Trang chủ » Quản trị mạng » Tổng hợp kinh nghiệm bảo mật web server

Tổng hợp kinh nghiệm bảo mật web server

1027 Lượt xem

Không phải một thiết kế web bảo mật là có thể bảo vệ website hay web server khỏi hacker. Người quản trị website cũng cần nẵm những thủ thuật, kinh nghiệm để có thể tối ưu hóa bảo mật cho server và website của mình. Tổng hợp kinh nghiệm bảo mật web server đơn giản dưới đây sẽ giúp bạn cải thiện bảo mật máy chủ web.

A. Bảo mật mật khẩu

1. Sử dụng mật khẩu có ít nhất 8 ký tự

2. Sử dụng mật khẩu có độ phức tạp bao gồm số, chữ, ký hiệu …

3. Sử dụng nhiều mật khẩu cho các tài khoản khác nhau.

4. Kiểm tra độ mạnh mật khẩu bằng các công cụ hỗ trợ.

5. Không sử dụng các mật khẩu thông dụng. VD : 123456, toikhongbiet …

6. Không sử dụng mật khẩu lặp nhiều lần VD : 1111111111, 1212121212…

7. Không sử dụng mật khẩu có chứa thông tin như ngày sinh của bạn, số điện thoại …

8. Không lưu trữ mật khẩu trên máy tính xách tay, điện thoại hoặc máy tính bảng.

9. Sử dụng hệ thống bảo vệ mật khẩu bởi một nhà cung cấp uy tín (Ví dụ :LastPass).

10. Thiết lập “Xác minh 2 bước” khi nhà cung cấp có dịch vụ.

11. Sử dụng chức năng kiểm tra mức độ mật khẩu

B. An toàn các giao thức truyền tải thông tin

screenshot-2

Bảo mật an toàn các phương thức truyền thông tin

12. Sử dụng giao thức bảo mật FTP File Transfer Protocol

13. Sử dụng SSH thay vì Telnet

14. Sử dụng giao thức bảo mật cho Email (POP3S/IMAPS/SMTPS).

15. Bật tính năng bảo mật SSL (HTTPS).

16. Sử dụng VPN khi có sẵn.

17. Sử dụng tường lửa trên tất cả thiết bị endpoints, bao gồm Server và Client.

18. Sử dụng residential/office firewall/IPS trên hệ thống.

19. Mã hóa dữ liệu trên Email.

20. Không sử dụng máy tính công cộng để truy cập dữ liệu nhạy cảm.

C. Bảo mật ứng dụng Web

screenshot-3

Bảo mật ứng dụng web

21. Đăng ký thông báo những bản cập nhật website.

22. Cập nhật các phiên bản website mới nhất.

23. Sử dụng các công cụ quét bảo mật như Nessus.

24. Sử dụng tường lửa trình duyệt Web.

25. Kiểm tra tập tin tải lên đảm bảo mã nguồn không được upload lên.

26. Mã tùy chỉnh về bảo mật.

27. Sử dụng frameworks với hệ thống bảo mật tốt.

28. Bảo mật đường dẫn nhạy cảm ‘directory/file’.

29. Hạn chế đăng nhập IP với mục dành cho “Quản trị viên”.

30. Làm sạch khung nhập.

31. Ẩn các thư mục nhạy cảm hoặc hạn chế truy cập.

32. Sử dụng các lệnh Shell trong mã.

33. Không tin vào những đường dẫn HTTP bởi những người giới thiệu, rất có thể nó được giả mạo.

34. Sử dụng POT thay cho GET để gửi những dữ liệu nhạy cảm trên đường dẫn.

35. Xác nhận dữ liệu từ máy chủ.

36. Không dựa vào các tập tin tương đối và tên đường dẫn.

37. Xác định quyền truy cập từng file.

38. Giới hạn đăng tải tệp tin, cho những tệp tin được phép (.zip, .jpg, .png…)

39. Tạo các lỗi an toàn, không tiết lộ thông tin nhạy cảm.

40. Cẩn thận xử lý với các tệp tin Cookie, nó có thể được chỉnh sửa.

41. Mã hóa các tệp tin cấu hình (config.php).

42. Bảo vệ các cuộc tấn công DDOS.

43. Vô hiệu hóa url fopen nếu có thể.

44. Kích hoạt chế độ Safe mode trong hệ thống Apache nếu có thể.

45. Vô hiệu hóa các hàm Apache nguy hiểm.

46. Cẩn thận với các tệp tin nhạy cảm “.bak, .txt, ,sql” trong thư mục web.

47. Cẩn thận sử dụng các phiên bản mặc định trên root.

48. Thiết lập mặc định trả lời và theo dõi email trả lại.

49. Luôn cập nhật phiên bản mới nhất.

50. Luôn kiểm tra các lỗi và log trên hệ thống.

D. Bảo mật máy chủ

screenshot-4

Bảo mật máy chủ

51. Cập nhật các phiên bản hệ điều hành thường xuyên.

52. Cập nhật Control thường xuyên.

53. Giảm thông báo thông tin (VD: Đổi ServerTokens trong Apache).

54. Không cài đặt phần mềm không được sử dụng.

55. Không sao lưu hoặc phần mềm các phiên bản cũ.

56. Hạn chế quyền truy cập vào các tài khoản nhạy cảm.

57. Chắc chắn rằng hệ thống Logs hoạt động.

58. Chắc chắn rằng máy chủ đã cài đặt tường lửa.

60. 59. Xóa các thông tin mặc định trên Database.

61. Vô hiệu hóa quyền truy cập root trong SSH.

62. Sử dụng quyền đăng nhập có SSH key.

63. Vô hiệu hóa các dịch vụ không sử dụng.

64. Luôn có hệ thống tự sao lưu hệ thống.

65. Kiểm tra hệ thống sao lưu.

66. Không phát triển hệ thống chưa được công bố.

67. Luôn cập nhật hệ thống dịch vụ thông báo bảo mật.

68. Theo dõi lưu lượng web kiểm tra những hoạt động bất thường.

69. Thường xuyên quét, kiểm tra bảo mật.

70. Thiết lập các dịch vụ mặc định trong Apache, SSH và dịch vụ khác.

71. Sử dụng tài khoản root khi cần thiết.

72. Sử dụng “sudo” để cấp quyền tài khoản.

73. Kích hoạt “SELinux”.

74. Sử dụng mạng riêng thông với mạng chính.

75. Sử dụng mã khóa thích hợp.

76. Thực hiện kiểm tra mật khẩu.

77. Thực hiện các mật khẩu mạnh và thay đổi mật khẩu hàng tháng.