- Cet article est pour Amanda Entreprise (AE)
La sécurité de l'information est devenue de plus en plus importante à tous les niveaux, des petites et moyennes entreprises, aux entreprises, aux universités et même aux particuliers.
Désactivation des redirections ICMP
Les utilisateurs malveillants peuvent utiliser des messages de requête ICMP spécialement conçus pour lancer des attaques de déni de service contre le réseau. Si les redirections ICMP ne sont pas utilisées dans la conception de votre réseau pour mettre à jour les tables de routage et que le serveur de sauvegarde n'agit pas également en tant que routeur ou passerelle, la redirection ICMP accepte et envoie des messages doit être désactivée. Il est simple de désactiver la redirection ICMP sous Linux (et de nombreux autres systèmes d'exploitation de type Unix) au moyen du système de fichiers proc (procfs) et procfs lui-même est plus facile à utiliser via une interface comme sysctl.
Désactivation des redirections ICMP Accepter et envoyer au moment de l'exécution pour TOUTE interfaces se fait avec sysctl en émettant les commandes suivantes.
Désactivation des redirections ICMP pour IPv4 au moment de l'exécution:
Root@host# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0
Désactivation des redirections ICMP pour IPv6 au moment de l'exécution:
Root@host# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv6.conf.all.send_redirects = 0
Si vous souhaitez spécifier une interface, par exemple eth0, vous remplacez «all» dans les exemples ci-dessus par le nom de l'interface. C'est à dire:
Root@host# /sbin/sysctl -w net.ipv4.conf.eth0.accepter_redirects = 0
Ceci, cependant, est une méthode médiocre car les modifications ne seront pas persistantes lors d'un redémarrage. Il est préférable de modifier le fichier /etc/sysctl.conf pour un changement permanent si les redirections ICMP acceptent et envoient ne sont pas nécessaires.
Modification de sysctl.conf pour les systèmes d'exploitation de type RHEL et SLES:
# Pour IPv4 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 # Pour IPv6 net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.all.send_redirects = 0
Modification de sysctl.conf pour les systèmes d'exploitation de type Ubuntu et Debian:
# Pour IPv4 net / ipv4 / conf / all / accept_redirects = 0 net / ipv4 / conf / all / send_redirects = 0 # Pour IPv6 net / ipv6 / conf / all / accept_redirects = 0 net / ipv6 / conf / all / send_redirects = 0
Configuration Apache
La console de gestion Zmanda (ZMC) alimente le Apache HTTP Server (httpd). En tant que tel, toutes les considérations de sécurité applicables à tout autre serveur HTTP de production s'appliquent également au ZMC. Les fichiers de configuration de l'instance Zmanda httpd se trouvent dans le répertoire / opt / zmanda / amanda / apache2 / sur le système de fichiers.
Zmanda travaille avec diligence pour s'assurer que la configuration par défaut de httpd est sécurisée, mais il est important de se tenir à jour avec Mises à jour de sécurité Apache également.
Certains problèmes courants que vous pouvez rencontrer si vous utilisez une ancienne version d'Amanda Enterprise incluent:
Certificats de serveur X.509
Zmanda n'est pas fourni avec un certificat de serveur X.509. Si un utilisateur souhaite implémenter un X.509, il devra alors être acheté ou généré d'une autre manière pour être utilisé avec le serveur HTTP Apache.
httpd.conf
Dans certaines anciennes versions de Zmanda, vous pouvez constater que l'en-tête de réponse HTTP Set-Cookie est manquant HttpOnly. Ajoutez l'entrée suivante dans httpd.conf:
Modifier l'en-tête Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure
Redémarrez le ZMC en utilisant: /etc/init.d/zmc_aee restart.
ssl.conf
Dans les anciennes versions de Zmanda, vous souhaiterez peut-être augmenter la force des chiffrements utilisés et appliquer leur priorité. Recherchez la ligne suivante dans ssl.conf et mettez-la en commentaire ou supprimez-la:
SSLCipherSuite ALL:! ANULL:! ADH:! ENULL:! LOW:! MEDIUM:! EXP: RC4 + RSA: + HIGH
Avec la ligne précédente commentée ou supprimée, ajoutez les deux lignes suivantes:
SSLHonorCipherOrder Sur SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS
Pour plus d'informations sur les chiffrements et pour vous assurer que votre configuration est conforme à votre politique de sécurité: assurez-vous de consulter la documentation d'openssl.
SELinux
Pour appliquer des niveaux de sécurité supplémentaires au moyen de contrôles d'accès obligatoires (MAC), il est conseillé d'implémenter SELinux. SELinux est implémenté dans de nombreuses distributions Linux populaires et des informations supplémentaires concernant son utilisation et Amanda Enterprise en tandem peuvent être trouvées dans l'article SELinux et Amanda Enterprise.
