7f920352

Список действий для безопасного администрирования web-сервера


Создание логов.

  • Использовать Combined Log Format для хранения Transfer Log или вручную сконфигурировать информацию, описанную в Combined Log Format, чтобы стандартизовать формат Transfer Log.
  • Если Combined Log Format недоступен, то использовать Referrer Log или Agent Log.
  • Установить разные имена лог-файлов для разных виртуальных web-сайтов, которые могут быть реализованы как часть одного физического web-сервера.
  • Использовать Remote User Identity, как описано в RFC 1413.
  • Хранить логи на отдельном (syslog) хосте.
  • Архивировать логи в соответствии с организационными требованиями.
  • Просматривать логи ежедневно или еженедельно (при существовании требования более длительного их хранения).
  • Использовать автоматизированные средства анализа лог-файла.

Выполнение backup’ов web-сервера.

  • Создать политику выполнения backup’а web-сервера.

  • Выполнять backup web-сервера инкрементально ежедневно или еженедельно.

  • Выполнять полный backup web-сервера еженедельно или ежемесячно.

  • Периодически архивировать backup’ы.
  • Поддерживать аутентичную копию web-сайта(ов).

Восстановление после компрометации.

  • Сделать отчет об инциденте.
  • Свериться с политикой безопасности организации.
  • Изолировать скомпрометированную систему(ы) или выполнить шаги по сбору дополнительных доказательств осуществления атаки.
  • Исследовать другие "аналогичные" хосты для определения, не скомпрометировал ли атакующий и другие системы.
  • Проконсультироваться с законодательными актами.
  • Проанализировать проникновение.
  • Восстановить систему.
  • Заново подсоединить систему к сети.
  • Протестировать систему для гарантирования безопасности.
  • Просмотреть систему и сеть для нахождения следов того, что атакующий снова пытался получить доступ к системе или сети.
  • Документировать результаты.

Тестирование безопасности.

  • Периодически сканировать уязвимости на web-сервере и в соответствующей сети.
  • Периодически обновлять сканер уязвимостей, используемый для тестирования.
  • Устранять все недостатки, обнаруженные сканером уязвимостей.

Удаленное администрирование и модификация содержимого.

  • Использовать сильный механизм аутентификации.

  • Ограничить хосты, которые могут использоваться для удаленного администрирования и модификации содержимого (например, попытаться минимизировать права доступа для удаленного администрирования и модификации содержимого).

  • Изменить все аккаунты и пароли по умолчанию для утилит и приложений удаленного администрирования.

  • Не допускать удаленное администрирование из Интернета через firewall.

  • Не иметь никаких разделяемых файлов из внутренней сети с web-сервером.



Содержание раздела