Панель управления | Регистрация
Поддержка Оплата О компании Контакты

Безопасность аккаунта и данных

Поддержка -> Инструкции и руководства -> Безопасность аккаунта и данных

Ни для кого не секрет, что в современном мире понятие информация является ключевым практически в любых областях, а особенно в информационной среде. Вовремя полученная информация может повлиять на принятые решения и последующие действия. С другой стороны, несвоевременное реагирование на те или иные события могут привести к серьезным, а то и к катастрофическим последствиям. Используя систему IMserver вкупе с нижеописанными правилами, вы можете значительно увеличить безопасность Ваших данных.

Строгость паролей

Для безопасности данных крайне важно выбрать и использовать пароль, отвечающий современным требованиям к сложности. При этом он должен легко запоминаться, а с распространением мобильных устройств - нежелательно использовать русские слова в латинской раскладке, так как не все клавиатуры совпадают расположением клавиш со стандартной PC-105.

В нашем сервисе требуется использование пароля длиной не менее 8 символов и до 32. В пароле допустимо использовать латинские буквы нижнего (a...z) и верхнего (A...Z) регистров, цифры и спецсимволы. Для людей, желающих получить уникальный пароль, предусмотрен генератор паролей. Однако, несмотря на надежность полученного пароля, он может оказаться сложным для запоминания.

Ниже мы приводим выведенные опытным путем алгоритмы, которые позволят Вам сформировать уникальный, сложный, но запоминающийся пароль:

  • Создайте сокращение из легко запоминаемой фразы. Например, сервер создан в сентябре 2015. Тогда пароль может получиться: Servcreatdate0915!
  • Замещайте цифрами, символами, а также орфографическими ошибками буквы или слова в легко запоминающейся фразе. Например, из фразы мой сын родился 12 декабря 2004 года можно получить My$0№Wasb0r№!2!22))4. В данном пароле 1 заменяется !, буква N - символом №, а S - $. Главное - выработать правило замены, чтобы не запутаться).
  • Пароль может быть связан с любимым видом спорта или хобби. Например, Мне нравится играть в футбол можно переделать в Ilike2Playf00tball

Двухфакторная авторизация

В наши дни цифровые взломы далеко не редкость, даже самый сложный пароль не гарантирует полной защиты. Для повышения безопасности Вашего аккаунта, Вы можете использовать систему двухфакторной авторизации.
Двухфакторная авторизация — это способ распознавания (идентификации) пользователя при помощи запроса аутентификационных данных двух разных типов, что на практике выглядит так: первый фактор — это пара логин и пароль, второй — специальный цифровой "ключ" (passkey). Ключ можно получить по SMS на Ваш мобильный телефон после ввода верных логина и пароля. SMS Ключ имеет ограниченный срок годности и равняется 15 минутам, по истечении которых, ключ потеряет актуальность и потребуется запрос нового ключа, путем повторной аутентификации по первому фактору (логину и паролю). На ввод ключа по SMS дается только 3 попытки. Ключ так же можно получить с помощью брелока "eToken PASS"

Суть метода двухфакторной авторизации очень проста: чтобы авторизоваться, нужно дважды подтвердить тот факт, что именно вы являетесь владельцем данного аккаунта, владеете брелком зарегистрированным у нас брелоком "eToken PASS" или являетесь владельцем SIM карты с зарегистрированным в системе номером.

Альтернативным и более безопасным способом является применение специального генератора одноразовых паролей "eToken PASS". При нажатии на кнопку брелока на дисплее появится шестизначный цифровой одноразовый пароль который необходимо ввести при авторизации. Данный метод удобен еще и тем что не обязательно иметь под рукой телефонный аппарат с возможностью приема SMS, что в свою очередь очень полезно для юридических лиц.
Привязанный к Вашему аккаунту брелок eToken PASS вы можете получить у нас в офисе. Пожалуйста, относитесь к брелоку бережно и не используйте нажатия кнопки брелока в холостую, так как количество холостых нажатий ограничено. В случае если брелок перестал выдавать корректный код (неверный passkey), необходимо связаться с нашей технической поддержкой для его повторной синхронизации. Допускается использование и программных эмуляторов (приложений) на смартфонах под управлением IOS или Android, однако в этом случае, уровень безопасности будет значительно снижен, так как разделяемый секретный ключ может быть прочитан или подсмотрен злоумышленником на вашем устройстве и скомпрометирован. Прочесть же разделяемый секретный ключ непосредственно с брелока "eToken PASS", не нарушив его работоспособности, физически невозможно. Вы можете приобрести данный брелок самостоятельно в магазине и привезти его нам для синхронизации. При покупке обязательно удостоверьтесь что брелок поддерживает алгоритм HOTP и в комплекте комплекте с брелоком был разделяемый секретный ключ (компакт диск, флешка и т.д. содержащая файл с ключом). Без него произвести привязку вашего брелока будет невозможно.

