IHS安全配置手册

第 1 章 IHS安全配置手册

1.1 用户管理 第一级 1) 安全要求

? 设置IHS的匿名用户。 2) 实施指引

? 创建用户和组，在配置文件中修改IHS匿名用户和组为刚创建的用户和组。 User apache Group apache 第二级 1) 安全要求

? 设置IHS的匿名用户。 ? 为私有信息设置身份认证访问。 2) 实施指引

? 创建用户和组，在配置文件中修改IHS匿名用户和组为刚创建的用户和组。 User apache Group apache

? IHS支持的身份认证方法有三种：

1. 基本身份验证方式。用户验证信息保存在文件或者数据

库中。认证过程中用户和密码使用明文传输。 2. 数字摘要身份验证方式。 3. 数字证书身份验证方式。

第三级 1) 安全要求

? 设置IHS的匿名用户。 ? 为私有信息设置身份认证访问。

? 使用非root用户启动IHS。(只有在侦听端口号大于1024的情况下才能使用非root用户启动IHS。在使用IHS代理的场景下，提供代理服务的IHS开启80端口，提供Web服务的IHS开启1024以上的端口，所以通常在启用了IHS代理的情况下才会使用非root用户启动IHS。) 2) 实施指引

? 创建用户和组，在配置文件中修改IHS匿名用户和组为刚创建的用户和组。 User apache Group apache

? IHS支持的身份认证方法有三种：

1. 基本身份验证方式。用户验证信息保存在文件或者数据库中。认证过程中用户和密码使用明文传输。 2. 数字摘要身份验证方式。 3. 数字证书身份验证方式。

? 为运行IHS创建单独的用户。

? 使用非root用户可以绑定使用的端口侦听（正常情况下非root用户只允许使用1024以上的端口）。 ? 为非root用户添加日志的读写权限。 1.2 服务器安全 第一级 1) 安全要求

? 隐藏响应中IHS的版本号及其它敏感信息。 ? 关闭目录浏览。 ? 关闭includes选项。 ? 关闭CGI执行程序。 ? 禁止IHS遵循符号链接。 2) 实施指引

? 在IHS配置文件httpd.conf中使用指令ServerSignature Off和ServerTokens ProductOnly后即可隐藏IHS的版本号等敏感信息。

? 在IHS配置文件httpd.conf中使用指令Options -Indexes关闭目录浏览。 ？

? 在IHS配置文件httpd.conf中使用指令Options -Includes关闭includes选项。 有但无‘-’号

? 在IHS配置文件httpd.conf中使用指令Options -ExecCGI关闭CGI执行程序。

? 在IHS配置文件httpd.conf中使用指令Options - FollowSymLinks禁止IHS遵循符号链接。 第二级 1) 安全要求

? 隐藏响应中IHS的版本号及其它敏感信息。 ? 关闭目录浏览。 ? 关闭includes选项。 ? 关闭CGI执行程序。 ? 禁止IHS遵循符号链接。 ? 关闭所有Options选项。 ? 关闭对.htaccess文件的支持。 2) 实施指引

? 在IHS配置文件httpd.conf中使用指令ServerSignature Off和ServerTokens ProductOnly后即可隐藏IHS的版本号等敏感信息。

? 在IHS配置文件httpd.conf中使用指令Options -Indexes关闭目录浏览。

? 在IHS配置文件httpd.conf中使用指令Options -Includes关闭includes选项。

? 在IHS配置文件httpd.conf中使用指令Options -ExecCGI关闭CGI执行程序。

? 在IHS配置文件httpd.conf中使用指令Options -

FollowSymLinks禁止IHS遵循符号链接。

? 在IHS配置文件httpd.conf中使用指令Options None关闭所有Options选项。

? 在IHS配置文件httpd.conf中使用指令AllowOverride None关闭对.htaccess文件的支持。 第三级 1) 安全要求

? 隐藏响应中IHS的版本号及其它敏感信息。 ? 关闭目录浏览。 ? 关闭includes选项。 ? 关闭CGI执行程序。 ? 禁止IHS遵循符号链接。 ? 关闭所有Options选项。 ? 关闭对.htaccess文件的支持。 ? 使用反向代理保护IHS服务器。 2) 实施指引

? 在IHS配置文件httpd.conf中使用指令ServerSignature Off和ServerTokens ProductOnly后即可隐藏IHS的版本号等敏感信息。

? 在IHS配置文件httpd.conf中使用指令Options -Indexes关闭目录浏览。

? 在IHS配置文件httpd.conf中使用指令Options -Includes

关闭includes选项。

? 在IHS配置文件httpd.conf中使用指令Options -ExecCGI关闭CGI执行程序。

? 在IHS配置文件httpd.conf中使用指令Options - FollowSymLinks禁止IHS遵循符号链接。

? 在IHS配置文件httpd.conf中使用指令Options None关闭所有Options选项。

? 在IHS配置文件httpd.conf中使用指令AllowOverride None关闭对.htaccess文件的支持。

由代理服务器开放80端口对外服务，将IHS服务器（可以使用非80端口提供服务）保护在内网中。

本文来源：https://www.bwwdw.com/article/lps2.html