Blog

Configurations de sécurité améliorées d'Amanda Enterprise Server

La sécurité de l'information est devenue de plus en plus importante à tous les niveaux, des petites et moyennes entreprises, aux entreprises, aux universités et même aux particuliers. Avec les ransomwares modernes et autres logiciels malveillants, il est plus crucial que jamais de sauvegarder fréquemment vos données. Par conséquent, il est tout aussi essentiel que le serveur chargé de faciliter les sauvegardes dans votre environnement soit lui-même protégé.

Désactivation des redirections ICMP

Les utilisateurs malveillants peuvent utiliser des messages de requête ICMP spécialement conçus pour lancer des attaques de déni de service contre le réseau. Si les redirections ICMP ne sont pas utilisées dans votre architecture réseau pour mettre à jour les tables de routage et que le serveur de sauvegarde n'agit pas également en tant que routeur ou passerelle: alors la redirection ICMP accepte et envoie des messages doit être désactivée sur le serveur de sauvegarde.

Il est simple de désactiver la redirection ICMP sous Linux (et de nombreux autres systèmes d'exploitation de type Unix) au moyen du système de fichiers proc (procfs), et procfs lui-même est plus facile à utiliser via une interface comme sysctl.

Désactivation des redirections ICMP Accepter et envoyer lors de l'exécution pour tout interfaces se fait avec sysctl en émettant les commandes suivantes.

 

Désactivation des redirections ICMP pour IPv4 pendant l'exécution:

Racine @ host# / sbin / sysctl -w net.ipv4.conf.all.accept_redirects = 0

Racine @ host# / sbin / sysctl -w net.ipv4.conf.all.send_redirects = 0

 

Désactivation des redirections ICMP pour IPv6 pendant l'exécution:

Racine @ host# / sbin / sysctl -w net.ipv6.conf.all.accept_redirects = 0

Racine @ host# / sbin / sysctl -w net.ipv6.conf.all.send_redirects = 0

Si vous souhaitez spécifier une interface, par exemple eth0, vous remplacez «all» dans les exemples ci-dessus par le nom de l'interface spécifique. C'est à dire:

Racine @ host# / sbin / sysctl -w net.ipv4.conf.eth0.accept_redirects = 0

La désactivation dynamique d'ICMP pendant l'exécution est une méthode quelque peu médiocre car les modifications ne seront pas persistantes lors d'un redémarrage. Il est préférable de modifier le fichier /etc/sysctl.conf pour un changement permanent si les redirections ICMP acceptent et envoient n'est pas nécessaire. Remarque: comme mentionné ci-dessus, toute instance de «tous» peut être remplacée par le nom d'une interface réseau spécifique dans les exemples suivants.

Modification de sysctl.conf pour les systèmes d'exploitation de type RHEL et SLES:

# pour IPv4

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

# pour IPv6

net.ipv6.conf.all.accept_redirects = 0

net.ipv6.conf.all.send_redirects = 0

Modification de sysctl.conf pour les systèmes d'exploitation de type Ubuntu et Debian:

# pour IPv4

net / ipv4 / conf / all / accept_redirects = 0

net / ipv4 / conf / all / send_redirects = 0

# pour IPv6

net / ipv6 / conf / all / accept_redirects = 0

net / ipv6 / conf / all / send_redirects = 0

Il est possible de modifier le sysctl.conf et de mettre à jour les paramètres pendant l'exécution sans redémarrage en "chargeant" le fichier sysctl.conf avec la commande:

Racine @ host# / sbin / sysctl -p

Pour une documentation supplémentaire sur procfs et / ou sysctl, veuillez consulter leurs pages de manuel respectives sur votre système.

Certaines préoccupations que vous pourriez avoir si vous utilisez une ancienne version d'Amanda Enterprise incluent:

Certificats de serveur X.509

Zmanda n'est pas fourni avec un certificat de serveur X.509. Si un utilisateur souhaite implémenter un certificat X.509, il devra être acheté ou généré d'une autre manière pour être utilisé avec le serveur HTTP Apache.

httpd.conf

Dans certaines versions plus anciennes de Zmanda, vous pouvez constater que l'en-tête de réponse HTTP Set-Cookie est manquant HttpOnly.

Ajoutez l'entrée suivante dans httpd.conf:

Modifier l'en-tête Set-Cookie ^ (. *) $ $1; HttpOnly; Secure

Redémarrez le ZMC en utilisant: /etc/init.d/zmc_aee restart

ssl.conf

Dans les anciennes versions de Zmanda, vous souhaiterez peut-être augmenter la force des chiffrements utilisés et appliquer leur priorité. Recherchez la ligne suivante dans ssl.conf et mettez-la en commentaire ou supprimez-la:

SSLCipherSuite ALL:! ANULL:! ADH:! ENULL:! LOW:! MEDIUM:! EXP: RC4 + RSA: + HIGH

Avec la ligne précédente commentée ou supprimée, ajoutez les deux lignes suivantes:

SSLHonorCipherOrder Activé

SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS

Pour plus d'informations sur les chiffrements disponibles et pour vous assurer que votre configuration est conforme à votre politique de sécurité: assurez-vous de consulter la documentation sur OpenSSL.org.

Rejoignez la discussion

fr_FRFrench
en_USEnglish it_ITItalian es_ESSpanish de_DEGerman pt_BRPortuguese sv_SESwedish tr_TRTurkish nl_NLDutch jaJapanese pl_PLPolish zh_TWChinese id_IDIndonesian ko_KRKorean ms_MYMalay thThai fr_FRFrench