- Questo articolo è per Amanda impresa (AE)
La sicurezza delle informazioni è diventata sempre più importante a tutti i livelli, dalle piccole e medie imprese, alle imprese, alle università e persino agli utenti domestici.
Disattivazione dei reindirizzamenti ICMP
Gli utenti malintenzionati possono utilizzare messaggi di richiesta ICMP appositamente predisposti per lanciare attacchi Denial of Service contro la rete. Se i reindirizzamenti ICMP non vengono utilizzati nella progettazione della rete per aggiornare le tabelle di instradamento e il server di backup non funge anche da router o gateway, il reindirizzamento ICMP accetta e invia i messaggi dovrebbe essere disabilitato. È semplice disabilitare il reindirizzamento ICMP in Linux (e molti altri sistemi operativi simili a Unix) tramite il filesystem proc (procfs) e lo stesso procfs è più facile da lavorare attraverso un'interfaccia come sysctl.
Disattivazione dei reindirizzamenti ICMP Accetta e invia in fase di esecuzione per contro tutti i interfaces viene eseguito con sysctl immettendo i seguenti comandi.
Disattivazione dei reindirizzamenti ICMP per IPv4 in fase di esecuzione:
Root@host# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0
Disattivazione dei reindirizzamenti ICMP per IPv6 in fase di esecuzione:
Root@host# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv6.conf.all.send_redirects = 0
Se si desidera specificare un'interfaccia, ad esempio eth0, sostituire "all" negli esempi precedenti con il nome dell'interfaccia. Cioè:
Root@host# /sbin/sysctl -w net.ipv4.conf.eth0.accept_redirect = 0
Questo, tuttavia, è un metodo scadente perché le modifiche non saranno persistenti al riavvio. È meglio modificare il file /etc/sysctl.conf per una modifica permanente se i reindirizzamenti ICMP accettano e inviano non sono richiesti.
Modifica di sysctl.conf per sistemi operativi simili a RHEL e SLES:
# Per IPv4 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 # Per IPv6 net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.all.send_redirects = 0
Modifica di sysctl.conf per sistemi operativi Ubuntu e simili a Debian:
# Per IPv4 net / ipv4 / conf / all / accept_redirects = 0 net / ipv4 / conf / all / send_redirects = 0 # Per IPv6 net / ipv6 / conf / all / accept_redirects = 0 net / ipv6 / conf / all / send_redirects = 0
Configurazione di Apache
La Zmanda Management Console (ZMC) alimenta il Apache HTTP Server (httpd). Pertanto, tutte le considerazioni sulla sicurezza che sarebbero applicabili a qualsiasi altro server HTTP di produzione si applicano anche a ZMC. I file di configurazione per l'istanza httpd di Zmanda possono essere trovati nella directory / opt / zmanda / amanda / apache2 / sul file system.
Zmanda lavora diligentemente per assicurarsi che la configurazione predefinita di httpd sia sicura, ma è importante tenersi aggiornati con Aggiornamenti di sicurezza di Apache come pure.
Alcuni problemi comuni che potresti riscontrare utilizzando una versione precedente di Amanda Enterprise includono:
Certificati server X.509
Zmanda non viene fornito con un certificato server X.509. Se un utente desidera implementare un X.509, dovrà acquistarlo o generarlo in altro modo per utilizzarlo con Apache HTTP Server.
httpd.conf
In alcune versioni precedenti di Zmanda potresti scoprire che nell'intestazione della risposta HTTP Set-Cookie manca HttpOnly. Aggiungi la seguente voce in httpd.conf:
Modifica intestazione Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure
Riavvia ZMC usando: /etc/init.d/zmc_aee restart.
ssl.conf
Nelle versioni precedenti di Zmanda potresti voler aumentare la forza dei cifrari utilizzati e imporre la loro priorità. Trova la seguente riga in ssl.conf e commentala o rimuovila:
SSLCipherSuite ALL:! ANULL:! ADH:! ENULL:! LOW:! MEDIUM:! EXP: RC4 + RSA: + HIGH
Con la riga precedente commentata o rimossa, aggiungi le seguenti due righe:
SSLHonorCipherOrder On SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS
Per ulteriori informazioni sulle cifrature e per assicurarti che la tua configurazione sia conforme alla tua politica di sicurezza: assicurati di controllare la documentazione di openssl.
SELinux
Per imporre ulteriori livelli di sicurezza mediante controlli di accesso obbligatori (MAC), è consigliabile implementare SELinux. SELinux è implementato in molte distribuzioni Linux popolari e ulteriori informazioni sull'utilizzo di esso e Amanda Enterprise in tandem possono essere trovate nell'articolo SELinux e Amanda Enterprise.