- Artikel ini untuk Amanda Perusahaan (AE)
Keamanan informasi semakin menjadi sangat penting di semua tingkatan, dari usaha kecil hingga menengah, perusahaan, universitas, dan bahkan pengguna rumahan.
Menonaktifkan Pengalihan ICMP
Pengguna jahat dapat menggunakan pesan permintaan ICMP yang dibuat khusus untuk meluncurkan serangan Denial of Service terhadap jaringan. Jika pengalihan ICMP tidak digunakan dalam desain jaringan Anda untuk memperbarui tabel rute dan server cadangan juga tidak bertindak sebagai router atau gateway, maka Pengalihan ICMP menerima dan mengirim pesan harus dinonaktifkan. Sangat mudah untuk menonaktifkan pengalihan ICMP di Linux (dan banyak sistem operasi mirip Unix lainnya) melalui sistem file proc (procfs) dan procfs sendiri paling mudah digunakan melalui antarmuka seperti sysctl.
Menonaktifkan ICMP Redirects Terima dan Kirim saat runtime untuk semua antarmuka dilakukan dengan sysctl dengan mengeluarkan perintah berikut.
Menonaktifkan Pengalihan ICMP untuk IPv4 saat runtime:
Root @ host # / sbin / sysctl -w net.ipv4.conf.all.accept_redirects = 0 Root @ host # / sbin / sysctl -w net.ipv4.conf.all.send_redirects = 0
Menonaktifkan Pengalihan ICMP untuk IPv6 saat runtime:
Root @ host # / sbin / sysctl -w net.ipv6.conf.all.accept_redirects = 0 Root @ host # / sbin / sysctl -w net.ipv6.conf.all.send_redirects = 0
Jika Anda ingin menentukan sebuah antarmuka, misalnya eth0, maka Anda harus mengganti 'semua' dalam contoh di atas dengan nama antarmuka. Yaitu:
Root @ host # / sbin / sysctl -w net.ipv4.conf.et0.menerima_pengalihan = 0
Namun, ini adalah metode yang buruk karena perubahan tidak akan terjadi terus-menerus saat boot ulang. Lebih baik memodifikasi file /etc/sysctl.conf untuk perubahan permanen jika ICMP Redirects menerima dan mengirim tidak diperlukan.
Memodifikasi sysctl.conf untuk sistem operasi mirip RHEL dan SLES:
# Untuk IPv4 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 # Untuk IPv6 net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.all.send_redirects = 0
Memodifikasi sysctl.conf untuk Ubuntu dan sistem operasi mirip Debian:
# Untuk IPv4 net / ipv4 / conf / all / accept_redirects = 0 net / ipv4 / conf / all / send_redirects = 0 # Untuk IPv6 net / ipv6 / conf / all / accept_redirects = 0 net / ipv6 / conf / all / send_redirects = 0
Apache Konfigurasi
Konsol Manajemen Zmanda (ZMC) mendukung Apache HTTP Server (httpd). Dengan demikian, semua pertimbangan keamanan yang akan berlaku untuk server HTTP produksi lainnya juga berlaku untuk ZMC. File konfigurasi untuk instance httpd Zmanda dapat ditemukan di direktori / opt / zmanda / amanda / apache2 / pada sistem file.
Zmanda bekerja dengan rajin untuk memastikan konfigurasi default httpd aman, tetapi penting untuk selalu memperbarui Pembaruan Keamanan Apache juga.
Beberapa masalah umum yang mungkin Anda alami jika menggunakan versi Amanda Enterprise yang lebih lama meliputi:
Sertifikat Server X.509
Zmanda tidak dikemas dengan sertifikat server X.509. Jika seorang pengguna ingin mengimplementasikan X.509 maka itu harus dibeli atau dibuat untuk digunakan dengan Apache HTTP Server.
httpd.conf
Di beberapa versi Zmanda yang lebih lama, Anda mungkin menemukan bahwa header respons HTTP Set-Cookie tidak memiliki HttpOnly. Tambahkan entri berikut di httpd.conf:
Header edit Set-Cookie ^ (. *) $ $ 1; HttpOnly; Aman
Mulai ulang ZMC menggunakan: /etc/init.d/zmc_aee restart.
ssl.conf
Di versi Zmanda yang lebih lama, Anda mungkin ingin meningkatkan kekuatan cipher yang digunakan, dan menerapkan prioritasnya. Temukan baris berikut di ssl.conf dan beri komentar atau hapus:
SSLCipherSuite ALL:! ANULL:! ADH:! ENULL:! LOW:! MEDIUM:! EXP: RC4 + RSA: + HIGH
Dengan baris sebelumnya dikomentari atau dihapus, tambahkan dua baris berikut:
SSLHonorCipherOrder Pada SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS
Untuk informasi tambahan mengenai cipher, dan untuk memastikan bahwa konfigurasi Anda sesuai dengan kebijakan keamanan Anda: pastikan untuk memeriksa dokumentasi openssl.
SELinux
Untuk menegakkan tingkat keamanan tambahan dengan menggunakan kontrol akses wajib (MAC), disarankan untuk mengimplementasikan SELinux. SELinux diimplementasikan di banyak distribusi Linux populer dan informasi tambahan tentang penggunaannya dan Amanda Enterprise bersama-sama dapat ditemukan di artikel SELinux dan Amanda Enterprise.
