Повышение надежности сервера
Повышение надежности сервера
После установки Web-сервера полезно укрепить его защиту и повысить надежность, правильно отрегулировав все параметры. Простая установка не защитит от возможных ошибок разработчиков, а эти ошибки сказываются на безопасности системы. Задача «укрепления» сервера - простая и вместе с тем необходимая работа, которую надо выполнить еще до того, как сайт появится в сети.
Установка программных обновлений
Сразу после инсталляции сервера узнайте, существуют ли обновления для интересующей вас версии. Для этого достаточно посетить сайт производителя, где есть вся необходимая информация. Кроме того, на этом сайте вы, скорее всего, найдете статьи, описывающие возможные проблемы безопасности вашего сервера и шаги по устранению неточностей и брешей в обороне.
Исключение лишних портов, сервисов и компонентов
Ранее уже говорилось о том, что контроль доступа может производится с помощью пакетной фильтрации. Мы также знаем, что для доступа к услугам вашего сайта на сервере открыты соответствующие порты. Некоторые услуги, а следовательно и порты, возможно, не нужны для работы вашего сайта. Эти порты должны быть отключены или отфильтрованы. Например, если вы не собираетесь пользоваться FTP, необходимо закрыть порты 20 и 21. Это никоим образом не отразится на работе остальных служб, но повысит защищенность сайта. Каждый сервер имеет свой собственный механизм работы с портами, так что придется обратиться к документации.
Проверить, отключены ли ненужные в работе порты и службы, можно с помощью автоматического сканера или соответствующих клиентских программ, работающих с этими службами.
Если Вам понравилась эта лекция, то понравится и эта - 5.4. Каноническое проектирование ИС.
Обратите внимание, что недостаточно просто остановить сервис. Если сервис установлен с параметром автоматического включения, то он запустится во время последующего старта системы.
Будет не лучше, если вы установите сервис в режим запуска вручную (manual). Если служба останется на компьютере, то есть вероятность, что хакер сможет запустить ее самостоятельно. Лишние службы должны полностью удаляться или выключаться.
Меры по укреплению защиты сайта подразумевают также удаление ненужных компонентов системы. При рассмотрении Apache вы, вероятно, заметили, что функциональность этого сервера расширяется за счет подключения дополнительных модулей. Другие Web-серверы устроены подобным образом, то есть функциональность добавляется с помощью установки дополнительных компонентов. Если вы оставите на жестком диске ненужные компоненты сервера, то тем самым упростите задачу хакеру, способному внедриться в систему и запустить эти службы. Если же какие-то компоненты не нужны в работе, но установлены на сервере, они могут быть задействованы при получении несанкционированного доступа к ресурсам или для других вредоносных операций.
Удаляйте неиспользуемые скрипты и файлы
При установке Web-сервера на диске нередко появляются разнообразные скрипты - примеры программирования сервера. Предполагается, что вы используете приемы, описываемые в этих скриптах. Если такие примеры останутся в пределах анонимного доступа, то, скорее всего, будут использованы хакером при попытке получить несанкционированный доступ (например, к исходным текстам других скриптов) или для проведения DoS-атаки. Правило простое - перенесите скрипты-примеры в другой каталог, недоступный для удаленных пользователей.
Кроме скриптов, необходимо позаботиться об исполняемых файлах. Более того, убедитесь, что пользователи не имеют права записи в каталоге с ис- полняемыми программами или скриптами. Вы должны по возможности сузить круг пользователей, способных запускать Web-приложения или за-г|ружать на сервер свои файлы. Такое правило станет большим подспорьем Яри проведении аудита. Не забудьте удалить или переименовать командные интерпретаторы, которые в вашем случае не используются. Например, если вы не задействуете Perl CGI, то будет лучше, когда вы удалите соответствующий Perl-интерпретатор.