Защита сервера

После того как вы окончательно выбрали и установили Web-сервер, необходимо настроить его систему безопасности. Конкретные детали процесса конфигурирования Wcb-сервера в значительной мере зависят от базовой платформы и применяемого сетевого программного обеспечения. Рекомендация для начинающих: чем меньше вы используете сетевых приложений и типов сервиса, тем меньше сделаете ошибок. На Web-ссрвере следует оставить урезанный вариант операционной системы, который обеспечит только многозадачность.

Поскольку в этом случае нет необходимости в распределенных файловых системах или сеансах удаленного доступа, не стоит устанавливать NFS (Network File System), NIS (Network Information Service), RPC (Remote Procedure Call) или команды R-группы в ОС Unix. В операционной системе Windows NT не надо использовать функции RAS (Remote Access Server) на ваших серверах Интернет. При работе в MacOS не разрешайте применять протокол AppleTalk для связи с вашим Web-сервером.

При общении вашего сервера с другими серверами часто используется так называемый «доверенный» Web-сервер (web of trust). Однако недостаток такого доверенного сервера состоит в том, что при его «взломе» и ваш сервер также окажется уязвимым для взломщика, обычно уже имеющего права доступа администратора системы.

Чтобы защититься от этого, нужно удалить в ОС Unix файл .rhosts, содержащий список доверенных серверов. В Windows NT Server будьте внимательны при установке доменов. В MacOS не держите на Рабочем столе папку (folder) вашего Web-сервера, а поместите ее в другую папку (subfolder). Все процедуры по поддержке и модернизации программного обеспечения Web-ссрвсра следует осуществлять с системной консоли, а не посредством удаленного доступа. И наконец, никогда не запускайте свой Web-сервер в привилегированном режиме, т. е. с правами доступа администратора системы. Если взломщику удастся найти «дыру» в системе защиты вашего Web-сервера, он получит к нему полный доступ. Всегда запускайте ваш Web-сервер или с правами доступа «nobody», или с правами непривилегированного пользователя.

С точки зрения безопасности наибольший риск исходит не от операционной системы самого Web-сервера, а от средств сетевой операционной системы. В ОС Unix главная проблема состоит в том, что в действительности это не одна операционная система, а две в одной. Во-первых, Unix является мощной многопользовательской и многозадачной операционной системой. Во-вторых, это мощная сетевая операционная система с функциями поддержки распределенной файловой системы, удаленного доступа и многими другими, какие только могут потребоваться вам в клиент- серверной среде, такой, как Интернет. Та же проблема актуальна и для Windows NT, хотя и в меньшей степени. Причина, по которой MacOS оказалась для Web-сервера самой безопасной операционной системой, заключается в том, что она не является сетевой. Поэтому очевидно: то, чего нет, атаковать невозможно. Чтобы в системах Unix и Windows NT уменьшить количество потенциальных точек входа, нужно отказаться от использования возможностей сетевой ОС.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >