Typowy hosting, czyli serwer WWW ma jedno podstawowe zadanie do spełnienia: ma być dostępny w sieci, tak aby postawiona na nim strona WWW oraz poczta, działały nieprzerwanie.
Często jednak wraz z posiadaniem takiego serwera, dostrzegamy jego szersze możliwości zastosowania. Przykładowo, serwer może być także udostępnioną dla współpracowników przestrzenią, w ramach której przechowujemy pliki, dokumenty i kopie zapasowe. Zawartość serwera nie musi być powiązana tylko z jedną stroną WWW – mogą to być również inne projekty, np. portale, fora dyskusyjne, skrypty, galerie zdjęć.
Jeśli decydujemy się na uruchomienie strony WWW lub jeśli chcemy przechowywać na serwerze inne dane (pliki, dokumenty, kopie bezpieczeństwa), warto pamiętać, że serwer jest usługą sieciową, która dostępna jest w ramach sieci łączącej miliardy użytkowników. Niesie to za sobą potencjalne ryzyko wycieku informacji, które nie powinny dostać się w ręce osób trzecich. Podczas pierwszych styczności z serwerem, użytkownicy pomijają lub zapominają o kilku podstawowych zasadach, które zapewniają bezpieczeństwo i uniemożliwiają dostęp osom nieupoważnionym.
Podczas projektowania stron WWW, cała ich struktura powinna być przygotowana w taki sposób, aby użytkownicy sieci Internet mieli dostęp jedynie do tego, co powinni widzieć, czyli do stron z treścią. Nie jest wskazane, aby wrażliwe dane użytkowników były ogólnodostępne, dlatego newralgiczne katalogi, pliki, bazy danych są zabezpieczane w odpowiedni sposób, aby osoby postronne nie miały do nich dostępu.
Zawartością serwera, która powinna być niedostępna dla postronnych użytkowników będzie np. struktura utworzonej strony WWW (jej poszczególne elementy, „silnik” i pliki z ustawieniami lub inne pliki, np. płatne materiały do pobrania z serwisu WWW, bazy danych (mogą zawierać bazy użytkowników/klientów lub dane dostępowe administratora)), ale także wszystkie inne dane umieszczone na serwerze, które powinny pozostać prywatne.
Uzyskanie dostępu do prywatnych danych przez osoby niepowołane doprowadzi w najlepszym przypadku do jej czasowego wyłączenia lub wyświetlenia pod jej adresem informacji, że strona została zaatakowana, a w najgorszym przypadku do całkowitej utraty kontroli nad serwisem, jego usunięciu (wraz z plikami i bazą danych) oraz wycieku newralgicznych danych, np. baza użytkowników wraz z danymi osobowymi. W przypadku, gdy na serwerze znajdowały się także inne dane, skala problemu może być nie do opisania.
W przypadku niektórych serwerów dedykowanych, gdzie dysponent sam kontroluje co na danej maszynie jest uruchomione, obowiązek aktualizacji zabezpieczeń serwera spoczywa również na dysponencie. Podczas zabezpieczania danych ważne jest również posiadanie aktualnego oprogramowania antywirusowego, bezpiecznych haseł dostępu, czy też wydzielenie wybranych użytkowników – uprawnionych do pracy z serwerem.
Kilka zasad bezpieczeństwa na serwerze FTP
Każdy użytkownik serwera powinien zastosować się do poniższych zasad.
-
Silne hasła dostępu do zasobów serwera: to banalne ale najczęściej łamane zabezpieczenie, które chroni nasze dane przed osobami trzecimi. Hasła dostępu stosowane są przy skrzynkach e-mail, panelach administracyjnych, czy przy dostępie do serwerów FTP. Badania opinii pokazują, że coraz częściej zwracamy uwagę na siłę hasła, ale nadal problemem okazuje się ich zapamiętanie.
Silne hasła to nie tylko skomplikowany ciąg znaków, który powinien być trudny do zapamiętania. To także wyeliminowanie ryzyka identyfikacji tego hasła przez innych użytkowników, a przede wszystkim, przez maszyny, które odpowiednio skonfigurowane i wyposażone w dużą moc obliczeniową, będą podejmowały się milionów prób wprowadzenia losowego ciągu znaków w celu odkrycia hasła. Kliknij tutaj, aby przeczytać o bezpiecznych i silnych hasłach dostępu.Aplikacje oraz systemy zabezpieczane są przed próbami odgadnięcia hasła poprzez blokadę wielokrotnych prób logowania się w krótkim czasie. Wyświetlany jest wtedy komunikat informujący o podjętej liczbie prób oraz zablokowaniu systemu z możliwością ponownego zalogowania, po upłynięciu określonej ilości czasu. -
Kopia bezpieczeństwa na serwerze FTP: home.pl oferuje kopie bezpieczeństwa dostępne z poziomu serwera FTP. Nie są one jednak dostępne z poziomu katalogu /public_html. W praktyce oznacza to, że jakakolwiek próba ingerencji w pliki kopii zapasowej, np. poprzez skrypty oraz aplikacje strony WWW, nie spowodują usunięcia lub modyfikacji kopii zapasowej.
