Предисловие
Это четвертый файл проекта lag от void.box.sk. Но на этот раз он написан новым парнем =) В этом тексте я собираюсь дать вам несколько
советов по повышению уровня безопасности ваших вебсерверов.
Повышение безопасности вашего вебсервера
Я не сомневаюсь, что если у вас есть вебсервер, то у вас также есть желание
защитить его. Любой системный администратор должен быть внимателен в плане
безопасности, особенно если он работает в сфере электронной коммерции.
Последние версии Apache довольно серьезно защищены, но гарантировать стопроцентную безопасность - невозможно =) Также вы должны ВСЕГДА принимать
дополнительные меры по повышению уровня безопасности вашего вебсервера =)
Запущенные сервисы
Очень важно, если вы хотите использовать свою машину ТОЛЬКО как вебсервер,
чтобы на ней был запущен ТОЛЬКО "httpd" сервис. Если же на вашей машине
запущено несколько сервисов, то поиск дыр в системе безопасности для хакера заметно упрощается, что может доставить вам много серьезных проблем. Вы
можете также установить сервис дистанционного управления ("ssh", например)
для управления вашим вебсервером удаленно =)
Удаление всего, что вам не нужно
Если кто-то проникает на ваш вебсервер с низкими привилегиями, то он
может воспользоваться дырами в безопасности других программ. Вот почему вы ДОЛЖНЫ установить ТОЛЬКО программное обеспечение для вебсервера и другие связанные с ним инструментальные средства (такие как
"ssh").
Файрволл
Вы можете установить файрволл на машину с вебсервером, открыв доступ
на дистанционное управление определенному и защищенному IP адресу.
Таким образом, вы будете единственным, кто сможет удаленно управлять
вебсервером.
Ведение логов
Обычно Apache сохраняет логи вебсервера по умолчанию в
"/var/log/httpd/". Логи - очень важная вещь, позволяющая посмотреть, например, не
совершались ли какие-либо попытки проникновения в ваш вебсервер (затем вы сможете
проверить IP адреса и время). Они записывают ВСЕ попытки подключения =)
Другая хорошая вещь, которую можно сделать с лог-файлами - это перемещение их в другие места (на тот случай, если кто-нибудь сможет проникнуть
на ваш вебсервер и захочет замести следы, но не найдет логи).
Хорошим способом является отправка вам электронного сообщения, когда
происходит что-то необычное (например, несколько попыток обойти защиту вебсервера). Таким образом вы можете установить отправку сообщений на пейджер или ваш мобильный телефон =)
Привилегии
Вы должны ВСЕГДА запускать вебсервер с самыми низкими возможными привилегиями. Например, ВСЕГДА запускайте Apache с правами "nobody", но НИКОГДА с правами "root". Таким образом, если кто-то и проникнет в ваш
вебсервер, то он не сможет сделать ничего серьезного, если, конечно, не
установлено больше никаких других сервисов (вот почему не следует устанавливать никаких других сервисов, кроме Apache (и "ssh", если хотите)).
CGI и PHP Скрипты
Вы должны быть предельно осторожны со своими CGI и PHP скриптами!! Огромный процент дыр в безопасности приходится на долю тех самых скриптов и программ. Вот почему вы должны ВСЕГДА проверять надежность скриптов и программ перед установкой их на вашем вебсервере. Вы также
должны удалить все CGI, идущие в поставке с
Apache.
Шифрование
Вы должны знать, что возможен перехват секретной информации путем сниффанья пакетов. Поэтому вы должны использовать шифрование
для передачи информации между сервером и броузером.
Для шифрования данных вы можете воспользоваться модулем для Apache
(mod_ssl - secure sockets layer).
Секретная Информация в Оффлайне
Если вы имеете дело с сайтом, занимающимся электронной коммерцией, то
вы НЕ должны сохранять секретную информацию на серверной машине. Тогда где ее хранить? Что ж, лучшее, что вы можете сделать, так это подключение другого оффлайнового компьютера к своему серверу. Для соединения двух машин используйте однонаправленный кабель (таким образом
информация может быть передана оффлайновой машине сервером, но получение информации с этой машины через сервер будет невозможно).
Создание Модифицированных Версий
Как вы знаете, Apache распространяется с открытым исходным кодом. Поэтому, если вы захотите модифицировать программу, то вы сможете это сделать. Это очень полезно, так как многие эксплоиты работают в
соответствии с исходным кодом по умолчанию, и если вы немного модифицируете код, то
эксплоиты имеют мало шансов на выполнение своей миссии =) Например, вы
можете изменить место хранения лог-файлов =)
Обновление
Это мой последний совет, но, вероятно, один из наиболее ВАЖНЫХ. Вы
ДОЛЖНЫ ПОСТОЯННО обновлять версии своего программного обеспечения по
мере появления этих самых обновлений. Будьте очень внимательны по отношению к последним релизам Apache. Вам необходимо подписаться на
листы рассылки по безопасности и эксплоитам, чтобы вовремя успеть исправить свое программное обеспечение, при обнаружении серьезных уязвимостей.
Вывод
Что ж, это и все. Руководствуясь этими рекомендациями безопасность вашего
вебсервера будет на порядок выше, но, как я уже говорил раньше, на 100%
НИКОГДА =) Эта информация была записана главным образом для Apache Web
Server, но, КОНЕЧНО, она также применима и к другим вебсерверам
=))
Что ж, будьте осторожны. До скорого =)
Особая благодарность:
Ghost_Rider [мой хороший *старый* приятель]
kript0n [мой хороший *новый* приятель]
Если у вас есть какие-либо сомнения или вопросы, мыльте мне
bracaman@clix.pt Также меня можно найти на #void@irc.box.sk