Web sunucunuzu sağlamlaştırma kılavuzu
Yayınlanan: 2022-03-15İşlevleri nedeniyle, web sunucuları tipik bir ağ ortamındaki diğer birçok cihazdan farklıdır - yalnızca tasarım gereği internete maruz kalmazlar, aynı zamanda muhtemelen tamamen yabancılara web trafiği sunarlar. Ek olarak, birçok durumda, web sunucuları muhtemelen WordPress web siteleri gibi dinamik uygulamalara hizmet ediyor veya diğer dahili uygulamalara yönelik proxy görevi görüyor. Bu nedenle, web sunucularının saldırganlar için ilginç hedefler oluşturması şaşırtıcı değildir.
Bir sistemi güçlendirme, bir sistemin savunmasını, kötü niyetli bir bilgisayar korsanının bu sistemden ödün vermesini ve bir ağ içinde yer edinmesini zorlaştıracak şekilde iyileştirme sürecini ifade eder.
Bir web sunucusunu güçlendirme süreci, elbette, kullandığınız web sunucusunun türüne (örn. Apache HTTP Sunucusu, Nginx, Microsoft IIS…) bağlı olacaktır, ancak web sunucunuzu geliştirmek için bir dizi temel ilke ve en iyi uygulama vardır. Hangi web sunucusunu kullandığınızdan bağımsız olarak aklınızda bulundurmanız gereken web sunucusu güvenliği.
Bu makale bir web sunucusu güçlendirme kılavuzudur. İçinde, web sunucusu güvenliğinizi geliştirebileceğiniz bir dizi teknolojiden bağımsız en iyi uygulamaya bakacağız. WordPress sağlamlaştırma için WordPress güvenlik ve sağlamlaştırma kılavuzumuza bakın.
1. Web sunucunuzu güncel tutun
Yazılımı güncel tutmak çok önemli bir şey gibi görünmeyebilir, ancak güvenlik yamalarını zamanında uygulamak, muhtemelen uygulayabileceğiniz en önemli savunmalardan biridir. Performans ve kararlılık iyileştirmelerinin yanı sıra, web sunucusu ve işletim sistemi güncellemeleri genellikle güvenlik açıkları için düzeltmeler içerir.
İlk bakışta önemsiz görünebilir, ancak herhangi bir bilgi güvenliği uzmanı size yama uygulamasının göründüğünden daha karmaşık olduğunu söyleyecektir - çoğu yazılımın en son sürümünü yüklemek özellikle zor olduğu için değil, yama her zaman yapılabilecek bir şey olarak görüldüğü için. ertelenmek.
Web sunucusu yazılımınızın sürekli olarak güncellendiğinden emin olmanın en iyi yolu, sizin veya web sunucunuzu ve işletim sistemi yazılımınızı güncellemekle görevlendirilen kişi için çalışan bir sistem veya rutin bulmaktır. Çoğu zaman, zaman ayıracağınız periyodik bir hatırlatıcıya (örneğin, tekrarlanan bir takvim etkinliği ayarlama) dönüşür.
2. Gereksiz yazılımları ve modülleri kaldırın
Her zaman öyle görünmese de, web sunucuları karmaşık yazılım parçalarıdır. Apache HTTP Sunucusu gibi bazı web sunucuları, kullanım durumunuza bağlı olarak etkinleştirebileceğiniz veya devre dışı bırakabileceğiniz bir dizi "modül" (WordPress için hangi eklentilerin olduğuna benzer) ile birlikte gelir. Kötü niyetli saldırganların, web sunucunuz hakkında daha fazla bilgi toplamak için bir web sunucusu modülünün özelliklerinden ve güvenlik açıklarından yararlandıkları bilinmektedir. Başarılı bir saldırının tek nedeni bu olmasa da, web sunucusunu güçlendirmenin tüm amacı, derinlemesine bir savunma yaklaşımı benimsemek ve kötü niyetli aktörlerin en küçük dayanakları bile elde etmesini zorlaştırmaktır.
Bunun pratik bir örneği, Apache HTTP Sunucusunun mod_status'u gibi modüllerdir. Bu modül, /server-status URL'si aracılığıyla sunucunun etkinliğine ve performansına (mevcut ana bilgisayarlar, işlenen istek sayısı, boş çalışan sayısı ve CPU kullanımı) ilişkin bir genel bakış elde etmek için tasarlanmıştır. Böyle bir özellik, bir saldırgana web sunucunuzun ne kadar iyi performans gösterdiğine dair oldukça iyi bir gösterge sağlayabilir; Hizmet Reddi (DoS) saldırısı durumunda oldukça kullanışlı bir araçtır.
Benzer şekilde, web sunucunuzda çalışan diğer kullanılmayan yazılımlar da gereksiz bir risk oluşturuyor olabilir. Örneğin:
- İhtiyacınız olmayan vsftpd gibi bir FTP sunucusu mu çalıştırıyorsunuz?
- Artık ihtiyacınız olmayan Sendmail veya Postfix gibi bir posta aktarım aracısı var mı? WordPress e-posta teslim edilebilirliğini iyileştirmek için bir üçüncü taraf hizmeti kullanıyorsanız, böyle bir hizmete ihtiyacınız olmaz.
Bu uygulamalar/hizmetler ve sunucudaki diğer pek çok şey, kendi güvenlik tuhaflıklarına, güvenlik açıklarına ve yama gereksinimlerine sahip bileşenlerdir.