Administrator usługi w każdej chwili może przywrócić kopię zapasową, umieszczając ją we właściwej lokalizacji na serwerze FTP i podmieniając uszkodzone lub zmodyfikowane dane. Jeśli z jakiegoś powodu kopia zapasowa została umieszczona na serwerze FTP w katalogu /public_html, warto rozważyć opcję jej przeniesienia lub usunięcia. Kliknij tutaj, aby przeczytać jak samodzielnie przywrócić kopię zapasową serwera w home.pl.W przypadku, gdy dokonujemy zmian w serwisie WWW, ewentualne następstwa ataku na serwer FTP lub aplikację strony WWW, mogą ujawnić dane (pliki oraz bazę danych), z których nie korzystamy lub która nie powinna być w żaden sposób używana lub udostępniana.
Pliki kopii zapasowej umieszczone luźno na serwerze FTP, mogą wzbudzić zainteresowanie osób trzecich, które mogą dopatrywać się w tym informacji poufnych. Dodatkowo, jeśli dojdzie do wycieku danych z serwera FTP, stracimy nie tylko stan aktualny serwera, ale i jego poprzednie wersje, np. serwisy, które nie działają od dłuższego czasu oraz bazy danych użytkowników/klientów, które były używane przy innych naszych serwisach WWW. Archiwalne dane warto w tej sytuacji przenieść poza katalog /public_html lub zarchiwizować lokalnie na komputerze, np. za pomocą usługi Acronis Backup.
-
Ukrycie zasobów serwera w przeglądarce: kiedy wszystko działa poprawnie, wywołanie adresu strony WWW w przeglądarce, skutkuje jej wyświetleniem. Analogicznie można wywołać katalog na serwerze FTP i spróbować wyświetlić jego zawartość w przeglądarce.
Wywołanie katalogu FTP w przeglądarce internetowej najczęściej powoduje przekierowanie na właściwą domenę i wyświetlenie strony WWW. Jeśli jednak za sprawą przykładowo osób trzecich lub własnego błędu, plik startowy index nie będzie funkcjonował poprawnie (np. w wyniku błędnej nazwy), może okazać się, że zamiast strony WWW pojawi się po prostu cała zawartość katalogu na serwerze FTP. Kliknij tutaj, aby przeczytać więcej o definiowaniu strony startowej (index) za pomocą pliku htaccess.Warto pamiętać, że praktycznie każdy system CMS, np. Joomla, WordPress, przechowuje dane dostępowe do bazy danych w plikach konfiguracyjnych, które dostępne są na serwerze FTP. Jeśli przykładowo, straciliśmy hasło do bazy danych lub przenosimy stronę WWW pomiędzy serwerami, poznanie nazwy bazy danych i hasła jest możliwa za sprawą serwera FTP i próby edycji pliku konfiguracyjnego. Nie trzeba się tym przejmować, dopóki zawartość serwera FTP dostępna jest tylko dla Ciebie.
Można zadbać, aby pliki na serwerze FTP były niedostępne lub wyświetlane jedynie użytkownikom, którzy posiadają stosowne uprawienia. Najprostszym rozwiązaniem jest wyłączenie listowania zawartości katalogu w przeglądarce. W opisywanej powyżej sytuacji, uszkodzenie pliku index, będzie skutkowało zawsze wyświetleniem komunikatu 403 informującym o braku dostępu.
Jeżeli skrypty korzystają z plików, których nie chcesz udostępniać w jakiejkolwiek formie (np. pliki konfiguracyjne skryptów) to umieść je w katalogu „/hidden”. Możesz w ten sposób ukryć również inne prywatne pliki. Katalog /hidden nie jest dostępny do wywołania z poziomu protokołu HTTP (czyli przez przeglądarkę internetową). -
Utrzymywanie wielu kopii zapasowych: większość firm hostingowych oferuje dostęp do kopii zapasowych. home.pl dysponuje kopią z trzech ostatnich nocy, dodatkowo udostępnianą w czasie rzeczywistym bezpośrednio na serwerze FTP. Dane objęte kopią przechowywane są na serwerze do trzech dni wstecz. Oznacza to w praktyce, że w czwartek rano, bez żadnego problemu przywrócimy kopię zapasową strony czy poczty, która dostępna była w poniedziałek wieczorem. Administrator ma więc 3 dni na podjęcie działania.
A co jeśli standardowa kopia nie wystarczy? Jedna kopia zapasowa to za mało. Zarówno dotyczy to danych na serwerze FTP, ale także danych znajdujących się na naszych prywatnych komputerach czy urządzeniach mobilnych. Warto skorzystać z rozwiązań chmury w usłudze Acronis Backup, która pozwala tworzyć dodatkowe kopie zapasowe, zarówno w chmurze jak i lokalnie na komputerze.
Dodatkowym plusem jest również to, że rozwiązanie Acronis Backup poza zapewnieniem kopii zapasowej użytkownikowi, zabezpieczone jest także własnymi kopiami zapasowymi – tworzonymi niezależnie po stronie usługodawcy.
Więcej rozwiązań
- Ustawienia listowania zawartości katalogu za pomocą .htaccess
- Ograniczenie dostępu do stron – ukryty katalog
- Konfiguracja ukrytego katalogu
- Jak korzystać z pliku .htpasswd na serwerze w home.pl?
- Jak blokować użytkowników po adresie IP/host z wykorzystaniem .htaccess?
- Jak zmienić atrybuty (chmod) dla plików znajdujących się na serwerze?