Blog

Konfigurasi Keamanan yang Ditingkatkan Server Perusahaan Amanda

Keamanan informasi semakin menjadi sangat penting di semua tingkatan, dari bisnis kecil hingga menengah, perusahaan, universitas, dan bahkan pengguna rumahan. Dengan perangkat lunak modern seperti ransomware dan perangkat lunak berbahaya lainnya, semakin penting untuk sering mencadangkan data Anda. Oleh karena itu, sangatlah penting bahwa server yang bertanggung jawab untuk memfasilitasi pencadangan di lingkungan Anda dilindungi.

Menonaktifkan Pengalihan ICMP

Pengguna jahat dapat menggunakan pesan permintaan ICMP yang dibuat khusus untuk meluncurkan serangan Denial of Service terhadap jaringan. Jika pengalihan ICMP tidak digunakan dalam arsitektur jaringan Anda untuk memperbarui tabel rute dan server cadangan juga tidak bertindak sebagai router atau gateway: maka ICMP Redirect menerima dan mengirim pesan harus dinonaktifkan di server cadangan.

Sangat mudah untuk menonaktifkan pengalihan ICMP di Linux (dan banyak sistem operasi mirip Unix lainnya) melalui sistem file proc (procfs), dan procfs sendiri paling mudah digunakan melalui antarmuka seperti sysctl.

Menonaktifkan ICMP Redirects Terima dan Kirim saat runtime untuk semua antarmuka dilakukan dengan sysctl dengan mengeluarkan perintah berikut.

 

Menonaktifkan Pengalihan ICMP untuk IPv4 Selama Runtime:

Akar @ host# / sbin / sysctl -w net.ipv4.conf.all.accept_redirects = 0

Akar @ host# / sbin / sysctl -w net.ipv4.conf.all.send_redirects = 0

 

Menonaktifkan Pengalihan ICMP untuk IPv6 Selama Runtime:

Akar @ host# / sbin / sysctl -w net.ipv6.conf.all.accept_redirects = 0

Akar @ host# / sbin / sysctl -w net.ipv6.conf.all.send_redirects = 0

Jika Anda ingin menentukan sebuah antarmuka, misalnya eth0, maka Anda harus mengganti 'semua' dalam contoh di atas dengan nama antarmuka tertentu. Yaitu:

Akar @ host# / sbin / sysctl -w net.ipv4.conf.eth0.accept_redirects = 0

Menonaktifkan ICMP secara dinamis selama runtime adalah metode yang agak buruk karena perubahan tidak akan terus berlanjut hingga reboot. Lebih baik memodifikasi file /etc/sysctl.conf untuk perubahan permanen jika pengalihan ICMP menerima dan mengirim tidak diperlukan. Catatan: seperti yang disebutkan di atas, setiap contoh 'semua' dapat diganti dengan nama antarmuka jaringan tertentu dalam contoh berikut.

Memodifikasi sysctl.conf untuk sistem operasi mirip RHEL dan SLES:

# Untuk IPv4

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

# Untuk IPv6

net.ipv6.conf.all.accept_redirects = 0

net.ipv6.conf.all.send_redirects = 0

Memodifikasi sysctl.conf untuk Ubuntu dan sistem operasi mirip Debian:

# Untuk IPv4

net / ipv4 / conf / all / accept_redirects = 0

net / ipv4 / conf / all / send_redirects = 0

# Untuk IPv6

net / ipv6 / conf / all / accept_redirects = 0

net / ipv6 / conf / all / send_redirects = 0

Dimungkinkan untuk mengubah sysctl.conf dan memperbarui pengaturan selama runtime tanpa reboot dengan cara "memuat" file sysctl.conf dengan perintah:

Akar @ host# / sbin / sysctl -p

Untuk dokumentasi tambahan tentang procfs dan / atau sysctl, silakan merujuk ke halaman manual masing-masing di sistem Anda.

Beberapa masalah yang mungkin Anda alami jika menggunakan versi Amanda Enterprise yang lebih lama meliputi:

Sertifikat Server X.509

Zmanda tidak dikemas dengan sertifikat server X.509. Jika pengguna ingin mengimplementasikan sertifikat X.509 maka itu harus dibeli atau dibuat untuk digunakan dengan Apache HTTP Server.

httpd.conf

Di beberapa versi lama Zmanda Anda mungkin menemukan bahwa header tanggapan HTTP Set-Cookie tidak memiliki HttpOnly.

Tambahkan entri berikut di httpd.conf:

Sunting header Set-Cookie ^ (. *) $ $1; HttpOnly; Aman

Mulai ulang ZMC menggunakan: /etc/init.d/zmc_aee restart

ssl.conf

Di versi Zmanda yang lebih lama, Anda mungkin ingin meningkatkan kekuatan cipher yang digunakan, dan menerapkan prioritasnya. Temukan baris berikut di ssl.conf dan beri komentar atau hapus:

SSLCipherSuite ALL:! ANULL:! ADH:! ENULL:! LOW:! MEDIUM:! EXP: RC4 + RSA: + HIGH

Dengan baris sebelumnya dikomentari atau dihapus, tambahkan dua baris berikut:

SSLHonorCipherOrder Aktif

SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS

Untuk informasi tambahan mengenai cipher yang tersedia, dan untuk memastikan bahwa konfigurasi Anda sesuai dengan kebijakan keamanan Anda: pastikan untuk memeriksa dokumentasi dari OpenSSL.org.

Tinggalkan Balasan

id_IDIndonesian
en_USEnglish fr_FRFrench it_ITItalian es_ESSpanish de_DEGerman pt_BRPortuguese sv_SESwedish tr_TRTurkish nl_NLDutch jaJapanese pl_PLPolish zh_TWChinese ko_KRKorean ms_MYMalay thThai id_IDIndonesian