CHƢƠNG 2 CÁC DẠNG TẤN CÔNG THƢỜNG GẶP LÊN ỨNG DỤNG WEB
3.1. Bảo mật máy chủ web
3.1.2. Bảo mật máy chủ web bằng cấu hình
Trên thực tế, thiết lập cấu hình máy chủ web an tồn khơng phải là việc quá khó, tuy nhiên thƣờng hay gặp lỗi do ngƣời quản trị lơ đễnh, chủ quan, hoặc thiếu ý thức. Do vậy, việc đào tạo ngƣời quản trị và cần giám sát chặt chẽ việc thực hiện quy trình thiết lập cấu hình máy chủ web an toàn là bƣớc đi đầu tiên. Sau đây liệt kê một số định hƣớng cấu hình máy chủ web an tồn cho ngƣời quản trị:
- Tìm hiểu tài liệu để nắm vững phƣơng thức hoạt động của máy chủ web sử dụng và các các thiết lập cấu hình;
- Thiết lập các tham số cấu hình theo các hƣớng dẫn tăng cƣờng an ninh cho máy chủ và các ứng dụng web.
- Đổi tên và đổi mật khẩu các tài khoản quản trị ngầm định. Nếu khơng sử dụng có thể xóa hoặc khóa (disable) các tài khoản này.
- Chặn truy nhập từ mạng công cộng đến các giao diện quản trị. Giới hạn truy nhập đến các giao diện quản trị từ mạng nội bộ hoặc địa chỉ IP cụ thể bằng ACL hoặc tƣờng lửa.
- Loại bỏ các nội dung ngầm định, nếu không sử dụng:
+ Với các nội dung, hoặc tính năng cần thiết, cần thực hiện các biện pháp tăng cƣờng an ninh.
+ Kiểm tra tất cả các thƣ mục và cấm cho phép liệt kê nội dung thƣ mục. Ngoài ra, đảm bảo các thƣ mục có trang ngầm định và chỉ cho phép liệt kê nội dung thƣ mục trong từng trƣờng hợp cụ thể.
69 - Đặt quyền truy nhập vào các thƣ mục và các trang cho phù hợp. Theo đó, với thƣ mục lƣu các nội dung tĩnh, chỉ cấp quyền đọc, còn với thƣ mục lƣu các file tải lên, chỉ cấp quyền đọc, ghi và tuyệt đối không cấp quyền thực hiện.