Blog

Configuraciones de seguridad mejoradas de Amanda Enterprise Server

La seguridad de la información se ha vuelto cada vez más importante en todos los niveles, desde pequeñas y medianas empresas, empresas, universidades e incluso usuarios domésticos. Con el ransomware moderno y otro software malicioso, es más crucial que nunca realizar copias de seguridad de sus datos con frecuencia. Por tanto, es tan fundamental que el servidor que se encarga de facilitar las copias de seguridad en su entorno esté protegido.

Desactivación de redirecciones ICMP

Los usuarios malintencionados pueden utilizar mensajes de solicitud ICMP especialmente diseñados para lanzar ataques de denegación de servicio contra la red. Si las redirecciones ICMP no se utilizan en la arquitectura de su red para actualizar las tablas de ruta y el servidor de respaldo no actúa también como un enrutador o una puerta de enlace: entonces la aceptación y envío de mensajes ICMP Redirect debe estar deshabilitada en el servidor de respaldo.

Es simple deshabilitar la redirección ICMP en Linux (y muchos otros sistemas operativos similares a Unix) por medio del sistema de archivos proc (procfs), y es más fácil trabajar con procfs a través de una interfaz como sysctl.

Deshabilitar las redirecciones ICMP Aceptar y enviar en tiempo de ejecución para todas interfaces se realiza con sysctl emitiendo los siguientes comandos.

 

Desactivación de redirecciones ICMP para IPv4 durante el tiempo de ejecución:

Raíz @ host# / sbin / sysctl -w net.ipv4.conf.all.accept_redirects = 0

Raíz @ host# / sbin / sysctl -w net.ipv4.conf.all.send_redirects = 0

 

Desactivación de redireccionamientos ICMP para IPv6 durante el tiempo de ejecución:

Raíz @ host# / sbin / sysctl -w net.ipv6.conf.all.accept_redirects = 0

Raíz @ host# / sbin / sysctl -w net.ipv6.conf.all.send_redirects = 0

Si desea especificar una interfaz, por ejemplo, eth0, debe reemplazar 'todos' en los ejemplos anteriores con el nombre de la interfaz específica. Es decir:

Rootear @ host# / sbin / sysctl -w net.ipv4.conf.eth0.accept_redirects = 0

Deshabilitar ICMP dinámicamente durante el tiempo de ejecución es un método algo pobre porque los cambios no serán persistentes hasta el reinicio. Es mejor modificar el archivo /etc/sysctl.conf para un cambio permanente si no es necesario aceptar y enviar redirecciones ICMP. Nota: como se mencionó anteriormente, cualquier instancia de 'todos' se puede reemplazar con el nombre de una interfaz de red específica en los siguientes ejemplos.

Modificación de sysctl.conf para sistemas operativos similares a RHEL y SLES:

# para IPv4

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

# para IPv6

net.ipv6.conf.all.accept_redirects = 0

net.ipv6.conf.all.send_redirects = 0

Modificación de sysctl.conf para Ubuntu y sistemas operativos similares a Debian:

# para IPv4

net / ipv4 / conf / all / accept_redirects = 0

net / ipv4 / conf / all / send_redirects = 0

# para IPv6

net / ipv6 / conf / all / accept_redirects = 0

net / ipv6 / conf / all / send_redirects = 0

Es posible modificar el sysctl.conf y actualizar la configuración durante el tiempo de ejecución sin reiniciar por medio de "cargar" el archivo sysctl.conf con el comando:

Raíz @ host# / sbin / sysctl -p

Para obtener documentación adicional sobre procfs y / o sysctl, consulte sus respectivas páginas de manual en su sistema.

Algunas preocupaciones que puede tener si usa una versión anterior de Amanda Enterprise incluyen:

Certificados de servidor X.509

Zmanda no viene con un certificado de servidor X.509. Si un usuario desea implementar un certificado X.509, deberá comprarlo o generarlo de otro modo para usarlo con el servidor HTTP Apache.

httpd.conf

En algunas versiones anteriores de Zmanda, puede encontrar que en el encabezado de respuesta HTTP Set-Cookie falta HttpOnly.

Agregue la siguiente entrada en httpd.conf:

Edición de encabezado Set-Cookie ^ (. *) $ $1; HttpOnly; Seguro

Reinicie el ZMC usando: /etc/init.d/zmc_aee restart

ssl.conf

En versiones anteriores de Zmanda, es posible que desee aumentar la fuerza de los cifrados que se utilizan y hacer cumplir su prioridad. Busque la siguiente línea en ssl.conf y coméntela o elimínela:

SSLCipherSuite ALL:! ANULL:! ADH:! ENULL:! LOW:! MEDIUM:! EXP: RC4 + RSA: + HIGH

Con la línea anterior comentada o eliminada, agregue las siguientes dos líneas:

SSLHonorCipherOrder On

SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS

Para obtener información adicional sobre los cifrados disponibles y para asegurarse de que su configuración cumpla con su política de seguridad: asegúrese de consultar la documentación de OpenSSL.org.

Deja una respuesta

es_ESSpanish
en_USEnglish fr_FRFrench it_ITItalian de_DEGerman pt_BRPortuguese sv_SESwedish tr_TRTurkish nl_NLDutch jaJapanese pl_PLPolish zh_TWChinese id_IDIndonesian ko_KRKorean ms_MYMalay thThai es_ESSpanish