2015-09-07
396
Більшість ОС для web-серверів надають можливість вказати конкретні привілеї доступу для файлів, пристроїв і інших обчислювальних ресурсів на даному хості. Слід розуміти, що будь-яка інформація, до якої може бути здійснений доступ з каталогів, що належать web-серверу потенційно може стати доступною всім користувачам, що мають доступ до публічного web-сайту. Зазвичай ПО web-сервера забезпечує додаткове управління доступом до файлів, пристроїв і ресурсів. У випадку якщо дозволи доступу до ресурсів можуть бути встановлені як на рівні ОС, так і на рівні web-сервера, важливо, щоб вони були ідентичні один одному, інакше можлива ситуація, коли користувачам наданий або дуже великий, або дуже маленький доступ. Web-адміністратори повинні розглянути, яка конфігурація доступу до інформації, що зберігається в публічному web-сервері, є якнайкращою з наступних точок зору:
· обмеження доступу ПО web-сервера до підмножини обчислювальних ресурсів засобами управління доступом ОС;
· обмеження доступу користувачів за допомогою додаткового управління доступом, забезпечуваним web-сервером, коли потрібні детальніші рівні управління доступом.
|
|
|
Відповідна установка управління доступом може допомогти запобігти розкриттю чутливої інформації, яка не призначена для публічного розповсюдження. Додаткове управління доступом може бути використано для обмеження використання ресурсів у разі DoS-атаки на публічний web-сайт.
Зазвичай файлами, доступ до яких повинен контролюватися, є наступні:
· ПО і конфігураційні файли програми;
· Файли, що безпосередньо використовуються механізмами безпеки:
- файли хешей паролів і інші файли, використовувані при аутентифікації;
- файли, які містять авторизаційну інформацію, використовувану при управлінні доступом;
- криптографічний матеріал ключа, використовуваний в сервісах конфіденційності, цілісності і неможливості відмови.
· Логи сервера і файли системного аудиту;
· Системне ПО і його конфігураційні файли.