Özetle—mümkünse daha az yazılım çalıştırın. Bir modül veya hizmet kullanmıyorsanız, devre dışı bırakmayı veya kaldırmayı düşünmelisiniz. Doğal olarak, bir geliştirme veya hazırlama ortamında kapsamlı testler yapmadan modülleri veya uygulamaları devre dışı bırakmayın (bazen bir web sunucusu modülünün veya uygulamasının kullanıldığı tam olarak net olmayabilir).
3. Erişim kontrolünü sıkın
Web sunucunuza erişimi kontrol etmek, doğru olanı yapmak için çok önemlidir. Sonuçta, yanlış ellere düşen web sunucunuza erişim şansını en aza indirmek istiyorsunuz. Aşağıda, uygun erişim denetiminin sürdürülmesiyle ilgili olarak izlenecek en iyi uygulamalar yer almaktadır.
- Kök kullanıcıyı kullanmayın. Yönetim görevlerini gerçekleştirmeniz gerekiyorsa, bunun yerine sudo'yu kullanın;
- Güçlü sistem (ve WordPress) şifreleri kullanın;
- SSH kullanırken parola yerine SSH anahtarlarını kullanın;
- Belirli IP adreslerinden SSH/RDP erişimini kısıtlamayı düşünün;
- Herhangi bir bulut sağlayıcı hesabında İki Faktörlü Kimlik Doğrulamayı (2FA) etkinleştirin;
- Web sunucusuna erişen her kişinin kendi kullanıcısı olduğundan emin olun—kullanıcı hesaplarını kullanıcılar arasında paylaşmayın;
- Kabuk/SSH/Uzak Masaüstü erişimini açıkça ihtiyacı olan kişilerle sınırlayın.
4. Kurulum Dosya Bütünlüğü İzleme (FIM)
Dosya Bütünlüğü İzleme (FIM), sistem yöneticilerinin bir web sunucusunda dosyaların ne zaman değiştiğini belirlemelerine yardımcı olur. Bazı dosyalar normal web sunucusu işlemlerinin bir parçası olarak oldukça sık değişse de, bir yönetici değişiklik yapmadıkça (örneğin wp-config.php dosyasını güncelleme) veya WordPress'in kendisini güncellemedikçe, WordPress kurulumu gibi dosyalar asla değişmemelidir.
Dosya Bütünlüğü İzleme söz konusu olduğunda kullanmayı seçebileceğiniz çok sayıda seçenek olsa da, çalıştırdığınız uygulamaya özel, kurulumu ve çalıştırması basit ve herhangi bir işlem gerektirmeyen bir şeye bağlı kalmanız önerilir. çok akort. Aksi takdirde, anlamsız bildirimlerde boğulursunuz ve daha farkına varmadan, alarm yorgunluğu başlar ve birlikte olma çabanızı siler. Kısacası, konu FIM olduğunda daha fazla uyarı ve özellik eşit değildir, bunun yerine en az miktarda ek yük ile en fazla değeri sunan bir çözüm arayın.
5. Bir DDoS azaltma ve WAF hizmeti kullanın
Web sunucunuzu doğrudan İnternet'e maruz bırakmak yerine, Dağıtılmış Hizmet Reddi (DDoS) saldırıları da dahil olmak üzere çok çeşitli saldırılara karşı kendinizi korumak için Cloudflare, Fastly, Akamai veya benzeri bir hizmet kullanmayı düşünmelisiniz. Hizmet Reddi (DoS) saldırısı, bir saldırganın bir web sitesini isteklerle boğmayı amaçladığı ve bunun sonucunda web sunucunuzun meşru kullanıcılara istek sunmasını engellediği bir saldırı türüdür.
Hizmet Reddi azaltımına ek olarak, bu tür bulut hizmetleri tipik olarak, temel SQL enjeksiyonu (SQLi) ve basit Siteler Arası gibi birçok olağan web uygulaması saldırısını durdurabilen Web Uygulaması Güvenlik Duvarı (WAF) özellikleri de sunar. Komut dosyası oluşturma (XSS). WAF'ler web uygulaması güvenlik açıklarına bir çözüm olmasa da, özellikle WordPress web siteleri için optimize edilmiş WAF kurallarıyla, kötüye kullanıma karşı bir miktar koruma sağlarlar.
Sonraki adımlar nelerdir?
Bu makale bazı yaygın web sunucusu sertleştirme tekniklerini kapsamakla birlikte, güvenlikte hiçbir şey gümüş kurşun değildir. Bu nedenle, özellikle kararlı bir düşman karşısında, bir sistemi savunmanın hiçbir yöntemi kusursuz değildir. Bu nedenle, WordPress web sitenizi oluşturan her bileşenin güvenliğini sağlamanız gerekir. Web sunucunuzu güvenli hale getiremez ve WordPress güvenliğini veya kendi bilgisayarınızı göz ardı edemezsiniz.
Bununla birlikte, sürekli yama ve iyi güvenlik uygulamaları ve hijyeni izlemek, bir saldırganın bir saldırıyı başarılı bir şekilde gerçekleştirmek için sarf etmesi gereken çabayı büyük ölçüde artırabilir - bu da çoğu zaman saldırganı hayal kırıklığına uğratmak, daha yumuşak bir hedefe zorlamak anlamına gelir.