Page 98 - 4636
P. 98
використовуйте файлову систему NTFS і видаліть дозвіл на запис там, де вони не потрібні;
видаліть всі файли, які встановлюються за замовчуванням IIS в кореневий каталог
документів. Швидше за все, більшість цих файлів (якщо не всі) не знадобляться. Великий обсяг
інформації міститься в каталозі \inetpub, який вам не потрібен, якщо ви не використовуєте
онлайнові засоби настроювання (а ви не повинні ними користуватися - замість них краще
використовуйте утиліту iisadmin);
намагайтеся не використовувати загальноприйняті імена. Існує багато автоматичних
спеціалізованих засобів, які намагаються знайти сценарії та програми в розповсюджених підкаталогах
кореневого каталогу документів: \Scripts, \cgi-bin \bin і т.д. Тут також настійно
рекомендується прочитати документацію по IIS, щоб ближче познайомитися з рекомендованими
процедурами забезпечення безпеки.
Веб-додатки на комерційних хостах. Існує група користувачів, для яких проблема безпеки на
віртуальних серверах більш серйозна - це користувачі, веб-додатки яких виконуються на комерційних
службах хостингу PHP/MySQL. На цих серверах доступ до php.ini зазвичай неможливий, тобто
неможливо встановити всі параметри так, як потрібно саме вам. В окремих випадках деякі служби
навіть не дозволяють створювати каталоги поза кореневим каталогом документів, позбавляючи вас
надійного місця для розміщення включаючих файлів. На щастя, більшість таких компаній не хочуть
втрачати прибуток, а небезпечна структура навряд чи приверне додаткових користувачів. Для повної
впевненості ви можете і повинні виконати ряд дій, перш ніж зв'язатися з хостинговою компанією і
розгорнути у них свій додаток.
Ще до вибору служби перегляньте їх опис підтримки. Чим краще служба, тим зазвичай більш
повна онлайнова документація (нам зустрічалися навіть кілька примірників з відмінними динамічними
підручниками), у якій точно описано, як налаштовано ваш особистий простір. Ви можете усвідомити,
які обмеження і підтримка будуть доступні при перегляді сторінок на їх хостах.
Шукайте хостингові служби, які надають цілі дерева каталогів, а не просто кореневий каталог
документів. Правда, деякі заявляють, що кореневий каталог вашого особистого простору і є кореневий
каталог документів, але інші надають цілу ієрархію каталогів, з каталогом /public_html, в якому
ви можете розмістити свій контент і виконувані PHP-скрипти. Тут ви зможете спокійно створити
каталог /includes, і сторонні не зможуть побачити вміст .inc-файлів.
Спробуйте дізнатися параметри, які прописані в php.ini. Звичайно, більшість служб не виведуть
вміст цього файлу на веб-сторінці і не відправлять його вам по електронній пошті, але можна запитати
персонал підтримки, чи включений у них захищений режим, і які функції і класи відключені. Крім
того, значення параметрів можна дізнатися за допомогою функції ini_get.Сайти, де не
використовується захищений режим і не відключена ні одна функція, повинні насторожити вас.
Дізнайтеся версії різних програм, які працюють на сайті, чи є вони найновішими. Якщо у вас
нічого не вийде з допомогою функції phpinfo, скористайтеся службою зразок Netcraft
(http://www.netcraft.com), яка повідомляє, яке ПЗ працює на конкретному сайті. Обов'язково перевірте,
чи працює у них РНР5!
Спробуйте знайти служби, де можливий пробний період, гарантується повернення грошей чи є
який-небудь інший спосіб попередньо оцінити, як буде працювати ваш веб-додаток, перш ніж
розмістити його на більш тривалий період.
4.8 Захист сервера баз даних
Користувачі і права доступу. Розберіться в системі аутентифікації та прав доступу для того
сервера баз даних, який ви вирішили використовувати. На диво велика кількість атак на бази даних
вдалася просто тому, що їх господарі не спромоглися подбати про захист своїх систем.Усі облікові
записи повинні мати паролі. Найперше, що слід зробити на будь-якому сервері баз даних - перевірити,
чи у адміністратора СУБД (root) є пароль. Ці паролі не повинні містити слів, наявних у словнику.
95
