Почеток / Uncategorized @mk / Насоки за безбедност на веб-сервери

Насоки за безбедност на веб-сервери

Веб-серверите често се цел на напади и обиди за експлоатација. Неправилното конфигурирање и на веб-серверите претставува значителен ризик за целата мрежа и може да резултира во безбедносни инциденти.

Администраторите на веб-сервери треба да се придржуваат кон овие насоки со цел да ги отстранат најчестите слабости на веб-серверите и да го намалат успехот на различните обиди за нивна експлоатација.

Овие насоки се општи и ги даваат основните чекори што треба да се следат за да правилно се обезбеди еден веб-сервер. Дополнително, треба да се следат и применуваат и специфичните насоки и упатства од производителот на користениот софтвер.

Основни чекори

  1. Инсталацијата на закрпи (patches) и надградби (upgrades) на оперативните системи треба да се извршува на редовна основа. Во случај на појава на критичен експлоит, закрпата треба да се инсталира веднаш штом ќе стане достапна.
  2. Администраторите треба да следат соодветни е-маил листи и/или веб-страници со најнови известувања во врска со безбедноста на сите софтверски компоненти кои се инсталирани на веб-серверот.
  3. Оперативниот систем треба да биде конфигуриран во согласност со најдобрите системски практики. Ова вклучува, но не е ограничено на следново:
  • Да се вклучени/овозможени само потребните сервиси и апликации; сите останати да се исклучени/оневозможени;
  • Привилегиите на корисничките сметки (user accounts) да се доделуваат согласно принципот на минимални привилегии. Според принципот на минимални привилегии, на корисникот никогаш не треба да му се доделат повеќе привилегии отколку што е потребно за да ја изврши задачата;
  • При креирање на лозинките на сите кориснички сметки треба да се следат советите за лозинки на https://mkd-cirt.mk/2019/09/16/onlajn-obuka-i-soveti-za-koristenje-na-lozinki/;
  • Сите непотребни пред-дефинирани кориснички сметки (оние сметки кои се креираат автоматски при инсталација на софтверот) треба да се отстранат или оневозможат;
  • Сите пред-дефинирани лозинки треба да се променат и да се постават нови лозинки согласно насоките дадени погоре.

 

  1. Веб-серверот треба да биде конфигуриран во согласност со препораките од производителот. Дополнително:
  • Софтверот за веб-серверот (доколку е можно) треба да биде инсталиран на дедициран хост;
  • Да се вклучени/овозможени само неопходните веб сервиси; сите останати да се исклучени/оневозможени;
  • Да се планираат периодични поголеми надградби за да се користи последната стабилна верзија на софтверот;
  • Редовно да се инсталираат закрпи и надградби за познати слабости;
  • Веб-серверите треба да бидат конфигурирани така што ќе се забрани пристапот до датотеките коишто не се за јавна употреба.

 

  1. Креирањето на датотеки со логови треба да е вклучено, а притоа да се внимава на:
  • Користење различни имиња за датотеки со логови за различни виртуелни веб-страници кои се поставени на ист веб-сервер;
  • Воспоставување на механизми за да се спречи преполнување на хард-дискот со датотеките за логови;
  • Датотеките со логови треба да ги содржат и неуспешните обиди за најава, промени во привилегиите на корисничките сметки и други сомнителни активности.
  1. Папките во кои се сместени содржините на Веб-серверот и поврзаните папки треба да бидат одделени од папките каде што се сместени оперативниот систем и апликациите.
  2. Да се извршуваат редовни бекап-и (резервни копии) на содржината на веб-серверот и повремени бекапи на оперативниот систем и апликациите. Насоки за бекап можете да најдете тука https://mkd-cirt.mk/2018/10/18/rezervna-kopija-na-vashite-podatoci-backup/
  3. За веб-страницата да се користи SSL/TLS (да биде на https://). SSL/TLS (Secure Sockets Layer/ Transport Layer Security) се протоколи кои ако се правилно конфигурирани, обезбедуваат автентикација на серверот и клиентот, како и криптирање на комуникацијата помеѓу серверот и клиентот.
  4. Да биде воспоставена внатрешна методологија за контрола на промените која вклучува, но не е ограничена на следново:
  • Известување за промена (вклучува опис, лице за контакт, датум и време на промена и сл.) за сите кои се потенцијално погодени од промената;
  • Тестирање на промените во тестна околина, пред да се изврши во продукциската околина;
  • Пред да се имплементира промената. да се направи бекап на сите релевантни информации;
  • Да се документираат сите промени кои се прават во системот, апликацијата, или содржините и да се воспостават механизми за контрола на верзии.

Check Also

Услуга за пријава на сомнителни пораки испратени по е-пошта

Како да пријавите потенцијална фишинг порака преку услугата за Пријава на сомнителни пораки испратени по …