Veebilehed turvalisemaks

Ardi Jürgens3. mai, 2007

Antud blogipostitus on 203 kuud vana ning ei pruugi olla enam ajakohane.

Seoses viimase nädala pingeliste sündmustega on erilise tähelepanu alla sattunud Eestis asuvate kodulehekülgede, serverite ja andmesideinfrastruktuuri turvalisus.

Kätte on jõudnud aeg, mil tasuks üks õhtu pühendada oma veebileheküljele ja püüda proovida parandada selle turvalisust. Selleks tasuks kaaluda mõnede sammude läbimist, mida allpool loetleme.

1. Veenduge, et kasutate turvalisi salasõnu. Seda nii oma hostingupakkuja haldusliideses, FTP ühenduste loomisel kui ka oma rakenduses.

Kasutatavad salasõnad võiksid olla vähemalt 6 märki pikad ning sisaldada numbreid, kirjavahemärke ja suuri/väikseid tähti

Kindlasti vahetage ära virtuaalserveris kasutatava tarkvara vaikeparoolid!

Juhul, kui kahtlustate, et teie salasõna on võinud sattuda võõrastesse kätesse või olete oma arvutist avastanud viiruse/nuhkvara, siis vahetage oma salasõnad esimesel võimalusel.

DataZone haldusliideses on võimalik lasta endale turvaline haldusliidese või FTP salasõna automaatselt genereerida.

2. Kui kasutate oma veebis tarkvaraarendajalt hangitud valmisrakendusi, siis kontrollige, kas kasutate selle on viimast stabiilset versiooni. Uurige tootja koduleheküljelt võimalike turvaaukude kohta.

Juhul, kui kasutate järgmiseid tarkvaratooteid, siis uurige kindlasti, ega te ei peaks tarkvara versiooni uuendama:

Joomla – http://www.joomla.com
WordPress – http://www.wordpress.com
phpBB – http://www.phpbb.com
PHP-Nuke http://www.phpnuke.org
Gallery – http://gallery.menalto.com
Mambo – http://www.mamboserver.com

Nende toodete populaarsus tagab selle, et iga turvaauku üritatakse aktiivselt ära kasutada ning nende kasutajaid otsitakse otsingumootoritest automaatsete vahenditega.

3. Kui olete ise tarkvaraarendaja, kontrollige palun oma koodi levinumate turvaprobleemide suhtes.

Aktuaalseid materjale leiab näiteks järgmistelt aadressidelt: http://www.phpwact.org/security/web_application_security
http://www.securityfocus.com/infocus/1864

4. Kui teie rakendus ei vaja veebiserveris PHP register_globals ja url_fopen parameetrite lubamist, lülitage need välja.

DataZone haldusliidesest saab seda teha Veebiserveri seadete all.

5. Juhul, kui teie rakenduse haldusliides paikneb eraldi kataloogis, kaaluge sellele kataloogile ligipääsu täiendavat piiramist .htaccess failiga. Selles failis võite ligipääsu lubada konkreetsele IP aadressile või domeenile.

IP aadressi limiidi saate kehtestada järgmise .htaccess faili sisuga:

  Order Deny,Allow      

  Deny from All     
  Allow from 172.16.1.1   #<<--- Siia kirjuta oma IP

Domeeni limiidi saate kehtestada järgmise .htaccess faili sisuga:

  Order Deny,Allow      
  
  Deny from All 
  Allow from .estpak.ee #<<-- Siia kirjuta oma ISP alamdomeen

Põhimõtteliselt saate kehtestada limiidi ka ülemdomeenile:

  Order Deny,Allow 

  Deny from All 
  Allow from .ee  #<<-- Siia sisestage oma ülemdomeen :)

DataZone haldusliidesest on võimalik ligipääsupiiranguid kehtestada ka Apache direktiive kasutades. Meeles tuleb aga pidada, et Apache direktiivid sisestatuna DataZone haldusliidese vahendusel, peavad olema Directory täägide vahel, “Document root” kataloogi saab aga lihtsalt kätte kasutades muutujat.

Siinkohal on jälle hea näide ära tuua:


    Order Deny,Allow 

    Deny from All 
    Allow from .ee

6. Mis puudutab DoS rünnakuid ning DDoS rünnakuid kodulehekülgede, nimeserverite ja võrguseadmete vastu, siis siinkohal on virtuaalserverite kasutajatel võimalik ära teha vähe.

Kuni teatud piirini võib mõnede rünnakute mõju leevendada veebiserveris kasutatava rakenduse ülesehitus, kuid tõsisema rünnaku puhul ei ole rakendustasandil võimalik kahjuks suurt ära teha. Usaldada tuleks oma teenusepakkujat. Uskuge, enamus veebimajutusteenuse osutajatest ning nende partneritest teevad kõik endast oleneva, et tagada teie teenusele parim võimalik käideldavus.

Sauruse CMS kasutajatele on Saurus.ee lehel olemas juhend, kuidas parandada konkreetselt Sauruse turvalisust http://www.saurus.ee/kaitse-oma-veebisaiti . PDF versiooni saate alla laadida ka siit.

Arvutiturbe teemalisi materjale leiate hulgaliselt Arvutikaitse blogist!

Juhul, kui oskate viidata materjalidele, mis aitaksid inimestel turvata oma kodulehekülge, viidake nendele kommentaarides! Aitäh!

Kommentaarid

1 kommentaar

Gunnar ütleb:

3. mai 2007, 16:26

Joomla! turvamiseks on ka meil pisut head nõu anda: http://www.dt.ee/blog/www/joomla-cms/2007/04/nouandeid-joomla-cms-turvamiseks/

Ja admini kataloog pange kindlasti .htaccessi kaitse alla.

Kommentaarid suletud.

Populaarsed postitused

Varia Tehisintellekt

CloudFest 2024: AI annab riistvarale uue hingamise

Ingmar Aasoja25. märts, 2024

Läinud nädalal istus Zone tiim lennukisse ja sööstis taaskord CloudFesti põnevasse maailma, et heita pilk veebimajutusteenuste arengusuundadele. Meie...

Veebileht WordPress

Zone+ WordPressi Assistent: kuidas AI abiga sekunditega veebileht luua

Jaanus Putting18. märts, 2024

See aeg on läbi, mil vajadus kodulehe järele tähendas telefoniraamatust või guuglist veebidisaineri kontaktide otsimist. Tõenäoliselt üks viimase...

Tehniline turvalisus

Aegunud PHP on aegunud PHP

Hasso Tepper26. veebruar, 2024

Kui esimene tänapäevane PHP versioon 25 aastat tagasi avalikuks tehti, oli internet hoopis teistsugune. Nõudmised veebilehtedele olid tagasihoidlikud...

Veebiakadeemia veebileht

Zone Veebiakadeemia - kuidas end Internetis nähtavaks teha

blogi15. veebruar, 2024

Zone Veebiakadeemia uusima episoodiga hakkame tutvustama ägedaid Zone koostööpartnereid. Seekord on meil külas Nobel Digitali tootejuht ja partner...

KAMPAANIA

LOO OMA VEEBILEHT

Pilveserver VPS

Zone+ Turvamonitooring