Межсетевое экранирование

         

Список действий для безопасного инсталлирования и конфигурирования web-сервера


Безопасное инсталлирование web-сервера.

  • Инсталлировать ПО сервера на выделенный хост.
  • Инсталлировать минимально требуемые сервисы Интернета.
  • Применить все patches и upgrades для устранения известных уязвимостей.
  • Создать выделенный физический диск или логический раздел (отдельно от ОС и приложения сервера) для web-содержимого.
  • Удалить или запретить все сервисы, инсталлированные приложением web-сервера, но в данном случае не требуемые (например, gopher, FTP и удаленное администрирование).

  • Удалить все примеры страниц, скриптов и выполняемого кода.
  • Удалить с сервера всю документацию производителя.
  • Протестировать сервер, применив различные образцы безопасности или скрипты взлома.
  • Переконфигурировать баннер НТТР-сервиса (и баннеры других сервисов, если требуется), чтобы он не сообщал о типе и версии web-сервера и ОС.

Конфигурирование управления доступом web-сервера со стороны ОС.

  • Сконфигурировать доступ к файлам со стороны ОС так, чтобы процессы web-сервера могли только читать файлы web-содержимого, но не могли записывать в них.

  • Сконфигурировать доступ к файлам со стороны ОС так, чтобы процессы web-сервера не могли записывать в директории, в которых расположено содержимое web.

  • Сконфигурировать доступ к файлам со стороны ОС так, чтобы только процессы, авторизованные для администрирования web-сервера, могли записывать в файлы содержимого web.

  • – Сконфигурировать доступ к файлам со стороны ОС так, чтобы web-приложение могло писать в лог-файлы web-сервера, но лог-файлы не могли быть читаемы приложением web-сервера.

  • Сконфигурировать доступ к файлам со стороны ОС так, чтобы временные файлы, создаваемые приложением web-сервера, были расположены только в указанной и соответствующим образом защищенной поддиректории.

  • Сконфигурировать доступ к файлам со стороны ОС так, чтобы доступ к любым временным файлам, созданным приложением web-сервера, был ограничен только процессами, которые создали эти файлы.

  • Инсталлировать web-содержимое на отдельном жестком диске или логическом разделе, отличном от ОС и web-приложения.


  • Сконфигурировать доступ к файлам со стороны ОС так, что если допустима загрузка на web-сервер, то должно существовать ограничение на пространство жесткого диска или логического раздела, которое выделено для этих целей.


  • Сконфигурировать доступ к файлам со стороны ОС так, чтобы лог-файлы имели соответствующий максимальный размер.


Конфигурирование безопасной директории web-содержимого.



  • Выделить отдельный жесткий диск или логический раздел для web-содержимого и установить соответствующие поддиректории исключительно для файлов содержимого web-сервера, включая графику, но исключая скрипты и другие программы.


  • Определить отдельную директорию исключительно для всех внешних по отношению к ПО web-сервера скриптов или программ, выполняющихся как часть содержимого web-серверанапример, CGI, ASP и т.п.).


  • Запретить выполнение скриптов, которые не находятся под управлением административных аккаунтов. Данное действие выполняется созданием доступа и управлением им к отдельной директории, которая предназначена для авторизованных скриптов.


  • Создать группы и пользователей для web-сервера.
  • Запретить использование жестких и символических ссылок (аналог shortcuts в Windows).


  • Определить полную матрицу доступа к web-содержимому. Определить, какие папки и файлы внутри документов web-сервера имеют ограничения и какие являются доступными (и кому).
  • Проверить политику паролей в организации и установить соответствующие критерии паролей (длина, сложность).


  • Использовать при необходимости файл robots.txt.


Использование программ проверки целостности.



  • Инсталлировать проверку целостности для защиты конфигурационных файлов web-сервера.
  • Пересчитывать контрольные суммы при изменении содержимого файлов.
  • Хранить контрольные суммы в защищенном от записи носителе.
  • Регулярно сравнивать контрольные суммы критичных файлов с эталонными значениями.



Содержание раздела