67 Обеспечение безопасности web-серверов

Веб-серверы часто являются целью атак хакеров.

Угрозы безопасности, специфичные для веб-серверов:
- враждебно настроенные пользователи (скрипткиддисы) могут использовать ошибки ПО в веб-сервере лежащих в основе ОС или программах динамических страниц (php, asp, cgi).

Результатом может быть получение доступа к файлам или каталогам, которые не предназначены для открытого доступа. Подмена содержимого сайта (дефейс). DoS. 

Первым шагом защиты: обеспечение безопасности веб-сервера - безопасность в самой хостовой ОС. Регулярные обновления. удаление ненужных сервисов, правильное конфигурирование, тестирование безопасности.

Следует гарантировать, что ПО веб-сервера развернуто, сконфигурировано и управляется в соответствии с требованиясми безопасности, определенными в организации.

Главным принципом, как и раньше, является инсталляция минимального числа требуемых сервисов веб-сервера и удаление всех известных уязвимостей с помощью обновлений. Контроль за активным содержимым (скрипты).

Следует использовать аутентификацию, основанную на криптографических технологиях, для обеспечения соответствующей защиты чувствительных данных.

Конфигурирование аутентификации пользователя в ОС.
Удаление или запрет неиспользуемых аккаунтов и групп, созданных по умолчанию.
Запретить неинтерактивные аккаунты.
Создать группы пользователей
Создать аккаунты пользователей
Проверить политику для паролей в организации
-длина
-сложность (символы, цифры, спецсимволы, от 8-12)
-срок использования (от 30 до 120дней)
-переиспользуемость(невозможность использования новых паролей таких-как уже используемых)
авторство(кому можно изменять)

конфиг.компьютера для запрета входа после большого числа неудачных попыток
установка механизмов безопасности для усиления аутентификации
создание и распространение отчетов об использовании аккаунтов пользователей
управление ресурсами на уровне ОС