Безопасное инсталлирование web-сервера
Во многих аспектах безопасное инсталлирование и конфигурирование приложения web-сервера аналогично инсталляции и конфигурированию ОС. Основной принцип состоит в том, чтобы инсталлировать минимальное количество требуемых сервисов web-сервера и исключить все известные уязвимости с помощью patches или upgrades. Если программа инсталляции устанавливает какие-то ненужные приложения, сервисы или скрипты, они должны быть немедленно удалены после завершения процесса. При инсталляции web-сервера должны быть выполнены следующие шаги:
- Инсталлировать ПО сервера на выделенный хост.
- Инсталлировать минимально требуемые сервисы Интернета.
- Применить все patches или upgrades для корректировки известных уязвимостей.
- Создать выделенный физический диск или логический раздел (отдельный от ОС и приложения сервера) для содержимого web.
-
Удалить или запретить все web-сервисы, инсталлированные приложением web-сервера, но не требуемые (например, gopher, FTP и удаленное администрирование).
-
Из корневой директории приложения web-сервера удалить все файлы, которые не являются частью web-сайта.
- Удалить всю документацию, а также примеры скриптов и выполняемого кода.
-
Выполнить разного рода образцы безопасности или "hardening" скрипты, усиливающие безопасность web-сервера.
-
Переконфигурировать баннер НТТР-сервиса (и других сервисов, если они используются), чтобы он не сообщал о типе и версии web-сервера и ОС. Это может быть выполнено в IIS использованием свободного Microsoft IIS Lockdown Tool и в Apache посредством "ServerTokens" директивы.