blank

Контакты
для связи

крестик

Нажимая на кнопку, вы даете согласие на отправку и обработку своих персональных данных

крестик Конверт

Спасибо за обращение!

Менеджер свяжется с вами в ближайшее время

Заявка на техническую поддержку

крестик

Нажимая на кнопку, вы даете согласие на отправку и обработку своих персональных данных

Назад

Чек-лист для аудита виртуального сервера

картинка

Как показывает практика, владельцы виртуальных серверов нечасто уделяют время на аудит их инфраструктуры, вкладывая больше ресурсов в маркетинг и SEO. Безусловно, это необходимо для продвижения своего продукта, особенно на первых этапах, однако, чтобы ресурс продолжал исправно работать и приносить доход, не стоит забывать про то, что находится «под капотом».

Сегодня мы разберем стандартный чек-лист, которым мы пользуемся при аудите виртуальных серверов. По большей части это банальные и очевидные моменты, про которые зачастую забывают.

Есть потребность в аудите виртуального сервера?

Напишите или позвоните — мы поможем. Уточним задачи и на их основе предложим варианты

Нажимая на кнопку, вы даете согласие на отправку и обработку своих персональных данных

картинка В статье приведен пример усредненного чек-листа, так как в зависимости от проекта и его особенностей чек-лист будет отличаться

1. Резервное копирование

Если у вас нет резервных копий — есть шанс потерять все. Наших клиентов такое развитие событий не устраивает, а вас?
Что делаем?

  • Проверяем, не требуется ли обновить скрипт, отвечающий за создание архивов. Мы используем как стандартные решения (решения и плагины из состава различных CMS, Duplicity), так и собственные скрипты, функционал которых постоянно расширяется в зависимости от возникающих задач.
  • Проверяем, что резервное копирование настроено и работает по расписанию.
  • Проверяем резервные копии по контрольным суммам и/или корректность архива.
  • Проверенную резервную копию сохраняем локально, на нескольких сторонних хранилищах (на всякий случай, копий много не бывает).
  • Иногда выбираем одну из последних резервных копий и разворачиваем ее на тестовом сервере, что позволяет убедиться, что резервные копии не только создаются, но и создаются правильно и ими получится воспользоваться в случае необходимости.

2. Производительность

Недостаток серверных мощностей может отражаться не только на скорости работы сайта, но и привести к более серьезным последствиям. К тому же, в случае развития проекта и роста аудитории, ситуация может меняться довольно быстро.
Что делаем?

  • Проверяем, достаточно ли процессорной мощности, оперативной памяти и дискового пространства. Автоматический мониторинг не может обнаружить источник проблемы, только ее следствие, поэтому необходим именно взгляд специалиста.
  • В случае недостатков по любому из параметров обязательно ищем причину. Часто недостаток ресурсов может быть связан с ошибками в работе сайта/веб-сервера.
  • Если проблемные места найдены — устраняем, если же недостаток ресурсов вызван естественными причинами — подготавливаем варианты решения проблемы с плюсами и минусами каждого и сообщаем клиенту о необходимости принятия решения.
картинка картинка

3. Обновления и лицензирование

Свежие обновления позволяют повысить не только безопасность ресурса, но и исключают ситуацию, при которой «устаревшее» ПО перестанет функционировать.
Что делаем?

  • Проверяем наличие обновлений для ОС и используемых сервисов.
  • Проверяем, продлена ли лицензия CMS, плагинов, прочих использующихся на сервере/виртуальной машине инструментов и приложений.
  • Если обновления найдены и их установка не приведет к простою сервиса — обновляем, если необходима остановка — согласовываем с клиентом дату/время, когда это сделать будет комфортно.

4. Файловая структура

Файлы и файлы, но даже там есть вещи, которые не стоит упускать из вида.
Что делаем?

  • Проверяем данные на наличие «лишних» файлов, которые могут включать в себя как следствия ошибок в работе системы, так и хакерские инструменты или «забытые» инструменты разработчиков.
  • Проверяем на наличие файлов с неверными правами/владельцами. Наличие таковых может усложнить жизнь разработчикам, а может и вообще сломать работу приложения.
Нужен аудит сервера?
Обращайтесь!

