Укрепление всей системы
Укрепление всей системы
Укреплять надо не только сам Web-сервер, но и операционную систему, на которой он установлен. Ошибки и уязвимости обнаруживаются не только в Web-приложениях, но и в других программах и компонентах ОС. Здесь прежде всего необходимо ознакомиться с ресурсами Web-сайтов соответствующих поставщиков и установить все возможные программные обновления, исправляющие ошибки основной версии того или иного приложения.
Кроме ненужных компонентов Web-сервера необходимо также удалить и все неиспользуемые приложения и сервисы, запускаемые на этом компьютере. Каждая неиспользуемая, но установленная служба (или приложение) может расцениваться в качестве потенциальной угрозы. Оставляя на сервере программы, не приносящие видимой пользы в работе Web-сайта, вы тем самым создаете бреши в собственной обороне.
Убедитесь в том, что вы используете все функции защиты, предоставляемые сервером. Установите наиболее безопасную файловую систему. Например, если у вас Windows 2000 или NT, а используется FAT или FAT32, то пришло время конвертировать дисковое пространство в NTFS. Если NTFS уже используется, необходимо проверить установленные права доступа к ресурсам, объявленным для сетевого доступа. По умолчанию при создании нового сетевого ресурса (Shared Resource) NTFS устанавливает полные права доступа для группы Everyone. Проверьте, достаточно ли ограничен анонимный пользователь в своих действиях и правах при работе с сетевыми ресурсами.
Лекция "Лекция 11" также может быть Вам полезна.
Задача ограничения прав доступа играет очень важную роль в разработке защищенного сайта. Информация о локальном местонахождении каталогов, в которых размещены HTML-файлы, log-файлы и конфигурации, должна защищаться так же, как и сами каталоги. Никто не должен знать, где расположены подобные директории вашего сервера. По понятным причинам никто, кроме Web-мастера, не должен иметь доступа к директориям с конфигурационными файлами (обычно эти файлы расположены в корневой.
В отличие от корневой директории сервера, корень каталогов, в которых располагаются HTML-документы, должен быть доступен для посетителей. Однако доступ ограничивается правами чтения. Запись в эти каталоги должны осуществлять только члены администраторской группы, наделенные необходимыми полномочиями.
Доступ к директории, содержащей CGI-приложения (обычно эта директория называется CGI-BIN), осуществляется по другой схеме. Посетители могут запускать CGI-программы, и поэтому должны обеспечиваться правами запуска и чтения. Без сомнения, правами записи должны наделяться только члены администраторской группы.
Убедитесь в том, что администраторские пароли трудно подобрать методом прямого перебора или перебора по словарю. Кроме того, лучше, если эти пароли будут время от времени изменяться, особенно если кто-то из IT-отдела покидает компанию. Если вы подозреваете, что пароль давно не менялся или он не изменялся со времени установки сервера, то настал час его обновить.
Теперь немного о физической охране сервера. Прежде всего позаботьтесь о том, чтобы он располагался в защищаемом помещении. Это может быть специальная серверная комната, запираемая на ключ. Потратив столько усилий на обеспечение информационной безопасности сайта, будет крайне обидно, если сервер выйдет из строя или будет скомпрометирован в результате получения физического доступа к компьютеру. Причем может быть и так, что проблема возникнет в результате непреднамеренных действий пользователя, который перепутает сервер с обычной рабочей станцией.