מאמרים אחרונים מאמרים אחרונים
24/10/2018 19:39
מתכנן הקמת חנות מתנות מקוונת? אספנו עבורך כל מה שחשוב לדעת לפני שאתה יוצא לדרך.
15/09/2018 19:27
יש לך עסק למכירת רהיטים או שאתה מתכנן אחד כזה בקרוב? קרא איך הקמת חנות וירטואלית למכירה של רהיטים בא...
06/09/2018 18:05
מחשבים זו אהבת חייך? האם חשבת למכור מחשבים, טלפונים סלולריים, קונסולות משחק וציוד היקפי באינטרנט? המ...
24/08/2018 13:39
הקמת פורטל בריאות באנגלית
22/08/2018 0:27
מתכנן להקים עסק למכירת מוצרי מזון באינטרנט? אנחנו כאן כדי לעזור לך בתכנון להצלחת העסק.
תגובות אחרונות תגובות אחרונות
בניית חנות וירטואלית
29/08/2018 13:50
חברה לבניית אתר וחנות וירטואלי...
שפת שרת מול שפת לקוח
04/07/2018 15:45
היי, השפות PHP ו-PYTHON שתי...
שפת שרת מול שפת לקוח
04/07/2018 14:10
מה ההבדל בין php ל python

אבטחת שרתים

הגנו על השרת שלכם מפני פריצות והוסיפו עוד רמת אבטחה נלווית על אבטחת הקוד.

טיפים לאבטחת שרתי אינטרנט

אבטחת אתר אינטרנט הוא מכלול של הגנה על האתר גם ברמת הקוד וגם ברמת השרת. כדי לוודא שהאתר שלנו מאובטח עד כמה שניתן (כי אין לעולם אבטחה של 100%, אפילו לפנטגון כבר פרצו) וכדי להקשות עד כמה שניתן חדירה של האקרים לא רצויים לאתר שלנו (שעלולים לשבש לנו את המידע, לגנוב אותו ואף למחוק אותו), יש גם לוודא שהקוד מאובטח מפני חולאים כגון SQL injection, XSS, DDoS, ספאם בטפסים וכיו"ב, וגם שהשרת מאובטח מפני תקיפות דומות. רק שילוב חכם של כמה רמות הגנה, הן ברמת הקוד והן ברמת השרת יכולים להביא לרמת אבטחה גבוהה.

במאמר זה, נתרכז בנושא אבטחת שרתים. את נושא ההגנה בקוד נשאיר לפעם אחרת. גם אבטחת שרתי אחסון הוא נושא מורכב, ולא ניתן לדבר עליו במאמר אחד קצר, ולכן בעיקר נעלה את הרעיונות הכלליים של האבטחה ונסיים עם טיפים שקל ליישם ללא הבנה גדולה מדי באבטחת מידע.

 

מהי אבטחת מידע טובה על השרת

אבטחת מידע טובה היא כזו המקיימת:

  • חסימה של ביצוע פעולות שעלולות להוות סיכון, לחשוף מידע רגיש או לאפשר גישה לנתונים שלא נרצה לתת אליהם הרשאה בצורה ישירה. למשל, ביצוע פקודות כמו trace או track למעקב אחר פעילות השרת, הן פעולות שנרצה לחסום.
  • הסתרה של מידע שיכול לעזור להאקר לפרוץ לנו לאתר. למשל, חשיפה של גרסת תוכנת ה-Apache המותקנת על השרת, חשיפת גירסת ה-PHP, נתוני שגיאה בקוד שמספקים מידע על קבצים ופרצות אבטחה.
  • מניעת הרצה של קוד שעלול להיות מנוצל לרעה. למשל, ביצוע קריאות exec, shell וכיו"ב מתוך קוד PHP יכול להיות שימושי, אבל גם הרסני (ולכן עדיף באופן כללי שלא להשתמש בפקודות מסוג זה בקוד שאנו כותבים ובכלל לחסום קריאות אלו מתוך השרת).

 

איך מגינים על שרת האחסון

כדי להגן על שרת האחסון, מומלץ קודם כל להשתמש בגרסאות עדכניות של כל תוכנה מותקנת, לרבות גרסאות כלים כמו Apache, PHP וגם גרסאות של תוכנות, כלי עזר ותוספים כגון Wordpress, TinyMCE וכן הלאה. גירסאות עדכניות ברוב המקרים כוללות תיקוני אבטחה וסוגרות פרצות אבטחה שהיו אפשריות בגרסאות ישנות יותר.

לאחר שעדכנו את כל גירסאות הכלים, יש לוודא חלוקת משאבים נכונה על השרת (במיוחד אם זהו שרת שיתופי) על מנת שגישה לאתר אחד לא תיפגע באתר אחר. הפרד ומשול יעזור פה גם באבטחה, שכן ניצול לרעה של משאבי אתר אחד לא יוביל לפגיעה באתר אחר. תוכנה טובה שמאפשרת ניהול משאבי שרתים היא למשל Cloud Linux.

