Во избежания постоянных вопрос на форуме по поводу обеспечения безопасности на сервере была сделана данная заметка, которая обрисовывает общую картину действий. Материал собирает в себе далеко не все возможные меры предосторожности, и не все приведенные способы возможно применять из-за индивидуальных настроек сервера. В контенте рассматривается лишь среда программного обеспечения сервера.
В стороне остались аппаратные комплексы защиты и топология построения сети.

x0. Общие сведения.

• Своевременное обновление программного обеспечения.
• Придерживаться Sarge версий ПО.
• Отключение ненужных сервисов, пакетов на стадии "сборки" (если это возможно).
• Пренебрегать ПО и протоколами, в которых присутствует передача информации лишь в plain формате.
• Удаление, либо сокрытие информации, способной скомпрометировать систему.
• Сводить к минимуму количество запущенных служб.
• Стараться использовать преимущественно встроенные механизмы.
• Переименовывать учетную запись администратора, а так же изменять стандартные пароли.
• Использовать сильные пароли с ограничением срока действия.
• Блокировать анонимный доступ в "приложениях".
• Комплексное резервное копирование информации с применением отдельного сервера.
• При необходимости применять дополнительные протоколы аутентификации.

x1. Целевая программно-аппаратная платформа.

• Настройка дисковых квот на стадии монтирования.
• Строгая политика разграничения пользовательских квот, а так же их групп.
• "Строгие" директории для динамических библиотек.
• Отсутствие посторонних программных-оболочек.
• Запретить вход учётной записи root с неизвестных "интерфейсов".
• Присутствие дополнительной проверки подлинности юзеров.
• Ограничить применение сценариев с setuid атрибутами.

x2. ПО серверной части.

• Cистема обнаружения вторжения/система предотвращения вторжений (система отражения локальных угроз):
  • • На сетевом уровне.
  • • Операционного уровня.
  • • На уровне протоколов (прикладных протоколах при наличии БД).
  • • На уровне узла.
• Система ограничения нежелательного трафика. Firewall.
• Система ведения журналов всех событий в системе и оповещения администратора.

x3. Веб-среда/Базы данных.

• Выполнять запуск под уникальными UID/GID.
• Разрешать лишь необходимые модули.
• Файлы конфигурации должны применяться по возможности для сведения атак к минимуму.
• Установка ограничений доступа к исполняемым файлам.
• Использование chrooted среды.
• Доступ должен осуществляться через межсетевой экран.
• Фильтрация всех запросов и их содержания со стороны клиента.
• Доступ к БД должен осуществляться локально.
• Изменение, удаление используемых по стандарту таблиц, префиксов в БД.

• • y1.Веб-сервер.
  • • • Регистрация всех GET и POST запросов.
  • • • Отказаться от фильтрации, применять валидирование (белые списки).
  • • • Преждевременная проверка сценариев.

Данный список будет подвергаться обновлению. Дальнейшие предложения и замечания приветствуются.

Тема: Защита сетевых баз данных