По умолчанию, функция двухфакторной авторизации отключена. Для того чтобы ее включить, необходимо в Личном кабинете, в разделе "Профиль" -> "Настройки" включить ее в поле "Включить двухфакторную авторизацию". В настоящий момент доступно два способа авторизации на выбор: Авторизация с помощью SMS или Авторизация с помощью "eToken PASS". Включить вариант Авторизация с помощью "eToken PASS" можно только после того, как брелок будет привязан к вашему аккаунту.

Важно! После включения данной функции, все старые существующие сессии будут закрыты и потребуется повторная авторизация для входа в панель.

Ограничение доступа по IP

Возможность ограничения доступа к функциям авторизации радикально снижают вероятность несанкционированного доступа к управлению аккаунтом и серверами. Для настройки данной функции в Личном кабинете, в разделе "Профиль" -> "Настройки" заполнить поле "Доступ только с указанных IP адресов" . Данные в этом списке могут быть заданы практически в любом удобном формате в том числе и с комментариями отделенными символом "#". Можно указывать несколько адресов сразу.
Пример:

 
0.0.0.0/0 # доступ отовсюду без ограничений (доступ не ограничен)
192.168.2.0/24      # пример для всей подсети  /24
192.168.1.100-192.168.1.103  # пример для диапазона адресов с 100 по 103 включительно
192.168.1.43  # пример для одиночного адреса
192.168.1.45/32  # еще пример для одиночного адреса

По умолчанию в этом поле указано значение 0.0.0.0/0 что разрешает доступ с любых IP адресов без каких либо ограничений.

Важно! После сохранения параметров система автоматически проверит корректность введенных данных. В случае если в заданном Вами диапазоне будет отсутствовать Ваш текущий IP адрес, то система не позволит сохранить настройку, так как это приведет к мгновенной потере доступа к панели управления. Ограничение доступа по IP производится только на получение новых авторизационных сессий, при этом все старые существующие сессии будут закрыты и потребуется повторная авторизация. Учитывайте так же и тот факт что сессия полученная из панели управления может быть использована для работы с любых других IP адресов.

Безопасность виртуальных серверов

Как показывает практика, если при создании сервера задать пароль "root" всего из 6 цифр то сервер остается не взломанным не более 10 минут. Для того чтобы избежать подобного развития событий, мы рекомендуем придерживаться следующих правил:

  • Как было сказано выше, при создании серверов, изначально, использовать сложные пароли или пользоваться их генераторами;
  • Рассмотреть возможность переноса SSH порта со стандартного 22го на другой, например 2923й;
  • Для сохранения приватности данных находящихся на Ваших виртуальных машинах, использовать двухфакторную авторизацию;
  • Не оставлять авторизованной VNC консоль учитывая слабость ее защиты, так как в случае взлома Вашего аккаунта в панели, злоумышленники смогут незаметно для вас, установить трояна непосредственно на сервере и пароли используемые вами для авторизации на сервере могут быть скомпрометированы;
  • Отключите возможность перезагрузки сервера по нажатию 3х клавиш (Ctrl+Alt+Del) и запретите вход в систему в Single mode либо установите пароль для загрузчика для Unix based операционных систем так, чтобы не позволить злоумышленникам сменить пароль root используя однопользовательский режим работы операционной системы;
  • Обязательно настроить Firewall на сервере с целью ограничить доступ к Вашему серверу только по определенным условиям, например только с определенных IP адресов, обеспечивать доступ исключительно к контролируемым известным сервисам (http, ssh, smtp и т.д.);
  • По возможности, обеспечивать авторизацию SSH только по ключам;
  • Не выключать встроенные в систему средства защиты без крайней, на то, необходимости (Selinux, Firewall и т.д.);
  • Своевременно обновлять программное обеспечение на сервере и следить за обновлениями самой операционной системы.

Эти простые и не требующие много времени шаги, позволят значительно повысить устойчивость Ваших ресурсов ко взлому, во всяком случае, в части информационной безопасности.


© 2013-2021 IMserver.
Все права защищены.
Правовая информация