- Este articulo es para Empresa Amanda (AE)
La seguridad de la información se ha vuelto cada vez más importante en todos los niveles, desde pequeñas y medianas empresas, empresas, universidades e incluso usuarios domésticos.
Desactivación de redirecciones ICMP
Los usuarios malintencionados pueden utilizar mensajes de solicitud ICMP especialmente diseñados para lanzar ataques de denegación de servicio contra la red. Si las redirecciones ICMP no se utilizan en el diseño de su red para actualizar las tablas de rutas y el servidor de respaldo no actúa también como un enrutador o una puerta de enlace, entonces la aceptación y envío de mensajes ICMP Redirect debe estar deshabilitada. Es simple deshabilitar la redirección ICMP en Linux (y muchos otros sistemas operativos similares a Unix) por medio del sistema de archivos proc (procfs) y es más fácil trabajar con procfs a través de una interfaz como sysctl.
Deshabilitar las redirecciones ICMP Aceptar y enviar en tiempo de ejecución para todos interfaces se realiza con sysctl mediante la emisión de los siguientes comandos.
Desactivación de redirecciones ICMP para IPv4 en tiempo de ejecución:
Root @ host # / sbin / sysctl -w net.ipv4.conf.all.accept_redirects = 0 Root @ host # / sbin / sysctl -w net.ipv4.conf.all.send_redirects = 0
Desactivación de redirecciones ICMP para IPv6 en tiempo de ejecución:
Root @ host # / sbin / sysctl -w net.ipv6.conf.all.accept_redirects = 0 Root @ host # / sbin / sysctl -w net.ipv6.conf.all.send_redirects = 0
Si desea especificar una interfaz, por ejemplo, eth0, entonces debe reemplazar 'all' en los ejemplos anteriores con el nombre de la interfaz. Es decir:
Rootear @ host # / sbin / sysctl -w net.ipv4.conf.eth0.aceptar_redirecciones = 0
Sin embargo, este es un método deficiente porque los cambios no serán persistentes hasta el reinicio. Es mejor modificar el archivo /etc/sysctl.conf para un cambio permanente si no es necesario aceptar y enviar redirecciones ICMP.
Modificación de sysctl.conf para sistemas operativos similares a RHEL y SLES:
# Para IPv4 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 # Para IPv6 net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.all.send_redirects = 0
Modificación de sysctl.conf para Ubuntu y sistemas operativos similares a Debian:
# Para IPv4 net / ipv4 / conf / all / accept_redirects = 0 net / ipv4 / conf / all / send_redirects = 0 # Para IPv6 net / ipv6 / conf / all / accept_redirects = 0 net / ipv6 / conf / all / send_redirects = 0
Configuración de Apache
La Consola de administración de Zmanda (ZMC) alimenta el Apache HTTP Server (httpd). Como tal, todas las consideraciones de seguridad que serían aplicables a cualquier otro servidor HTTP de producción también se aplican al ZMC. Los archivos de configuración para la instancia httpd de Zmanda se pueden encontrar en el directorio / opt / zmanda / amanda / apache2 / en el sistema de archivos.
Zmanda trabaja diligentemente para asegurarse de que la configuración predeterminada de httpd sea segura, pero es importante mantenerse actualizado con Actualizaciones de seguridad de Apache .
Algunos problemas comunes que puede experimentar si usa una versión anterior de Amanda Enterprise incluyen:
Certificados de servidor X.509
Zmanda no viene con un certificado de servidor X.509. Si un usuario desea implementar un X.509, deberá comprarlo o generarlo de otro modo para usarlo con el servidor HTTP Apache.
httpd.conf
En algunas versiones anteriores de Zmanda, puede encontrar que en el encabezado de respuesta HTTP Set-Cookie falta HttpOnly. Agregue la siguiente entrada en httpd.conf:
Edición de encabezado Set-Cookie ^ (. *) $ $ 1; HttpOnly; Seguro
Reinicie el ZMC usando: /etc/init.d/zmc_aee restart.
ssl.conf
En versiones anteriores de Zmanda, es posible que desee aumentar la fuerza de los cifrados que se utilizan y hacer cumplir su prioridad. Busque la siguiente línea en ssl.conf y coméntela o elimínela:
SSLCipherSuite ALL:! ANULL:! ADH:! ENULL:! LOW:! MEDIUM:! EXP: RC4 + RSA: + HIGH
Con la línea anterior comentada o eliminada, agregue las siguientes dos líneas:
SSLHonorCipherOrder en SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS
Para obtener información adicional sobre los cifrados y para asegurarse de que su configuración cumple con su política de seguridad: asegúrese de consultar la documentación de openssl.
SELinux
Para aplicar niveles adicionales de seguridad mediante controles de acceso obligatorios (MAC), es aconsejable implementar SELinux. SELinux está implementado en muchas distribuciones populares de Linux y se puede encontrar información adicional sobre su uso y Amanda Enterprise en tándem en el artículo SELinux y Amanda Enterprise.
