2015-09-07
392
Більшість ОС для web-серверів надають можливість вказати конкретні привілеї доступу для файлів, пристроїв і інших обчислювальних ресурсів на даному хості. Слід розуміти, що будь-яка інформація, до якої може бути здійснений доступ з каталогів, що належать web-серверу потенційно може стати доступною всім користувачам, що мають доступ до публічного web-сайту. Зазвичай ПО web-сервера забезпечує додаткове управління доступом до файлів, пристроїв і ресурсів. У випадку якщо дозволи доступу до ресурсів можуть бути встановлені як на рівні ОС, так і на рівні web-сервера, важливо, щоб вони були ідентичні один одному, інакше можлива ситуація, коли користувачам наданий або дуже великий, або дуже маленький доступ. Web-адміністратори повинні розглянути, яка конфігурація доступу до інформації, що зберігається в публічному web-сервері, є якнайкращою з наступних точок зору:
· обмеження доступу ПО web-сервера до підмножини обчислювальних ресурсів засобами управління доступом ОС;
· обмеження доступу користувачів за допомогою додаткового управління доступом, забезпечуваним web-сервером, коли потрібні детальніші рівні управління доступом.
Відповідна установка управління доступом може допомогти запобігти розкриттю чутливої інформації, яка не призначена для публічного розповсюдження. Додаткове управління доступом може бути використано для обмеження використання ресурсів у разі DoS-атаки на публічний web-сайт.
Зазвичай файлами, доступ до яких повинен контролюватися, є наступні:
· ПО і конфігураційні файли програми;
· Файли, що безпосередньо використовуються механізмами безпеки:
- файли хешей паролів і інші файли, використовувані при аутентифікації;
- файли, які містять авторизаційну інформацію, використовувану при управлінні доступом;
- криптографічний матеріал ключа, використовуваний в сервісах конфіденційності, цілісності і неможливості відмови.
· Логи сервера і файли системного аудиту;
· Системне ПО і його конфігураційні файли.