5. Логи

Наличие логов очень важно в случае разбора любой нестандартной ошибки, возникшей как в работе сайта, так и веб-сервера. Также, наличие ошибок в логах может показывать на уже имеющиеся проблемы.
Что делаем?

  • Проверяем, что логируется работа операционной системы и основных сервисов.
  • Проверяем, настроена ли ротация логов, иначе они могут быстро забить все свободное место на диске или срок их хранения может не отвечать поставленным задачам.
  • Проверяем журналы безопасности, error-логи веб-сервера, логи почтовой системы и т.д. на наличие критических ошибок, при обнаружении — выявляем причину и устраняем.
картинка

6. Дополнительные проверки

Проверки, которые в рамках данной статьи не нашли своей группы.
Что делаем?

  • Проводим визуальный осмотр сайта, веб-интерфейса сервиса (верстка, меню, кнопки, слайдеры). Бывает и так, что не заметные на первый взгляд проблемы «под капотом» видны невооруженным взглядом.
  • Проверяем актуальность SSL-сертификата, корректность его установки.
  • Проверяем, настроены ли необходимые редиректы для веб-сервисов (например, редирект с http на https-версию сайта, редиректы необходимые для SEO, и тд).
  • Для веб-сайтов проверяем, что сайт открыт для индексации поисковыми системами, проверяем наличие sitemap, наличие и внешний вид 404-й страницы, работу поиска.
  • При необходимости проводим сканирование сайта и его файлов внешним сканером (OpenVAS), плагином CMS (bitrix.xscan, Wordfence), антивирусным пакетом (ClamAV и другими).
  • Проверяем работу систем мониторинга, хранения логов и статистики по закону подлости обнаруживается, что данные отсутствуют именно тогда, когда они очень нужны.
  • Проверяем наличие актуальной документации по сервису. Не все сервисы требуют постоянного внимания, и через некоторое время становится невозможно вспомнить все места, где делались какие-нибудь тонкие настройки. Всё это должно быть учтено в документации.

7. Отчет

Последний, но очень важный пункт. По результатам аудита очень важно написать отчет, в котором отмечаются все выполненные работы, выявленные ошибки, требующие пристального внимания или согласования с клиентом.
Отчет формируется в виде таблицы, чтобы при следующем аудите было легко сравнить показатели по строкам. Это также поможет выявить негативные тенденции, если такие имеются.

Периодически мы расширяем чек-лист, добавляя все новые пункты, отталкиваясь от особенностей проектов наших клиентов, но даже базовая проверка, описанная выше, поможет вам избежать большого количества проблем.

  • Проверяем данные на наличие «лишних» файлов, которые могут включать в себя как следствия ошибок в работе системы, так и хакерские инструменты или «забытые» инструменты разработчиков.
  • Проверяем на наличие файлов с неверными правами/владельцами. Наличие таковых может усложнить жизнь разработчикам, а может и вообще сломать работу приложения.
Все кейсы

Читать другие материалы

case
На что обратить внимание при приемке сайта от разработчиков
Подробнее
case
Безопасный модуль «vote» для CMS 1С-Битрикс
Подробнее
case
Методы защиты от спама, рассылаемого при помощи форм обратной связи веб-сайта
Подробнее
case
Как соблюсти 152-ФЗ для 10+ сайтов, не раздувая бюджет?
Подробнее
case
Обновление до PHP 8 и 1С-Битрикс, проблемы и ошибки
Подробнее
case
Почему не пускает в админку 1С-Битрикс?
Подробнее
case
Уязвимость модуля «vote» в CMS 1С-Битрикс
Подробнее
case
Почему мы заменили fail2ban на CrowdSec и как это поможет при DDoS-атаках
Подробнее
case
Как и зачем проверять скорость загрузки сайта и валидацию
Подробнее
картинка

Задавайте вопросы и заказывайте техническую поддержку сайта

Нажимая на кнопку, вы даете согласие на отправку и обработку своих персональных данных

Телеграмм ITSOFT