Список действий для безопасного инсталлирования и конфигурирования web-сервера
Безопасное инсталлирование web-сервера.
- Инсталлировать ПО сервера на выделенный хост.
- Инсталлировать минимально требуемые сервисы Интернета.
- Применить все patches и upgrades для устранения известных уязвимостей.
- Создать выделенный физический диск или логический раздел (отдельно от ОС и приложения сервера) для web-содержимого.
-
Удалить или запретить все сервисы, инсталлированные приложением web-сервера, но в данном случае не требуемые (например, gopher, FTP и удаленное администрирование).
- Удалить все примеры страниц, скриптов и выполняемого кода.
- Удалить с сервера всю документацию производителя.
- Протестировать сервер, применив различные образцы безопасности или скрипты взлома.
-
Переконфигурировать баннер НТТР-сервиса (и баннеры других сервисов, если требуется), чтобы он не сообщал о типе и версии web-сервера и ОС.
Конфигурирование управления доступом web-сервера со стороны ОС.
-
Сконфигурировать доступ к файлам со стороны ОС так, чтобы процессы web-сервера могли только читать файлы web-содержимого, но не могли записывать в них.
-
Сконфигурировать доступ к файлам со стороны ОС так, чтобы процессы web-сервера не могли записывать в директории, в которых расположено содержимое web.
-
Сконфигурировать доступ к файлам со стороны ОС так, чтобы только процессы, авторизованные для администрирования web-сервера, могли записывать в файлы содержимого web.
-
– Сконфигурировать доступ к файлам со стороны ОС так, чтобы web-приложение могло писать в лог-файлы web-сервера, но лог-файлы не могли быть читаемы приложением web-сервера.
-
Сконфигурировать доступ к файлам со стороны ОС так, чтобы временные файлы, создаваемые приложением web-сервера, были расположены только в указанной и соответствующим образом защищенной поддиректории.
-
Сконфигурировать доступ к файлам со стороны ОС так, чтобы доступ к любым временным файлам, созданным приложением web-сервера, был ограничен только процессами, которые создали эти файлы.
-
Инсталлировать web-содержимое на отдельном жестком диске или логическом разделе, отличном от ОС и web-приложения.
-
Сконфигурировать доступ к файлам со стороны ОС так, что если допустима загрузка на web-сервер, то должно существовать ограничение на пространство жесткого диска или логического раздела, которое выделено для этих целей.
Сконфигурировать доступ к файлам со стороны ОС так, чтобы лог-файлы имели соответствующий максимальный размер.
Конфигурирование безопасной директории web-содержимого.
Выделить отдельный жесткий диск или логический раздел для web-содержимого и установить соответствующие поддиректории исключительно для файлов содержимого web-сервера, включая графику, но исключая скрипты и другие программы.
Определить отдельную директорию исключительно для всех внешних по отношению к ПО web-сервера скриптов или программ, выполняющихся как часть содержимого web-серверанапример, CGI, ASP и т.п.).
Запретить выполнение скриптов, которые не находятся под управлением административных аккаунтов. Данное действие выполняется созданием доступа и управлением им к отдельной директории, которая предназначена для авторизованных скриптов.
Создать группы и пользователей для web-сервера.- Запретить использование жестких и символических ссылок (аналог shortcuts в Windows).
Определить полную матрицу доступа к web-содержимому. Определить, какие папки и файлы внутри документов web-сервера имеют ограничения и какие являются доступными (и кому).- Проверить политику паролей в организации и установить соответствующие критерии паролей (длина, сложность).
Использовать при необходимости файл robots.txt.
Использование программ проверки целостности.
Инсталлировать проверку целостности для защиты конфигурационных файлов web-сервера.- Пересчитывать контрольные суммы при изменении содержимого файлов.
- Хранить контрольные суммы в защищенном от записи носителе.
- Регулярно сравнивать контрольные суммы критичных файлов с эталонными значениями.