2015-09-07
373
Ідеально, щоб web-сервер був виділеним і використовувався тільки для цієї мети. Багато ОС конфігуровані за умовчанням для надання ширшого круга сервісів і програм, чим вимагається web-серверу; отже, web-адміністратор повинен конфігурувати ОС, видаливши або заборонивши сервіси, що не є необхідними. Ось деякі приклади сервісів, які зазвичай повинні бути заборонені:
· NETBIOS, якщо не потрібний;
· NFS, якщо не потрібний;
· FTP;
· Berkley “r” сервіси (наприклад, rlogin, rsh, rcp);
· Тelnet;
· NIS;
· SMTP;
· Компілятори;
· Інструментальні засоби розробки ПО, за винятком того випадку, коли HTML сторінки створюються яким-небудь інтерпретатором, наприклад, Perl. В цьому випадку повинен бути залишений тільки використовуваний інтерпретатор.
Видалення непотрібних сервісів і програм є переважним, чим просто заборона за допомогою конфігураційних установок, тому що той, що атакує може спробувати змінити установки і активізувати заборонені сервіси, що не можна зробити при повному видаленні.
Видалення або заборона непотрібних сервісів підсилює безпека web-сервера по наступних причинах:
|
|
|
· непотрібні сервіси не можуть бути скомпрометовані і використані для атаки на хост або для пошкодження сервісів web-сервера. Кожен сервіс, що є в наявності, збільшує ризик компрометації хоста, тому що кожен сервіс потенційно відкриває вхід для доступу того, що атакує;
· зазвичай різні сервіси можуть адмініструвати різні люди. Слід ізолювати сервіси так, щоб кожен хост мав одного адміністратора при мінімально можливих конфліктах між адміністраторами. Наявність одного адміністратора, що відповідає за хост, приводить до кращого розподілу обов'язків;
· хост може бути краще конфігурований для задоволення вимог конкретного сервісу. Різні сервіси можуть вимагати наявність різної апаратури і конфігурацій ПО, які приводять до виникнення уязвимостей або обмеженням сервісу;
· при зменшенні числа сервісів зменшується і кількість логів і записів лога, завдяки чому виявлення некоректної поведінки полегшується.
При конфігурації ОС слід застосовувати принцип “заборонити все, за винятком того, що явно дозволено” — це означає заборонити і по можливості видалити всі сервіси і програми і потім вибірково дозволити ті, які потрібні web-серверу. Також потрібно по можливості встановити мінімальну конфігурацію ОС, яка потрібна для застосування web-сервера. Якщо система інсталяції ОС надає опцію “мінімальна інсталяція”, то потрібно вибрати її, тому що це мінімізує зусилля, потрібні для видалення непотрібних сервісів. Багато скриптів або програми типу uninstall не виконують повного видалення всіх компонент сервісу; отже, завжди краще по можливості уникати інсталяції непотрібних сервісів.
Необхідні web-серверу сервіси залежать від функцій, які повинен забезпечувати сервер. Ці сервіси можуть включати протоколи баз даних для доступу до бази даних, протоколи передачі файлів і сервіси видаленого адміністрування. Кожен з цих сервісів, навіть якщо він необхідний, збільшує ризик для сервера. Коли ризики перекривають переваги, слід розглянути необхідність наявності кожного сервісу.