יש לוודא גם שאנו משתמשים כמובן בפיירוול. פיירוול ימנע חדירה של סוסים טרויאנים, malware ושאר מזיקים שירצו לגשת למידע על השרת.

לאחר שעשינו את כל ההתקנות והעדכונים הנזכרים לעיל, יש לבצע את השלב החשוב והמכריע של ההגדרות השונות.

 

קינפוג והגדרת Apache - אופטימיזציית אבטחה חכמה יותר

נרצה לבצע קונפיגורציה חכמה ל-Apache, על מנת לחסום קוד מסוכן, להסתיר גירסת Apache וכיו"ב. אספנו עבורכם סט הנחיות להגנה טובה יותר על השרת:

  1. הסתרת נתוני Apache:

בקובץ /etc/apache2/apache2.conf (או בקובץ httpd.conf) יש להוסיף את השורות הבאות:

ServerTokens ProductOnly

ServerSignature Off

  1. מניעת ביצוע Trace:

בקובץ /etc/apache2/apache2.conf או בקובץ /etc/apache2/conf.d/security/security.conf יש להוסיף שורה:

TraceEnable Off

 

  1. הסתרת רשימת הקבצים בעת טעינת האתר:

יש לבטל את המודול autoindex המותקן על Apache. במערכת Ubuntu למשל, יש למחוק לשם כך את הקבצים הבאים:

/etc/apache2/mods-enabled/autoindex.load

/etc/apache2/mods-enabled/autoindex.conf

 

  1. מניעת גישה להורדה, העלאה ושינוי קבצים באמצעות מנגנון WebDAV:

מנגנון WebDAV הוא מנגנון שנימצא בשימוש נדיר ביותר ומאפשר הורדה, העלאה ושינוי קבצים. מומלץ לנטרל אותו ע"י ביטול המודולים dav, dav_fs, dav_lock. במערכת Ubuntu למשל, יש למחוק לשם כך את הקבצים הבאים:

/etc/apache2/mods-enabled/dav.load

/etc/apache2/mods-enabled/dav_fs.conf

/etc/apache2/mods-enabled/dav_fs.load

/etc/apache2/mods-enabled/dav_lock.load

 

  1. הסתרת גירסת BIND DNS Sever:

בקובץ named.conf בתוך הקטע options, יש להכניס מלל סתמי עבור השדה version. דוגמא:

options {

               ….

               version "BIND DNS Sever Version Protection";

}

לאחר השינוי יש לאתחל את הרישום על ידי ביצוע:

# service bind9 restart

 

 

הערות:

  1. לפני הוספת השורות בקבצים השונים, יש לבדוק קודם האם כבר קיימת הגדרה רלוונטית, ואם כן, אז לתקן אותה במקום להוסיף הגדרה נוספת.
  2. לאחר שינויי ההגדרות יש לבצע אתחול לשרת.

 

קינפוג והגדרת PHP - אבטחת מידע בקוד PHP

הקובץ /etc/php5/apache/php.ini מרכז בתוכו הגדרות ברירת מחדל של PHP. ההגדרות ההלו שולטות בין היתר ביכולות של הקוד לבצע פעילויות כגון: חשיפת גירסת PHP, הרצת קוד משרת חיצוני, שליחת מידע לא מאובטח כפרמטרים בקוד, חשיפות שגיאות קוד ובעיות כלפי חוץ לגולשים באתר וכיו"ב.

קביעה לא נכונה של הגדרות ברירת המחדל של PHP הינה כר פורה לפרצות אבטחה שהאקרים יכולים לנצל.

להלן שורה של הגדרות שמומלץ לקבוע כברירת מחדל על מנת להעלות את רמת האבטחה על השרת:

allow_url_fopen = Off

display_errors = Off

display_startup_errors = Off

log_errors = On

error_reporting = E_ALL

expose_php = Off

register_globals = Off

 

אבטחת שרתים - לסיכום

הרעיונות והטיפים שהזכרנו הם התחלה טובה לאבטחה חזקה יותר של השרת ושל קוד PHP. אנו ממליצים לוודא כי השרת שלכם עבר בדיקת אבטחה, אבל זכרו כי זה אינו מספיק: האבטחה חייבת להמשיך במעגל השני של הקוד, אבל זה כבר לפעם אחרת.

תגיות: אבטחה
הוספת תגובה

רוצה שנקפיץ גם את העסק שלך?

פיתחנו עבורך פלטפורמה ייחודית שתוביל את העסק שלך להצלחה: יותר חשיפה, יותר מכירות, פחות נטישת גולשים.

שילוב מנצח של טכנולוגיה שהיא חוד החנית עם ליווי אישי להצלחה!

 

לא מהססים! ממלאים את הטופס או מתקשרים עכשיו 077-7644819

 
שנקפיץ לך את העסק?
לחץ כאן
התקשר עכשיו 077-7644819
או מלא את הטופס להלן: