Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Безопасность (https://forum.antichat.xyz/forumdisplay.php?f=41)
-   -   Основная концепция настроек безопасности сервера (https://forum.antichat.xyz/showthread.php?t=127917)

ettee 02.07.2009 01:21
Основная концепция настроек безопасности сервера
 
Во избежания постоянных вопрос на форуме по поводу обеспечения безопасности на сервере была сделана данная заметка, которая обрисовывает общую картину действий. Материал собирает в себе далеко не все возможные меры предосторожности, и не все приведенные способы возможно применять из-за индивидуальных настроек сервера. В контенте рассматривается лишь среда программного обеспечения сервера.
В стороне остались аппаратные комплексы защиты и топология построения сети.

x0. Общие сведения.
  • Своевременное обновление программного обеспечения.
  • Придерживаться Sarge версий ПО.
  • Отключение ненужных сервисов, пакетов на стадии "сборки" (если это возможно).
  • Пренебрегать ПО и протоколами, в которых присутствует передача информации лишь в plain формате.
  • Удаление, либо сокрытие информации, способной скомпрометировать систему.
  • Сводить к минимуму количество запущенных служб.
  • Стараться использовать преимущественно встроенные механизмы.
  • Переименовывать учетную запись администратора, а так же изменять стандартные пароли.
  • Использовать сильные пароли с ограничением срока действия.
  • Блокировать анонимный доступ в "приложениях".
  • Комплексное резервное копирование информации с применением отдельного сервера.
  • При необходимости применять дополнительные протоколы аутентификации.

x1. Целевая программно-аппаратная платформа.
  • Настройка дисковых квот на стадии монтирования.
  • Строгая политика разграничения пользовательских квот, а так же их групп.
  • "Строгие" директории для динамических библиотек.
  • Отсутствие посторонних программных-оболочек.
  • Запретить вход учётной записи root с неизвестных "интерфейсов".
  • Присутствие дополнительной проверки подлинности юзеров.
  • Ограничить применение сценариев с setuid атрибутами.

x2. ПО серверной части.
  • Cистема обнаружения вторжения/система предотвращения вторжений (система отражения локальных угроз):
    • • На сетевом уровне.
    • • Операционного уровня.
    • • На уровне протоколов (прикладных протоколах при наличии БД).
    • • На уровне узла.
  • Система ограничения нежелательного трафика. Firewall.
  • Система ведения журналов всех событий в системе и оповещения администратора.

x3. Веб-среда/Базы данных.
  • Выполнять запуск под уникальными UID/GID.
  • Разрешать лишь необходимые модули.
  • Файлы конфигурации должны применяться по возможности для сведения атак к минимуму.
  • Установка ограничений доступа к исполняемым файлам.
  • Использование chrooted среды.
  • Доступ должен осуществляться через межсетевой экран.
  • Фильтрация всех запросов и их содержания со стороны клиента.
  • Доступ к БД должен осуществляться локально.
  • Изменение, удаление используемых по стандарту таблиц, префиксов в БД.
  • y1.Веб-сервер.
    • • • Регистрация всех GET и POST запросов.
    • • • Отказаться от фильтрации, применять валидирование (белые списки).
    • • • Преждевременная проверка сценариев.

Данный список будет подвергаться обновлению. Дальнейшие предложения и замечания приветствуются.

Тема: Защита сетевых баз данных


Время: 13:47