Список действий для безопасного администрирования web-сервера
Создание логов.
- Использовать Combined Log Format для хранения Transfer Log или вручную сконфигурировать информацию, описанную в Combined Log Format, чтобы стандартизовать формат Transfer Log.
- Если Combined Log Format недоступен, то использовать Referrer Log или Agent Log.
- Установить разные имена лог-файлов для разных виртуальных web-сайтов, которые могут быть реализованы как часть одного физического web-сервера.
- Использовать Remote User Identity, как описано в RFC 1413.
- Хранить логи на отдельном (syslog) хосте.
- Архивировать логи в соответствии с организационными требованиями.
- Просматривать логи ежедневно или еженедельно (при существовании требования более длительного их хранения).
- Использовать автоматизированные средства анализа лог-файла.
Выполнение backup’ов web-сервера.
- Создать политику выполнения backup’а web-сервера.
-
Выполнять backup web-сервера инкрементально ежедневно или еженедельно.
-
Выполнять полный backup web-сервера еженедельно или ежемесячно.
- Периодически архивировать backup’ы.
- Поддерживать аутентичную копию web-сайта(ов).
Восстановление после компрометации.
- Сделать отчет об инциденте.
- Свериться с политикой безопасности организации.
- Изолировать скомпрометированную систему(ы) или выполнить шаги по сбору дополнительных доказательств осуществления атаки.
- Исследовать другие "аналогичные" хосты для определения, не скомпрометировал ли атакующий и другие системы.
- Проконсультироваться с законодательными актами.
- Проанализировать проникновение.
- Восстановить систему.
- Заново подсоединить систему к сети.
- Протестировать систему для гарантирования безопасности.
- Просмотреть систему и сеть для нахождения следов того, что атакующий снова пытался получить доступ к системе или сети.
- Документировать результаты.
Тестирование безопасности.
- Периодически сканировать уязвимости на web-сервере и в соответствующей сети.
- Периодически обновлять сканер уязвимостей, используемый для тестирования.
- Устранять все недостатки, обнаруженные сканером уязвимостей.
Удаленное администрирование и модификация содержимого.
- Использовать сильный механизм аутентификации.
-
Ограничить хосты, которые могут использоваться для удаленного администрирования и модификации содержимого (например, попытаться минимизировать права доступа для удаленного администрирования и модификации содержимого).
-
Изменить все аккаунты и пароли по умолчанию для утилит и приложений удаленного администрирования.
-
Не допускать удаленное администрирование из Интернета через firewall.
- Не иметь никаких разделяемых файлов из внутренней сети с web-сервером.
© 2003-2007 INTUIT.ru. Все права защищены. |