2015-09-07
389
У багатьох аспектах безпечна інсталяція і конфігурація web-сервера аналогічна інсталяції і конфігурації ОС. Основний принцип полягає в тому, щоб інсталювати мінімальну кількість необхідних сервісів web-сервера і виключити всі відомі уразливості за допомогою patches або upgrades. Якщо програма інсталяції встановлює якісь непотрібні програми, сервіси або скрипти, вони повинні бути негайно видалені після завершення процесу. При інсталяції web-сервера повинні бути виконані наступні кроки:
1. Інсталювати ПО сервера на виділений хост;
2. Інсталювати мінімально необхідні сервіси Інтернету;
3. Застосувати всі patches або upgrades для коректування відомих уязвимостей;
4. Створити виділений фізичний диск або логічний розділ (окремий від ОС і сервера) для вмісту web;
5. Видалити або заборонити всі web-сервіси, інстальовані web-сервером, але не потрібні (наприклад, gopher, FTP і віддалене адміністрування);
6. З кореневої директорії web-сервера видалити всі файли, які не є частиною web-сайта;
7. Видалити всю документацію, а також приклади скриптів і виконувані коди;
8. Виконати різного роду зразки безпеки або “hardening” скрипти, що підсилюють безпеку web-сервера;
9. Переконфігурувати банер НТТР-сервіса (і інших сервісів, якщо вони використовуються), щоб він не повідомляв про тип і версію web-сервера і ОС. Це може бути виконано в IIS використанням вільного Microsoft IIS Lockdown Tool і в Apache за допомогою “ServerTokens” директиви.
