Blog

Erweiterte Sicherheitskonfigurationen für Amanda Enterprise Server

Informationssicherheit hat auf allen Ebenen, von kleinen bis mittleren Unternehmen, Unternehmen, Universitäten und sogar Heimanwendern, zunehmend an Bedeutung gewonnen. Bei moderner Ransomware und anderer schädlicher Software ist es wichtiger denn je, Ihre Daten häufig zu sichern. Daher ist es ebenso wichtig, dass der Server, der für die Erleichterung von Sicherungen in Ihrer Umgebung verantwortlich ist, selbst geschützt ist.

ICMP-Weiterleitungen deaktivieren

Böswillige Benutzer können speziell gestaltete ICMP-Anforderungsnachrichten verwenden, um Denial-of-Service-Angriffe gegen das Netzwerk zu starten. Wenn in Ihrer Netzwerkarchitektur keine ICMP-Weiterleitungen zum Aktualisieren von Routentabellen verwendet werden und der Sicherungsserver nicht auch als Router oder Gateway fungiert, sollte das Akzeptieren und Senden von Nachrichten auf dem Sicherungsserver deaktiviert werden.

Es ist einfach, die ICMP-Umleitung unter Linux (und vielen anderen Unix-ähnlichen Betriebssystemen) mithilfe des proc-Dateisystems (procfs) zu deaktivieren, und procfs selbst ist am einfachsten über eine Schnittstelle wie sysctl zu bearbeiten.

Deaktivieren von ICMP-Weiterleitungen Akzeptieren und Senden zur Laufzeit für alles Schnittstellen werden mit sysctl erstellt, indem die folgenden Befehle ausgegeben werden.

 

Deaktivieren von ICMP-Weiterleitungen für IPv4 während der Laufzeit:

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.accept_redirects = 0

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.send_redirects = 0

 

Deaktivieren von ICMP-Weiterleitungen für IPv6 während der Laufzeit:

Root @ host# / sbin / sysctl -w net.ipv6.conf.all.accept_redirects = 0

Root @ host# / sbin / sysctl -w net.ipv6.conf.all.send_redirects = 0

Wenn Sie eine Schnittstelle angeben möchten, z. B. eth0, ersetzen Sie in den obigen Beispielen 'all' durch den Namen der spezifischen Schnittstelle. Dh:

Root @ host# / sbin / sysctl -w net.ipv4.conf.eth0.accept_redirects = 0

Das dynamische Deaktivieren von ICMP zur Laufzeit ist eine etwas schlechte Methode, da Änderungen bei einem Neustart nicht dauerhaft sind. Es ist besser, die Datei /etc/sysctl.conf für eine dauerhafte Änderung zu ändern, wenn ICMP-Weiterleitungen nicht akzeptieren und senden nicht erforderlich sind. Hinweis: Wie oben erwähnt, kann in den folgenden Beispielen jede Instanz von 'all' durch den Namen einer bestimmten Netzwerkschnittstelle ersetzt werden.

Ändern von sysctl.conf für RHEL-ähnliche und SLES-ähnliche Betriebssysteme:

# Für IPv4

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

# Für IPv6

net.ipv6.conf.all.accept_redirects = 0

net.ipv6.conf.all.send_redirects = 0

Ändern von sysctl.conf für Ubuntu und Debian-ähnliche Betriebssysteme:

# Für IPv4

net / ipv4 / conf / all / accept_redirects = 0

net / ipv4 / conf / all / send_redirects = 0

# Für IPv6

net / ipv6 / conf / all / accept_redirects = 0

net / ipv6 / conf / all / send_redirects = 0

Es ist möglich, die Datei sysctl.conf zu ändern und die Einstellungen zur Laufzeit ohne Neustart zu aktualisieren, indem die Datei sysctl.conf mit dem folgenden Befehl „geladen“ wird:

Root @ host# / sbin / sysctl -p

Weitere Dokumentationen zu procfs und / oder sysctl finden Sie in den entsprechenden Manpages auf Ihrem System.

Einige Bedenken, die Sie möglicherweise haben, wenn Sie eine ältere Version von Amanda Enterprise verwenden, sind:

X.509-Serverzertifikate

Zmanda wird nicht mit einem X.509-Serverzertifikat geliefert. Wenn ein Benutzer ein X.509-Zertifikat implementieren möchte, muss es für die Verwendung mit dem Apache-HTTP-Server gekauft oder anderweitig generiert werden.

httpd.conf

In einigen älteren Versionen von Zmanda fehlt möglicherweise der HTTP-Antwortheader Set-Cookie HttpOnly.

Fügen Sie folgenden Eintrag in httpd.conf hinzu:

Header bearbeiten Set-Cookie ^ (. *) $ $1; HttpOnly; Sicher

Starten Sie die ZMC neu mit: /etc/init.d/zmc_aee restart

ssl.conf

In älteren Versionen von Zmanda möchten Sie möglicherweise die Stärke der verwendeten Chiffren erhöhen und deren Priorität erzwingen. Suchen Sie die folgende Zeile in der ssl.conf und kommentieren Sie sie entweder aus oder entfernen Sie sie:

SSLCipherSuite ALL :! ANULL :! ADH :! ENULL :! LOW :! MEDIUM :! EXP: RC4 + RSA: + HIGH

Wenn die vorherige Zeile auskommentiert oder entfernt wurde, fügen Sie die folgenden zwei Zeilen hinzu:

SSLHonorCipherOrder Ein

SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES :! ANULL :! MD5 :! DSS

Weitere Informationen zu verfügbaren Chiffren und zur Sicherstellung, dass Ihre Konfiguration Ihren Sicherheitsrichtlinien entspricht, finden Sie in der Dokumentation unter OpenSSL.org.

Hinterlasse eine Antwort

de_DEGerman
en_USEnglish fr_FRFrench it_ITItalian es_ESSpanish pt_BRPortuguese sv_SESwedish tr_TRTurkish nl_NLDutch jaJapanese pl_PLPolish zh_TWChinese id_IDIndonesian ko_KRKorean ms_MYMalay thThai de_DEGerman