Hogyan teheti biztonságosabbá az Easy Project szervert – Biztonsági tanácsok a webalkalmazásához
Számunkra legalább annyira fontos a biztonságos és rugalmas Easy Project, mint az Ön számára. Éppen ezért hoztunk néhány tanácsot (melyek közül néhány erősen ajánlott). Egyeseket nyilvánvalónak találhatja, de egy jó ellenőrző listának mindent tartalmaznia kell.
Az adatbiztonság mindig fontos, mindenféle szervezet és szoftver esetében. Az adatbiztonság régóta az egyik legtöbbet említett üzleti téma. Minél fejlettebb technológiát használunk, annál magasabb szintű adat- és alkalmazás védelem elvárt és szükséges. Miért becsülnénk hát le a kockázatokat, ha már létezik egyszerű megoldás az Easy Projectben? Tegye biztonságossá üzletmenetét az Easy Projecttel még ma. Íme, hogyan.
1. Használjon HTTPS kapcsolatot
- Hozzon létre önaláírt tanúsítványt, vagy vásároljon egy megbízhatót. Az önaláírt tanúsítvány létrehozásáról itt található további információ.
- Állítsa be webszerverét, hogy az megfelelően kezelje a biztonságos kapcsolatot. Teljesen zárjon ki minden kérelmet a 80-as és 8080-as portokon, vagy állítsa be ezek helyes továbbítását egy megbízható portra. A biztonságos Nginx konfiguráció beállításáról részletes leírás található az Easy Project telepítési csomagban a doc/INSTALL mappában.
- Az Easy Project beállításokban (Adminisztráció >> Beállítások) állítsa be a megfelelő protokoll típust (HTTPS). Ez nagyon fontos, mégis sokszor kihagyott pont. Ne feledje, hogy nem minden Easy Project plugin használ megfelelő útvonalat a rendszerben, némelyik kizárólag ezt az egy beállítást figyeli a protokoll választás szempontjából. Ez nem feltétlenül helyes, de megeshet. Ezért jobb, ha a protokoll mindig HTTPS-re van állítva.
- Az SSL konfigurációja helyességét megerősítheti különböző eszközökkel, mint például ezzel.
- Ha bármilyen képet vagy egyéb adatot (például logókat, képforrásokat) más oldalakról használ, bizonyosodjon meg arról, hogy azok az oldalak is HTTPS protokollt használnak. Ha nem így van, az elméletileg biztonsági rést okozhat a rendszerében. Könnyen ellenőrizheti, hogy minden rendben van-e az oldalával. Ha bármilyen HTTP forrást használ, a böngészője piros színnel, néha áthúzással is jelzi azt a protokollnál. Általánosságban azonban ez a pont leginkább a felhasználói felkészítéséről és fegyelméről szól. Bizonyos dolgokat nem lehet kényszeríteni.
2. Ellenőrizze és határozza meg a jogosultságokat
- Bizonyosodjon meg arról, hogy az alkalmazása nem a root mappából fut (legalábbis a public, tmp, files, log mappák). Erősen ajánljuk, hogy a teljes alkalmazás és a ruby is egy külön felhasználóval legyen telepítve.
- Bizonyosodjon meg arról, hogy az alkalmazás mappák nem rendelkeznek például 777 engedéllyel. Az optimális engedély a 755, bizonyos fájloknál a 644.
3. A nem használt portokat zárja le
- Kérje meg rendszergazdáját vagy hosting szolgáltatóját, hogy zárjon le minden nem használt portot. A portokat csak abban az esetben nyissák ki, amikor a rendszer, a ruby vagy az alkalmazás frissítésére van szükség.
4. Használjon erős jelszavakat
- Bizonyosodjon meg arról, hogy nem ugyanazt a jelszót használja a root szerver felhasználó, a root adatbázis felhasználó, az alkalmazás szerver felhasználó, az adatbázis alkalmazás felhasználó, az admin és az alkalmazás bármely egyéb felhasználója.
- Minden jelszónak legyen különböző, elég hosszú (legalább 15 karakter), tartalmazzon betűket, számokat és különleges szimbólumokat…vagy egyszerűen csak legyen hosszú. Ne váljon közönyössé a jelszavak iránt, és cserélje jelszavait legalább az alkalmazáson belül, 6 havonta vagy gyakrabban.
- Az Easy Project jelszóhasználatáról és autentikációjáról bővebb információk érhetők el a tudásbázisban.
5. Frissítse rendszeresen szerverét és alkalmazását
- Nagyon fontos, hogy mindent a legújabb verzión tartson. A világ naponta változik, az IT világ még ennél is gyakrabban.
- Minden nap új támadási pontokat találnak, és új biztonsági protokollok születnek. Ha lejárt alkalmazásokat használ, növeli a támadások vagy csalások kockázatát a szerverén. Utoljára mikor frissítette a RubyGems-t?
6. Ellenőrizze a feltöltött fájlokat
- Ajánljuk, hogy határozza meg a szerverére feltölthető fájl kiterjesztéseket. Ezt megteheti a webszerver beállításokban vagy az Easy Projecten belül (Adminisztráció >> Beállítások >> Fájlok). Az Nginx-ben a különböző fájl kiterjesztések engedélyezéséről és tiltásáról itt olvashat bővebben. Ha egyszerre mindkettő be van állítva, a webszerver beállítása lesz az erősebb.
- Másik megoldásként telepíthet vírusirtót a szerveren, mely az összes feltöltött fájlt ellenőrzi. Egy ingyenes lehetőség a ClamAV.
Ez nem minden...
Ezek a tanácsok a legalapvetőbbek, ha az Easy Project admin nyugodt álmokat szeretne – az alkalmazás biztonságos. Természetesen további biztonsági rétegeket (proxy, fordított proxy, VPN, IP szűrő, stb.) is alkalmazhat, ha szükséges.
Akár mi is vállaljuk a felelősséget a teljes szerverbiztonságért, és további biztonsági intézkedéseket vezetünk be Önnek az Easy Project privát felhőben. Ha bármilyen kérdése van, keressen minket. Tegye Easy Projectjét megfelelően biztonságossá!