Bảo vệ 'Mật khẩu'
An toàn các giao thức truyền tải thông tin
Bảo mật ứng dụng Web
Bảo mật máy chủ
- Sử dụng mật khẩu có ít nhất 8 ký tự
- Sử dụng mật khẩu có độ phức tạp bao gồm số, chữ, ký hiệu ...
- Sử dụng nhiều mật khẩu cho các tài khoản khác nhau.
- Kiểm tra độ mạnh mật khẩu bằng các công cụ hỗ trợ.
- Không sử dụng các mật khẩu thông dụng. VD : 123456, toikhongbiet ...
- Không sử dụng mật khẩu lặp nhiều lần VD : 1111111111, 1212121212...
- Không sử dụng mật khẩu có chứa thông tin như ngày sinh của bạn, số điện thoại ...
- Không lưu trữ mật khẩu trên máy tính xách tay, điện thoại hoặc máy tính bảng.
- Sử dụng hệ thống bảo vệ mật khẩu bởi một nhà cung cấp uy tín (Ví dụ :LastPass).
- Thiết lập 'Xác minh 2 bước' khi nhà cung cấp có dịch vụ.
- Sử dụng chức năng kiểm tra mức độ mật khẩu
An toàn các giao thức truyền tải thông tin
- Sử dụng giao thức bảo mật FTP
- Sử dụng SSH thay vì Telnet
- Sử dụng giao thức bảo mật cho Email (POP3S/IMAPS/SMTPS).
- Bật tính năng bảo mật SSL (HTTPS).
- Sử dụng VPN khi có sẵn.
- Sử dụng tường lửa trên tất cả thiết bị endpoints, bao gồm Server và Client.
- Sử dụng residential/office firewall/IPS trên hệ thống.
- Mã hóa dữ liệu trên Email.
- Không sử dụng máy tính công cộng để truy cập dữ liệu nhạy cảm.
Bảo mật ứng dụng Web
- Đăng ký thông báo những bản cập nhật website.
- Cập nhật các phiên bản website mới nhất.
- Sử dụng các công cụ quét bảo mật như Nessus.
- Sử dụng tường lửa trình duyệt Web.
- Kiểm tra tập tin tải lên đảm bảo mã nguồn không được upload lên.
- Mã tùy chỉnh về bảo mật.
- Sử dụng frameworks với hệ thống bảo mật tốt.
- Bảo mật đường dẫn nhạy cảm 'directory/file'.
- Hạn chế đăng nhập IP với mục dành cho 'Quản trị viên'.
- Làm sạch khung nhập.
- Ẩn các thư mục nhạy cảm hoặc hạn chế truy cập.
- Sử dụng các lệnh Shell trong mã.
- Không tin vào những đường dẫn HTTP bởi những người giới thiệu, rất có thể nó được giả mạo.
- Sử dụng POT thay cho GET để gửi những dữ liệu nhạy cảm trên đường dẫn.
- Xác nhận dữ liệu từ máy chủ.
- Không dựa vào các tập tin tương đối và tên đường dẫn.
- Xác định quyền truy cập từng file.
- Giới hạn đăng tải tệp tin, cho những tệp tin được phép (.zip, .jpg, .png...)
- Tạo các lỗi an toàn, không tiêt lộ thông tin nhạy cảm.
- Cẩn thận xử lý với các tệp tin Cookie, nó có thể được chỉnh sửa.
- Mã hóa các tệp tin cấu hình (config.php).
- Bảo vệ các cuộc tấn công DDOS.
- Vô hiệu hóa url fopen nếu có thể.
- Kích hoạt chế độ Safe mode trong hệ thống Apache nếu có thể.
- Vô hiệu hóa các hàm PHP nguy hiểm.
- Cẩn thận với các tệp tin nhạy cảm '.bak, .txt, ,sql' trong thư mục web.
- Cẩn thận sử dụng các phiên bản mặc định trên root.
- Thiết lập mặc định trả lời và theo dõi email trả lại.
- Luôn cập nhật phiên bản mới nhấ.
- Luôn kiểm tra các lỗi và log trên hệ thống.
Bảo mật máy chủ
- Cập nhật các phiên bản hệ điều hành thường xuyên.
- Cập nhật Control thường xuyên.
- Giảm thông báo thông tin (VD: Đổi ServerTokens trong Apache).
- Không cài đặt phần mềm không được sử dụng.
- Không sao lưu hoặc phần mêm các phiên bản cũ.
- Hạn chế quyền truy cập vào các tài khoản nhạy cảm.
- Chắc chắn rằng hệ thông Logs hoạt động.
- Chắc chắn rằng máy chủ đã cài đặt tường lửa.
- Xóa các thông tin mặc định trên Database.
- Vô hiệu hóa quyền truy cập root trong SSH.
- Sử dụng quyền đăng nhập có SSH key.
- Vô hiệu hóa các dịch vụ không sử dụng.
- Luôn có hệ thống tự sao lưu hệ thống.
- Kiểm tra hệ thống sao lưu.
- Không phát triển hệ thống chưa được công bố.
- Luôn cập nhật hệ thống dịch vụ thông báo bảo mật.
- Theo dõi lưu lượng web kiểm tra những hoạt động bất thường.
- Thường xuyên quét, kiểm tra bảo mật.
- Thiết lập các dịch vụ mặc định trong Apache, SSH và dịch vụ khác.
- Sử dụng tài khoản root khi cần thiết.
- Sử dụng 'sudo' để cấp quyền tài khoản.
- Kích hoạt 'SELinux'.
- Sử dụng mạng riêng thông với mạng chính.
- Sử dụng mã khóa thích hợp.
- Thực hiện kiểm tra mật khẩu.
- Thực hiện các mật khẩu mạnh và thay đổi mật khẩu hàng tháng.
Quang Vinh
