Veebilehed turvalisemaks
Antud blogipostitus on 202 kuud vana ning ei pruugi olla enam ajakohane.
Seoses viimase nädala pingeliste sündmustega on erilise tähelepanu alla sattunud Eestis asuvate kodulehekülgede, serverite ja andmesideinfrastruktuuri turvalisus.
Kätte on jõudnud aeg, mil tasuks üks õhtu pühendada oma veebileheküljele ja püüda proovida parandada selle turvalisust. Selleks tasuks kaaluda mõnede sammude läbimist, mida allpool loetleme.
1. Veenduge, et kasutate turvalisi salasõnu. Seda nii oma hostingupakkuja haldusliideses, FTP ühenduste loomisel kui ka oma rakenduses.
Kasutatavad salasõnad võiksid olla vähemalt 6 märki pikad ning sisaldada numbreid, kirjavahemärke ja suuri/väikseid tähti
Kindlasti vahetage ära virtuaalserveris kasutatava tarkvara vaikeparoolid!
Juhul, kui kahtlustate, et teie salasõna on võinud sattuda võõrastesse kätesse või olete oma arvutist avastanud viiruse/nuhkvara, siis vahetage oma salasõnad esimesel võimalusel.
DataZone haldusliideses on võimalik lasta endale turvaline haldusliidese või FTP salasõna automaatselt genereerida.
2. Kui kasutate oma veebis tarkvaraarendajalt hangitud valmisrakendusi, siis kontrollige, kas kasutate selle on viimast stabiilset versiooni. Uurige tootja koduleheküljelt võimalike turvaaukude kohta.
Juhul, kui kasutate järgmiseid tarkvaratooteid, siis uurige kindlasti, ega te ei peaks tarkvara versiooni uuendama:
Joomla – http://www.joomla.com
WordPress – http://www.wordpress.com
phpBB – http://www.phpbb.com
PHP-Nuke http://www.phpnuke.org
Gallery – http://gallery.menalto.com
Mambo – http://www.mamboserver.com
Nende toodete populaarsus tagab selle, et iga turvaauku üritatakse aktiivselt ära kasutada ning nende kasutajaid otsitakse otsingumootoritest automaatsete vahenditega.
3. Kui olete ise tarkvaraarendaja, kontrollige palun oma koodi levinumate turvaprobleemide suhtes.
Aktuaalseid materjale leiab näiteks järgmistelt aadressidelt: http://www.phpwact.org/security/web_application_security
http://www.securityfocus.com/infocus/1864
4. Kui teie rakendus ei vaja veebiserveris PHP register_globals ja url_fopen parameetrite lubamist, lülitage need välja.
DataZone haldusliidesest saab seda teha Veebiserveri seadete all.
5. Juhul, kui teie rakenduse haldusliides paikneb eraldi kataloogis, kaaluge sellele kataloogile ligipääsu täiendavat piiramist .htaccess failiga. Selles failis võite ligipääsu lubada konkreetsele IP aadressile või domeenile.
IP aadressi limiidi saate kehtestada järgmise .htaccess faili sisuga:
Order Deny,Allow Deny from All Allow from 172.16.1.1 #<<--- Siia kirjuta oma IP
Domeeni limiidi saate kehtestada järgmise .htaccess faili sisuga:
Order Deny,Allow Deny from All Allow from .estpak.ee #<<-- Siia kirjuta oma ISP alamdomeen
Põhimõtteliselt saate kehtestada limiidi ka ülemdomeenile:
Order Deny,Allow Deny from All Allow from .ee #<<-- Siia sisestage oma ülemdomeen :)
DataZone haldusliidesest on võimalik ligipääsupiiranguid kehtestada ka Apache direktiive kasutades. Meeles tuleb aga pidada, et Apache direktiivid sisestatuna DataZone haldusliidese vahendusel, peavad olema Directory täägide vahel, “Document root” kataloogi saab aga lihtsalt kätte kasutades muutujat.
Siinkohal on jälle hea näide ära tuua:
Order Deny,Allow Deny from All Allow from .ee
6. Mis puudutab DoS rünnakuid ning DDoS rünnakuid kodulehekülgede, nimeserverite ja võrguseadmete vastu, siis siinkohal on virtuaalserverite kasutajatel võimalik ära teha vähe.
Kuni teatud piirini võib mõnede rünnakute mõju leevendada veebiserveris kasutatava rakenduse ülesehitus, kuid tõsisema rünnaku puhul ei ole rakendustasandil võimalik kahjuks suurt ära teha. Usaldada tuleks oma teenusepakkujat. Uskuge, enamus veebimajutusteenuse osutajatest ning nende partneritest teevad kõik endast oleneva, et tagada teie teenusele parim võimalik käideldavus.
Sauruse CMS kasutajatele on Saurus.ee lehel olemas juhend, kuidas parandada konkreetselt Sauruse turvalisust http://www.saurus.ee/kaitse-oma-veebisaiti . PDF versiooni saate alla laadida ka siit.
Arvutiturbe teemalisi materjale leiate hulgaliselt Arvutikaitse blogist!
Juhul, kui oskate viidata materjalidele, mis aitaksid inimestel turvata oma kodulehekülge, viidake nendele kommentaarides! Aitäh!
Kommentaarid
1 kommentaarJoomla! turvamiseks on ka meil pisut head nõu anda: http://www.dt.ee/blog/www/joomla-cms/2007/04/nouandeid-joomla-cms-turvamiseks/
Ja admini kataloog pange kindlasti .htaccessi kaitse alla.
Kommentaarid suletud.