Blog

Configurazioni di sicurezza avanzate di Amanda Enterprise Server

La sicurezza delle informazioni è diventata sempre più importante a tutti i livelli, dalle piccole alle medie imprese, imprese, università e persino utenti domestici. Con i ransomware moderni e altri software dannosi è più importante che mai eseguire spesso il backup dei dati. Pertanto, è essenziale che il server responsabile dell'agevolazione dei backup nell'ambiente sia esso stesso protetto.

Disattivazione dei reindirizzamenti ICMP

Gli utenti malintenzionati possono utilizzare messaggi di richiesta ICMP appositamente predisposti per lanciare attacchi Denial of Service contro la rete. Se i reindirizzamenti ICMP non vengono utilizzati nell'architettura di rete per aggiornare le tabelle di instradamento e il server di backup non funge anche da router o gateway: il reindirizzamento ICMP accetta e invia i messaggi dovrebbe essere disabilitato sul server di backup.

È semplice disabilitare il reindirizzamento ICMP in Linux (e molti altri sistemi operativi simili a Unix) tramite il filesystem proc (procfs), ed è più facile lavorare con procfs attraverso un'interfaccia come sysctl.

Disattivazione dei reindirizzamenti ICMP Accetta e invia in fase di esecuzione per tutti interfaces viene eseguito con sysctl immettendo i seguenti comandi.

 

Disattivazione dei reindirizzamenti ICMP per IPv4 durante il runtime:

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.accept_redirects = 0

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.send_redirects = 0

 

Disattivazione dei reindirizzamenti ICMP per IPv6 durante il runtime:

Root @ host# / sbin / sysctl -w net.ipv6.conf.all.accept_redirects = 0

Root @ host# / sbin / sysctl -w net.ipv6.conf.all.send_redirects = 0

Se si desidera specificare un'interfaccia, ad esempio eth0, sostituire "all" negli esempi precedenti con il nome dell'interfaccia specifica. Cioè:

Root @ host# / sbin / sysctl -w net.ipv4.conf.eth0.accept_redirects = 0

Disattivare ICMP dinamicamente durante il runtime è un metodo piuttosto scadente perché le modifiche non saranno persistenti al riavvio. È meglio modificare il file /etc/sysctl.conf per una modifica permanente se i reindirizzamenti ICMP accettano e l'invio non è richiesto. Nota: come accennato in precedenza, qualsiasi istanza di "all" può essere sostituita con il nome di una specifica interfaccia di rete negli esempi seguenti.

Modifica di sysctl.conf per sistemi operativi simili a RHEL e SLES:

# per IPv4

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

# per IPv6

net.ipv6.conf.all.accept_redirects = 0

net.ipv6.conf.all.send_redirects = 0

Modifica di sysctl.conf per sistemi operativi Ubuntu e simili a Debian:

# per IPv4

net / ipv4 / conf / all / accept_redirects = 0

net / ipv4 / conf / all / send_redirects = 0

# per IPv6

net / ipv6 / conf / all / accept_redirects = 0

net / ipv6 / conf / all / send_redirects = 0

È possibile modificare il sysctl.conf e aggiornare le impostazioni durante il runtime senza un riavvio mediante il "caricamento" del file sysctl.conf con il comando:

Radice @ host# / sbin / sysctl -p

Per ulteriore documentazione su procfs e / o sysctl, fare riferimento alle rispettive pagine man sul proprio sistema.

Alcune preoccupazioni che potresti avere se utilizzi una versione precedente di Amanda Enterprise includono:

Certificati server X.509

Zmanda non viene fornito con un certificato server X.509. Se un utente desidera implementare un certificato X.509, dovrà essere acquistato o generato in altro modo per l'utilizzo con Apache HTTP Server.

httpd.conf

In alcune versioni precedenti di Zmanda potresti scoprire che nell'intestazione della risposta HTTP Set-Cookie manca HttpOnly.

Aggiungi la seguente voce in httpd.conf:

Modifica intestazione Set-Cookie ^ (. *) $ $1; HttpOnly; Secure

Riavvia ZMC usando: /etc/init.d/zmc_aee restart

ssl.conf

Nelle versioni precedenti di Zmanda potresti voler aumentare la forza delle cifrature utilizzate e imporre la loro priorità. Trova la seguente riga in ssl.conf e commentala o rimuovila:

SSLCipherSuite ALL:! ANULL:! ADH:! ENULL:! LOW:! MEDIUM:! EXP: RC4 + RSA: + HIGH

Con la riga precedente commentata o rimossa, aggiungi le seguenti due righe:

SSLHonorCipherOrder On

SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS

Per ulteriori informazioni sulle cifrature disponibili e per garantire che la configurazione sia conforme ai criteri di sicurezza: assicurarsi di controllare la documentazione da OpenSSL.org.

lascia un commento

it_ITItalian
en_USEnglish fr_FRFrench es_ESSpanish de_DEGerman pt_BRPortuguese sv_SESwedish tr_TRTurkish nl_NLDutch jaJapanese pl_PLPolish zh_TWChinese id_IDIndonesian ko_KRKorean ms_MYMalay thThai it_ITItalian