- Dieser Artikel ist für Amanda Unternehmen (AE)
Informationssicherheit hat auf allen Ebenen, von kleinen bis mittleren Unternehmen, Unternehmen, Universitäten und sogar Heimanwendern, zunehmend an Bedeutung gewonnen.
Deaktivieren von ICMP-Weiterleitungen
Böswillige Benutzer können speziell gestaltete ICMP-Anforderungsnachrichten verwenden, um Denial-of-Service-Angriffe gegen das Netzwerk zu starten. Wenn in Ihrem Netzwerkdesign keine ICMP-Weiterleitungen zum Aktualisieren von Routentabellen verwendet werden und der Sicherungsserver nicht auch als Router oder Gateway fungiert, sollte das Akzeptieren und Senden von ICMP-Umleitungen deaktiviert werden. Es ist einfach, die ICMP-Umleitung unter Linux (und vielen anderen Unix-ähnlichen Betriebssystemen) mithilfe des proc-Dateisystems (procfs) zu deaktivieren, und es ist am einfachsten, mit procfs selbst über eine Schnittstelle wie sysctl zu arbeiten.
Deaktivieren von ICMP-Weiterleitungen Akzeptieren und Senden zur Laufzeit für alle Schnittstellen werden mit sysctl erstellt, indem die folgenden Befehle ausgegeben werden.
Deaktivieren von ICMP-Weiterleitungen für IPv4 zur Laufzeit:
Root@host# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0
Deaktivieren von ICMP-Weiterleitungen für IPv6 zur Laufzeit:
Root@host# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv6.conf.all.send_redirects = 0
Wenn Sie eine Schnittstelle angeben möchten, z. B. eth0, ersetzen Sie in den obigen Beispielen 'all' durch den Namen der Schnittstelle. Dh:
Root@host# /sbin/sysctl -w net.ipv4.conf.eth0.Accept_redirects = 0
Dies ist jedoch eine schlechte Methode, da Änderungen bei einem Neustart nicht dauerhaft sind. Es ist besser, die Datei /etc/sysctl.conf für eine dauerhafte Änderung zu ändern, wenn ICMP-Weiterleitungen nicht akzeptiert und gesendet werden müssen.
Ändern von sysctl.conf für RHEL-ähnliche und SLES-ähnliche Betriebssysteme:
# Für IPv4 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 # Für IPv6 net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.all.send_redirects = 0
Ändern von sysctl.conf für Ubuntu und Debian-ähnliche Betriebssysteme:
# Für IPv4 net / ipv4 / conf / all / accept_redirects = 0 net / ipv4 / conf / all / send_redirects = 0 # Für IPv6 net / ipv6 / conf / all / accept_redirects = 0 net / ipv6 / conf / all / send_redirects = 0
Apache-Konfiguration
Die Zmanda Management Console (ZMC) ist die Macht der Apache HTTP Server (httpd). Daher gelten alle Sicherheitsaspekte, die für jeden anderen Produktions-HTTP-Server gelten würden, auch für die ZMC. Die Konfigurationsdateien für die Zmanda httpd-Instanz befinden sich im Verzeichnis / opt / zmanda / amanda / apache2 / des Dateisystems.
Zmanda arbeitet fleißig daran, sicherzustellen, dass die Standardkonfiguration von httpd sicher ist. Es ist jedoch wichtig, stets auf dem neuesten Stand zu sein Apache-Sicherheitsupdates .
Einige häufige Probleme, die bei Verwendung einer älteren Version von Amanda Enterprise auftreten können, sind:
X.509-Serverzertifikate
Zmanda wird nicht mit einem X.509-Serverzertifikat geliefert. Wenn ein Benutzer ein X.509 implementieren möchte, muss es für die Verwendung mit dem Apache HTTP Server gekauft oder anderweitig generiert werden.
httpd.conf
In einigen älteren Versionen von Zmanda fehlt möglicherweise der HTTP-Antwortheader Set-Cookie HttpOnly. Fügen Sie den folgenden Eintrag in httpd.conf hinzu:
Header bearbeiten Set-Cookie ^ (. *) $ $ 1; HttpOnly; Sicher
Starten Sie die ZMC neu mit: /etc/init.d/zmc_aee restart.
ssl.conf
In älteren Versionen von Zmanda möchten Sie möglicherweise die Stärke der verwendeten Chiffren erhöhen und deren Priorität erzwingen. Suchen Sie die folgende Zeile in der ssl.conf und kommentieren Sie sie entweder aus oder entfernen Sie sie:
SSLCipherSuite ALL :! ANULL :! ADH :! ENULL :! LOW :! MEDIUM :! EXP: RC4 + RSA: + HIGH
Wenn die vorherige Zeile auskommentiert oder entfernt wurde, fügen Sie die folgenden zwei Zeilen hinzu:
SSLHonorCipherOrder On SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES :! ANULL :! MD5 :! DSS
Weitere Informationen zu den Chiffren und zur Sicherstellung, dass Ihre Konfiguration Ihren Sicherheitsrichtlinien entspricht, finden Sie in der Dokumentation zu openssl.
SELinux
Um zusätzliche Sicherheitsstufen durch obligatorische Zugriffskontrollen (MAC) durchzusetzen, ist es ratsam, SELinux zu implementieren. SELinux ist in vielen gängigen Linux-Distributionen implementiert. Weitere Informationen zur Verwendung von SELinux und Amanda Enterprise im Tandem finden Sie im Artikel SELinux und Amanda Enterprise.
