Nginx基线安全整改技术方案

  • 格式:xlsx
  • 大小:10.41 KB
  • 文档页数:2
提示输入用户名和口令;以错误 口令或空口令登录时提示登录失败,验证了 登录控制功能的有效性; 2)不存在不需要密码的用户;
1)Nginx用户密码长度不小于8位,由数字、 大小写字母、特殊符号组成,并规定了口令 更换的周期; 2)以不符合复杂度要求和不符合长度要求的 口令创建用户时均提示失败。
1)日志级别为Info
1)检查Nginx 配置文件,查看是否配置 ErrorLog错误日志以及文件位置
1)检查Nginx 配置文件,查看是否配置 accesslog访问日志以及文件位置
1)nginx文件根目录下执行./configure \ 预期: >--without-http_autoindex_module \ //禁用自动索引文件目录模块 1)查看Nginx conf配置文件的Nginx geo模 块,是否存在拒绝或允许访问的ip地址
1)nginx文件根目录下执行./configure \ 预期: >--without-http_autoindex_module \ //禁用自动索引文件目录模块
1)访问http:ip:端口/index 路径,F12中 查看响应信息
1)访问http:ip:端口/index 路径,F12中 查看响应信息
访谈,手工检查 检查Nginx配置文件查看是否禁用自 动索引文件目录模块
b) 服务器应答头中的版本信息:隐藏版本信 息,防止软件版本信息泄漏
手工检查
Web浏览器访问Nginx的index页面, 查看响应头中是否存在版本信息
c) 服务器生成页面的页脚中版本信息关闭, 不显示服务器默认欢迎页面
手工检查 Web浏览器访问Nginx的index页面, 查看响应头中是否存在版本信息
安全子类
身份鉴别 (S1)
日志与审计 (S2)
服务优化(S3)
安全防护 (S4)
测评指标
测评方法
访谈,手工检查
1)访谈系统管理员,询问系统用户
a)添加账号认证,开启authbase账号密码认 是否已设置密码,并查看在登录过程
证,外部应用通过nginx提供的authbase账号 中系统账户是否使用了密码进行验证
密码认证来实现
登录;
2)检查Nginx conf配置文件,是否
开启auth_basic;其他配置项例如
b) 用户身份标识应具有不易被冒用的特点, 口令应有复杂度要求并定期更换;
手工检测 检查Nginx 的用户配置文件,查看密 码字段的复杂度。
a)日志级别采用Info日志级别,分析问题时 采用更高日志级别
访谈,手工检查 检查Nginx 配置文件,查看日志级别 配置项
b) 错误日志及记录ErrorLog,配置错误日志 文件名及位置
手工检查 检查Nginx 配置文件,查看是否配置 错误日志以及文件位置
c) 访问日志accesslog,配置访问日志文件名 及位置
手工检查 检查Nginx 配置文件,查看是否配置 访问日志以及文件位置
a) 禁用无用模块
手工检查 检查Nginx配置文件查看是否禁用自 动索引文件目录模块以及SSI模块
b) 限制IP访问,启用黑白名单,对网站或敏 手工检查
感目录的访问 IP 进行限制(可选,询问是否 检查Nginx配置文件查看是否启用黑
有此类需求)
白名单
a) 遍历操作系统目录,修改参数文件,禁止 目录遍历