Безопасное инсталлирование web-сервера

Во многих аспектах безопасное инсталлирование и конфигурирование приложения web-сервера аналогично инсталляции и конфигурированию ОС. Основной принцип состоит в том, чтобы инсталлировать минимальное количество требуемых сервисов web-сервера и исключить все известные уязвимости с помощью patches или upgrades. Если программа инсталляции устанавливает какие-то ненужные приложения, сервисы или скрипты, они должны быть немедленно удалены после завершения процесса. При инсталляции web-сервера должны быть выполнены следующие шаги:

1. Инсталлировать ПО сервера на выделенный хост.
2. Инсталлировать минимально требуемые сервисы Интернета.
3. Применить все patches или upgrades для корректировки известных уязвимостей.
4. Создать выделенный физический диск или логический раздел (отдельный от ОС и приложения сервера) для содержимого web.

5. Удалить или запретить все web-сервисы, инсталлированные приложением web-сервера, но не требуемые (например, gopher, FTP и удаленное администрирование).

6. Из корневой директории приложения web-сервера удалить все файлы, которые не являются частью web-сайта.

7. Удалить всю документацию, а также примеры скриптов и выполняемого кода.

8. Выполнить разного рода образцы безопасности или "hardening" скрипты, усиливающие безопасность web-сервера.

9. Переконфигурировать баннер НТТР-сервиса (и других сервисов, если они используются), чтобы он не сообщал о типе и версии web-сервера и ОС. Это может быть выполнено в IIS использованием свободного Microsoft IIS Lockdown Tool и в Apache посредством "ServerTokens" директивы.

Содержание раздела

---