| Decide | Дата: Среда, 14.11.2012, 10:04 | Сообщение # 1 |
 Полковник
Группа: Администраторы
Сообщений: 241
Статус: Offline
| Во избежания постоянных вопрос на форуме по поводу обеспечения безопасности на сервере была сделана данная заметка, которая обрисовывает общую картину действий. Материал собирает в себе далеко не все возможные меры предосторожности, и не все приведенные способы возможно применять из-за индивидуальных настроек сервера. В контенте рассматривается лишь среда программного обеспечения сервера.
В стороне остались аппаратные комплексы защиты и топология построения сети.
x0. Общие сведения.
Своевременное обновление программного обеспечения.
Придерживаться Sarge версий ПО.
Отключение ненужных сервисов, пакетов на стадии "сборки" (если это возможно).
Пренебрегать ПО и протоколами, в которых присутствует передача информации лишь в plain формате.
Удаление, либо сокрытие информации, способной скомпрометировать систему.
Сводить к минимуму количество запущенных служб.
Стараться использовать преимущественно встроенные механизмы.
Переименовывать учетную запись администратора, а так же изменять стандартные пароли.
Использовать сильные пароли с ограничением срока действия.
Блокировать анонимный доступ в "приложениях".
Комплексное резервное копирование информации с применением отдельного сервера.
При необходимости применять дополнительные протоколы аутентификации.
x1. Целевая программно-аппаратная платформа.
Настройка дисковых квот на стадии монтирования.
Строгая политика разграничения пользовательских квот, а так же их групп.
"Строгие" директории для динамических библиотек.
Отсутствие посторонних программных-оболочек.
Запретить вход учётной записи root с неизвестных "интерфейсов".
Присутствие дополнительной проверки подлинности юзеров.
Ограничить применение сценариев с setuid атрибутами.
x2. ПО серверной части.
Cистема обнаружения вторжения/система предотвращения вторжений (система отражения локальных угроз):
• • На сетевом уровне.
• • Операционного уровня.
• • На уровне протоколов (прикладных протоколах при наличии БД).
• • На уровне узла.
Система ограничения нежелательного трафика. Firewall.
Система ведения журналов всех событий в системе и оповещения администратора.
x3. Веб-среда/Базы данных.
Выполнять запуск под уникальными UID/GID.
Разрешать лишь необходимые модули.
Файлы конфигурации должны применяться по возможности для сведения атак к минимуму.
Установка ограничений доступа к исполняемым файлам.
Использование chrooted среды.
Доступ должен осуществляться через межсетевой экран.
Фильтрация всех запросов и их содержания со стороны клиента.
Доступ к БД должен осуществляться локально.
Изменение, удаление используемых по стандарту таблиц, префиксов в БД.
• y1.Веб-сервер.
• • • Регистрация всех GET и POST запросов.
• • • Отказаться от фильтрации, применять валидирование (белые списки).
• • • Преждевременная проверка сценариев.
Данный список будет подвергаться обновлению. Дальнейшие предложения и замечания приветствуются.
Тема: Защита сетевых баз данных
|
| |
| |
