Краткий список необходимых элементов безопасности сервера

Существует несколько действий, которые должны быть немедленно произведены с любым новым сервером Domino после его инсталляции, чтобы защитить его и подготовить к безопасному использованию. В особенности это касается конфигурирования первого сервера в новом домене Domino. В этом приложении приводится список того, что нужно сделать или проверить. Этот список не будет полным для всех возможных конфигураций сервера, но его можно использовать в качестве краткого справочника по самым основным этапам.

Защита директории (Domino Directory)

В этом разделе мы опишем, как защитить директорию.

Обеспечение безопасности хеша интернет-паролей

Начиная с версии 4.6 Domino поддерживает 2 разных алгоритма (называющиеся хешированием ), которые используются для хранения Интернет-паролей пользователей. Один из них достаточно слабый и потенциально подвержен словарным атакам (подбором по словарю), но он имеет обратную совместимость со всеми версиями до 4.5. В другом алгоритме используется метод, называемый salting, который делает словарные атаки нецелесообразными.

Из соображений обратной совместимости с версией 4.5 слабый алгоритм по-прежнему употребляется по умолчанию. Если в вашей системе продолжают работать серверы версии 4.5, вы не сможете использовать более новый и более надежный метод. (Мы настоятельно рекомендуем вам обновить такие серверы). Иными словами, одним из первых действий, которые вам следует предпринять, если вы запускаете первый сервер домена, – это включить более надежные пароли. Для этого выполните следующие шаги:

1. Откройте Domino Directory (NAMES.NSF) либо в клиенте Notes, либо в клиенте Domino Administrator.
2. Выберите в меню Actions (Действия) пункт Edit Directory Profile (Редактировать профиль директорий).
3. Укажите в поле Use more secure Internet Passwords (Использовать более безопасные интернет-пароли) значение Yes.

Настройка ACL

Точная конфигурация ACL для вашей Domino Directory может быть разной, но хорошей мыслью будет сначала полностью защитить ее, а затем смягчать значения параметров. Мы рекомендуем выполнить следующие шаги:

1. Убедитесь, что для записей Default и Anonymous в ACL установлены права No Access.
2. Убедитесь, что максимальный уровень доступа для имени и пароля из Интернета (Maximum Internet name and password access level) установлен в Reader, если только вы не планируете использовать клиент Web Administrator. В последнем случае укажите здесь уровень Editor.
3. В ACL для Domino Directory перечислены несколько ролей. Эти роли могут использоваться для назначения конкретных областей ответственности, связанных с определенными задачами, например управлением документами Person, документами Group и документами Policy. Если вы предполагаете делить административные задачи с другими администраторами и хотите ограничить их возможности, создайте несколько групп (документов Group), добавьте их в ACL, установите для них заданные роли и записывайте людей в эти группы.

Установление прав доступа в документе Server

В этом разделе мы опишем, как устанавливаются права доступа в документе Server.

Необходимые настройки

На закладке Security (Безопасность) документа Server содержится ряд полей, которые управляют важными правами доступа. Значения в некоторых из этих полей следует устанавливать сразу же. Значимость некоторых других полей зависит от того, что вы собираетесь делать с данным сервером. Всегда выполняйте следующие действия:

• Разработайте стандарт для имен групп, которые вы последовательно будете использовать в данных полях на всех серверах. Можно подумать о соглашении, в котором бы различались люди, имеющие области ответственности на всех серверах, и люди, имеющие области ответственности только на конкретных серверах. Например, две такие группы могут называться Acme Corp Domain Admins и Acme Corp Server01 Admins.
• Введите имена групп как минимум в следующие поля документа Server:
  • Full Access Administrators (Администраторы с полным доступом)
  • Administrators (Администраторы);
  • Not Access Server (Нет доступа к серверу);
  • Create Databases and Templates (Создание баз данных и шаблонов);
  • Create New Replicas (Создание новых реплик);
  • Create Master Templates (Создание главных шаблонов).
• Внесите соответствующие имена в группы.

Просмотр других настроек в документе Server

Все параметры на закладке Security (Безопасность) являются важными, и их все следует просмотреть. Полное описание всех этих параметров выходит за рамки данного приложения. Обращайтесь к справочной базе данных Lotus Domino 7 Administrator Help за дополнительными сведениями.

Сделайте ваш шаблон безопасным

У каждого сервера Domino есть большое количество файлов – шаблонов баз данных (файлы NTF). Процесс инсталляции сервера просто копирует эти файлы на диск "как есть". Процесс настройки сервера может автоматически задать для записи Anonymous в ACL шаблона права No Access, но этого может оказаться недостаточно для защиты в любых ситуациях. Каждый сервер Domino в мире потенциально содержит шаблоны, которые могут реплицировать свои измененные элементы дизайна в ваши шаблоны. Чтобы предотвратить это, неплохо было бы изменить ID реплики в шаблонах. Сделать это при помощи клиента Domino Administrator непросто, но существует бесплатный инструмент, называющийся Surely Template, который делает этот процесс очень простым. Этот инструмент можно найти по адресу http://www.openntf.org