Tổng quan về an ninh cho server - Phần III
Trong phần I mình đã giới thiệu sơ qua về các mục cần phải làm khi kiểm tra an ninh cho một server, còn trong phần II mình đã đi sâu hơn vào một số mục: Accout Policy, Log, UserRight, Update, System service. Vậy trong phần III này mình sẽ đi tiếp vào các mục còn lại, cụ thể là: Software Restriction Policies, Backup, Vulnerability Scanning, Remote Access.
I. Software Restriction Policies
Cần có chính sách về việc kiểm soát, cài đặt các phần mềm và update các phiên bản mới nhất cho các phần mềm được cài đặt.
II. Share Permission
Việc chia sẻ các tài nguyên trên mạng là điều không thể thiếu trong bất kỳ hệ thống mạng nào, tuy nhiên việc chia sẻ này còn tùy thuộc vào nhu cầu người sử dụng và ý đồ của nhà quản trị mạng.
III. Backup
Cần có chính sách về việc định kỳ backup dữ liệu quan trọng và các file cấu hình an ninh cho hệ thống.
IV. Vulnerability Scanning
Có chính sách và quy định về việc định kỳ kiểm tra lỗ hổng an ninh trong hệ thống bằng cách sử dụng các công cụ để quét lỗ hổng như nmap,…
V. Remote Access
Cần có chính sách và quy định cho việc điều khiển server từ xa qua mạng Internet. Chỉ cho phép điều khiển từ mạng nội bộ, trong trường hợp cần điều khiển từ mạng ngoài thì cần có các giải pháp an toàn như VPN.
I. Software Restriction Policies
Cần có chính sách về việc kiểm soát, cài đặt các phần mềm và update các phiên bản mới nhất cho các phần mềm được cài đặt.
- Rà soát các phần mềm hiện tại đang chạy trên server và phiên bản của phần mềm này.
- Thiết lập một chính sách nêu rõ các bước cần thiết khi cài đặt một phần mềm mới lên hệ thống để đảm bảo an toàn nhất cho hệ thống.
- Thiết lập chính sách về quyền mà các dịch vụ được chạy. Ví dụ như một số phần mềm được phép chạy với quyền admin, hoặc chạy với quyền người dùng thường.
II. Share Permission
Việc chia sẻ các tài nguyên trên mạng là điều không thể thiếu trong bất kỳ hệ thống mạng nào, tuy nhiên việc chia sẻ này còn tùy thuộc vào nhu cầu người sử dụng và ý đồ của nhà quản trị mạng.
- Thiết lập đặt mật khẩu cho việc chia sẻ file giữa các máy. Việc thiết lập chính sách này để đảm bảo an toàn cho máy chủ đang chia sẻ và chỉ có người được quyền thì mới biết mật khẩu truy cập vào file được chia sẻ.
- Phân quyền cho các thư mục chia sẻ. Khi ta chia sẻ một thư mục nào đó trong mạng LAN thì ta cần chia sẻ đúng người dùng với quyền phù hợp.
III. Backup
Cần có chính sách về việc định kỳ backup dữ liệu quan trọng và các file cấu hình an ninh cho hệ thống.
- Cần thiết lập chính sách về việc định kỳ backup các dữ liệu quan trọng.
- Khi hệ thống xảy ra sự cố có thể làm mất các dữ liệu quan trọng. Vì vậy cần định kỳ backup lại dữ liệu quan trọng để phòng khi máy chủ bị mất dữ liệu thì còn thể lấy lại được những dữ liệu này.
- Cần có chính sách quy định về việc định kỳ backup file cấu hình của hệ thống như chính sách về Local Security Policy, Firewall.
IV. Vulnerability Scanning
Có chính sách và quy định về việc định kỳ kiểm tra lỗ hổng an ninh trong hệ thống bằng cách sử dụng các công cụ để quét lỗ hổng như nmap,…
- Cần có chính sách cho việc định kỳ quét các lỗ hổng hệ điều hành, cổng và dịch vụ đang chạy.
V. Remote Access
Cần có chính sách và quy định cho việc điều khiển server từ xa qua mạng Internet. Chỉ cho phép điều khiển từ mạng nội bộ, trong trường hợp cần điều khiển từ mạng ngoài thì cần có các giải pháp an toàn như VPN.
- Cần đánh giá nhu cầu cho việc kết nối tới server từ xa cho một người dùng.
- Việc cấp quá nhiều tài khoản cho việc truy cập từ xa sẽ dẫn đến việc khó quản lý và mất an toàn cho hệ thống. Vì việc điều khiển server từ bên ngoài sẽ có nguy cơ dễ bị khai thác hơn.
- Thiết lập một cơ chế xác thực cho việc remote từ xa như cơ chế xác thực bằng mật khẩu, hoặc sử dụng key private.
- Rà soát không sử dụng các giao thức truy cập từ xa kém an toàn như: FTP, NFS, HTTP.
- Việc sử dụng các giao thức kém an toàn có thể khiến cho kẻ tấn công có thể khai thác qua một số lỗ hổng trên các giao thức này và lấy được mật khẩu quản trị.
Chỉnh sửa lần cuối bởi người điều hành: