Veebilehed turvalisemaks

Ardi Jürgens3. mai, 2007

Antud blogipostitus on 206 kuud vana ning ei pruugi olla enam ajakohane.

Seoses viimase nädala pingeliste sündmustega on erilise tähelepanu alla sattunud Eestis asuvate kodulehekülgede, serverite ja andmesideinfrastruktuuri turvalisus.

Kätte on jõudnud aeg, mil tasuks üks õhtu pühendada oma veebileheküljele ja püüda proovida parandada selle turvalisust. Selleks tasuks kaaluda mõnede sammude läbimist, mida allpool loetleme.

1. Veenduge, et kasutate turvalisi salasõnu. Seda nii oma hostingupakkuja haldusliideses, FTP ühenduste loomisel kui ka oma rakenduses.

Kasutatavad salasõnad võiksid olla vähemalt 6 märki pikad ning sisaldada numbreid, kirjavahemärke ja suuri/väikseid tähti

Kindlasti vahetage ära virtuaalserveris kasutatava tarkvara vaikeparoolid!

Juhul, kui kahtlustate, et teie salasõna on võinud sattuda võõrastesse kätesse või olete oma arvutist avastanud viiruse/nuhkvara, siis vahetage oma salasõnad esimesel võimalusel.

DataZone haldusliideses on võimalik lasta endale turvaline haldusliidese või FTP salasõna automaatselt genereerida.

2. Kui kasutate oma veebis tarkvaraarendajalt hangitud valmisrakendusi, siis kontrollige, kas kasutate selle on viimast stabiilset versiooni. Uurige tootja koduleheküljelt võimalike turvaaukude kohta.

Juhul, kui kasutate järgmiseid tarkvaratooteid, siis uurige kindlasti, ega te ei peaks tarkvara versiooni uuendama:

Joomla – http://www.joomla.com
WordPress – http://www.wordpress.com
phpBB – http://www.phpbb.com
PHP-Nuke http://www.phpnuke.org
Gallery – http://gallery.menalto.com
Mambo – http://www.mamboserver.com

Nende toodete populaarsus tagab selle, et iga turvaauku üritatakse aktiivselt ära kasutada ning nende kasutajaid otsitakse otsingumootoritest automaatsete vahenditega.

3. Kui olete ise tarkvaraarendaja, kontrollige palun oma koodi levinumate turvaprobleemide suhtes.

Aktuaalseid materjale leiab näiteks järgmistelt aadressidelt: http://www.phpwact.org/security/web_application_security
http://www.securityfocus.com/infocus/1864

4. Kui teie rakendus ei vaja veebiserveris PHP register_globals ja url_fopen parameetrite lubamist, lülitage need välja.

DataZone haldusliidesest saab seda teha Veebiserveri seadete all.

5. Juhul, kui teie rakenduse haldusliides paikneb eraldi kataloogis, kaaluge sellele kataloogile ligipääsu täiendavat piiramist .htaccess failiga. Selles failis võite ligipääsu lubada konkreetsele IP aadressile või domeenile.

IP aadressi limiidi saate kehtestada järgmise .htaccess faili sisuga:

  Order Deny,Allow      

  Deny from All     
  Allow from 172.16.1.1   #<<--- Siia kirjuta oma IP

Domeeni limiidi saate kehtestada järgmise .htaccess faili sisuga:

  Order Deny,Allow      
  
  Deny from All 
  Allow from .estpak.ee #<<-- Siia kirjuta oma ISP alamdomeen

Põhimõtteliselt saate kehtestada limiidi ka ülemdomeenile:

  Order Deny,Allow 

  Deny from All 
  Allow from .ee  #<<-- Siia sisestage oma ülemdomeen :)

DataZone haldusliidesest on võimalik ligipääsupiiranguid kehtestada ka Apache direktiive kasutades. Meeles tuleb aga pidada, et Apache direktiivid sisestatuna DataZone haldusliidese vahendusel, peavad olema Directory täägide vahel, “Document root” kataloogi saab aga lihtsalt kätte kasutades muutujat.

Siinkohal on jälle hea näide ära tuua:


    Order Deny,Allow 

    Deny from All 
    Allow from .ee

6. Mis puudutab DoS rünnakuid ning DDoS rünnakuid kodulehekülgede, nimeserverite ja võrguseadmete vastu, siis siinkohal on virtuaalserverite kasutajatel võimalik ära teha vähe.

Kuni teatud piirini võib mõnede rünnakute mõju leevendada veebiserveris kasutatava rakenduse ülesehitus, kuid tõsisema rünnaku puhul ei ole rakendustasandil võimalik kahjuks suurt ära teha. Usaldada tuleks oma teenusepakkujat. Uskuge, enamus veebimajutusteenuse osutajatest ning nende partneritest teevad kõik endast oleneva, et tagada teie teenusele parim võimalik käideldavus.

Sauruse CMS kasutajatele on Saurus.ee lehel olemas juhend, kuidas parandada konkreetselt Sauruse turvalisust http://www.saurus.ee/kaitse-oma-veebisaiti . PDF versiooni saate alla laadida ka siit.

Arvutiturbe teemalisi materjale leiate hulgaliselt Arvutikaitse blogist!

Juhul, kui oskate viidata materjalidele, mis aitaksid inimestel turvata oma kodulehekülge, viidake nendele kommentaarides! Aitäh!

Kommentaarid

1 kommentaar

Gunnar ütleb:

3. mai 2007, 16:26

Joomla! turvamiseks on ka meil pisut head nõu anda: http://www.dt.ee/blog/www/joomla-cms/2007/04/nouandeid-joomla-cms-turvamiseks/

Ja admini kataloog pange kindlasti .htaccessi kaitse alla.

Kommentaarid suletud.

Populaarsed postitused

Tehniline turvalisus

"Pilve pole olemas. On lihtsalt kellegi teise arvuti."

Ardi Jürgens17. juuni, 2024

Mis ikkagi on pilveteenus, kuidas see keerukas süsteem töötab ning kuidas me tulime mõne nädala eest toime ühe jõudlust pärssinud ootamatusega....

Uuendused turvalisus

Saabub OpenSSL 3 tugi - ka aegunud PHP versioonidele

Ingmar Aasoja10. juuni, 2024

Zone veebimajutusplatvormi aluseks olevat ZoneOS operatsioonisüsteemi ootab ees suurem uuendus: juurutame OpenSSL 3. versiooni. See muutus mõjutab pea...

Uuendused python

Uuendame NodeJS ja Python vaikeversioone

Ingmar Aasoja5. juuni, 2024

Juunis 2024 hakkame Zone platvormi järk-järgult l uuendama NodeJS ja Python vaikeversioone, mistõttu palume käesoleva kirjatükiga tähelepanu just...

Tehniline WordPress

Veelkord aegunud PHP versioonidest

Kaarel Urva3. juuni, 2024

Mäletatavasti teavitasime aprilli lõpus kliente sellest, et aegunud PHP versioonide kasutamine muutub tasuliseks. Mõistetavasti tuli see uudis paljudele...

KAMPAANIA

LOO OMA VEEBILEHT

Pilveserver VPS

Zone+ Turvamonitooring