- この記事は アマンダエンタープライズ(AE)
情報セキュリティは、中小企業、企業、大学、さらにはホームユーザーに至るまで、あらゆるレベルでますます重要になっています。
ICMPリダイレクトを無効にする
悪意のあるユーザーは、特別に細工されたICMP要求メッセージを使用して、ネットワークに対してサービス拒否攻撃を仕掛けることができます。 ネットワーク設計でルートテーブルを更新するためにICMPリダイレクトが使用されておらず、バックアップサーバーがルーターまたはゲートウェイとしても機能していない場合は、ICMPリダイレクトの承認および送信メッセージを無効にする必要があります。 Linux(および他の多くのUnixライクなオペレーティングシステム)では、procファイルシステム(procfs)を使用してICMPリダイレクトを無効にするのは簡単で、procfs自体はsysctlなどのインターフェイスを介して操作するのが最も簡単です。
実行時にICMPリダイレクトの受け入れと送信を無効にする を インターフェイスは、次のコマンドを発行することにより、sysctlで実行されます。
実行時にIPv4のICMPリダイレクトを無効にする:
Root@host# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0
実行時にIPv6のICMPリダイレクトを無効にする:
Root@host# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv6.conf.all.send_redirects = 0
eth0などのインターフェースを指定する場合は、上記の例の「all」をインターフェースの名前に置き換えます。 すなわち:
root@host# /sbin/sysctl -w net.ipv4.conf。eth0。accept_redirects = 0
ただし、変更は再起動まで持続しないため、これは適切な方法ではありません。 ICMPリダイレクトの受け入れと送信が必要ない場合は、/ etc /sysctl.confファイルを変更して永続的に変更することをお勧めします。
RHELのようなおよびSLESのようなオペレーティングシステム用のsysctl.confの変更:
#IPv4の場合 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 #IPv6の場合 net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.all.send_redirects = 0
UbuntuおよびDebianのようなオペレーティングシステム用のsysctl.confの変更:
#IPv4の場合 net / ipv4 / conf / all / accept_redirects = 0 net / ipv4 / conf / all / send_redirects = 0 #IPv6の場合 net / ipv6 / conf / all / accept_redirects = 0 net / ipv6 / conf / all / send_redirects = 0
Apacheの設定
Zmanda管理コンソール(ZMC)は、 Apache HTTP Server (httpd)。 そのため、他の本番HTTPサーバーに適用されるすべてのセキュリティ上の考慮事項はZMCにも適用されます。 Zmanda httpdインスタンスの設定ファイルは、ファイルシステムのディレクトリ/ opt / zmanda / amanda / apache2 /にあります。
Zmandaはhttpdのデフォルト設定が安全であることを確認するために熱心に取り組んでいますが、最新の状態に保つことが重要です Apacheセキュリティアップデート 同様に。
古いバージョンのAmandaEnterpriseを使用する場合に発生する可能性のある一般的な問題には、次のものがあります。
X.509サーバー証明書
ZmandaにはX.509サーバー証明書が同梱されていません。 ユーザーがX.509を実装したい場合は、ApacheHTTPサーバーで使用するために購入するか生成する必要があります。
httpd.conf
一部の古いバージョンのZmandaでは、Set-CookieHTTP応答ヘッダーにHttpOnlyがない場合があります。 httpd.confに次のエントリを追加します。
ヘッダー編集セット-Cookie ^(。*)$ $ 1; HttpOnly; Secure
/etc/init.d/zmc_aeerestartを使用してZMCを再起動します。
ssl.conf
Zmandaの古いバージョンでは、使用される暗号の強度を高め、それらの優先順位を適用したい場合があります。 ssl.confで次の行を見つけて、コメントアウトするか削除します。
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!MEDIUM:!EXP:RC4 + RSA:+ HIGH
前の行をコメントアウトまたは削除した状態で、次のXNUMX行を追加します。
SSLCipherSuiteのSSLHonorCipherOrderECDH + AESGCM:DH + AESGCM:ECDH + AES256:DH + AES256:ECDH + AES128:DH + AES:RSA + AESGCM:RSA + AES:!aNULL:!MD5:!DSS
暗号に関する追加情報、および構成がセキュリティポリシーに準拠していることを確認するには、opensslのドキュメントを確認してください。
SELinuxの
強制アクセス制御(MAC)を使用して追加レベルのセキュリティを適用するには、SELinuxを実装することをお勧めします。 SELinuxは多くの一般的なLinuxディストリビューションに実装されており、SELinuxとAmandaEnterpriseを連携して使用することに関する追加情報は記事にあります。 SELinuxとAmandaEnterprise.