HTTP 持續連線 | On |
54 | TWGCB-04-007-0054 | HTTP 持續連線所允許的請求數量 | 100 以上 |
55 | TWGCB-04-007-0055 | HTTP 持續連線關閉前的等待後續請求時間 | 15 以下,但須大於 0 |
56 | TWGCB-04-007-0056 | 請求標頭的逾時時間 | 40 以下 |
57 | TWGCB-04-007-0057 | 請求主體的逾時時間 | 20 以下 |
58 | TWGCB-04-007-0058 | 限制請求行的大小 | 512 以下,但須大於 0 |
59 | TWGCB-04-007-0059 | 限制請求欄位的數量 | 100 以下,但須大於 0 |
60 | TWGCB-04-007-0060 | 限制請求標頭的大小 | 1024 以下,但須大於 0 |
61 | TWGCB-04-007-0061 | 限制請求主體的大小 | 102400 以下,但須大於 0 |
62 | TWGCB-04-007-0062 | SELinux | 啟用,並設為 enforcing 模式 |
63 | TWGCB-04-007-0063 | Apache 程序在受限制的 SELinux 安全性本文中運行 | httpd 二進制檔案具有 httpd_exec_t 的安全性本文,以及 apachectl 二進制檔案具有 initrc_exec_t 的安全性本文 |
64 | TWGCB-04-007-0064 | 設定 httpd_t 程序類型的運行模式 | 不使用寬容模式 |
65 | TWGCB-04-007-0065 | Basic Authentication 與 Digest Authentication 模組 | 停用 |
66 | TWGCB-04-007-0066 | 通過 HTTPS 存取網站內容 | 僅通過 HTTPS 存取 |