ブログ

Amanda Enterprise Serverセキュリティ強化構成

情報セキュリティは、中小企業、企業、大学、さらにはホームユーザーに至るまで、あらゆるレベルでますます重要になっています。ランサムウェアやその他の悪意のあるソフトウェアのような現代では、データを頻繁にバックアップすることがこれまで以上に重要です。したがって、環境内でのバックアップの促進を担当するサーバー自体が保護されていることが不可欠です。

ICMPリダイレクトの無効化

悪意のあるユーザーは、特別に細工したICMP要求メッセージを使用して、ネットワークに対してサービス拒否攻撃を仕掛けることができます。ネットワークアーキテクチャでICMPリダイレクトがルートテーブルの更新に使用されておらず、バックアップサーバーがルーターまたはゲートウェイとしても機能していない場合:バックアップサーバーでICMPリダイレクトの受け入れおよび送信メッセージを無効にする必要があります。

Linux(および他の多くのUnixライクなオペレーティングシステム)では、procファイルシステム(procfs)を使用してICMPリダイレクションを無効にするのは簡単です。また、procfs自体は、sysctlのようなインターフェースを介して操作するのが最も簡単です。

の実行時にICMPリダイレクトの受け入れと送信を無効にする すべて インターフェースは、以下のコマンドを発行することにより、sysctlで実行されます。

 

実行時のIPv4のICMPリダイレクトの無効化:

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.accept_redirects = 0

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.send_redirects = 0

 

実行時のIPv6のICMPリダイレクトの無効化:

Root @ host# / sbin / sysctl -w net.ipv6.conf.all.accept_redirects = 0

Root @ host# / sbin / sysctl -w net.ipv6.conf.all.send_redirects = 0

eth0などのインターフェースを指定する場合は、上記の例の「all」を特定のインターフェースの名前に置き換えます。すなわち:

Root @ host# / sbin / sysctl -w net.ipv4.conf。eth0.accept_redirects = 0

実行時にICMPを動的に無効にすることは、変更が再起動まで持続されないため、やや不十分な方法です。 ICMPリダイレクトの受け入れと送信が不要な場合は、永続的な変更のために/etc/sysctl.confファイルを変更することをお勧めします。注:上記のように、以下の例では、「all」のインスタンスを特定のネットワークインターフェイスの名前に置き換えることができます。

RHELのようなオペレーティングシステムとSLESのようなオペレーティングシステムのsysctl.confを変更します。

IPv4の#

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

IPv6の#

net.ipv6.conf.all.accept_redirects = 0

net.ipv6.conf.all.send_redirects = 0

UbuntuおよびDebianのようなオペレーティングシステム用のsysctl.confの変更:

IPv4の#

net / ipv4 / conf / all / accept_redirects = 0

net / ipv4 / conf / all / send_redirects = 0

IPv6の#

net / ipv6 / conf / all / accept_redirects = 0

net / ipv6 / conf / all / send_redirects = 0

次のコマンドを使用してsysctl.confファイルを「ロード」することにより、再起動せずに実行時にsysctl.confを変更して設定を更新できます。

Root @ host# / sbin / sysctl -p

procfsやsysctlの詳細については、システムのそれぞれのmanページを参照してください。

古いバージョンのAmanda Enterpriseを使用する場合の懸念事項には以下が含まれます:

X.509サーバー証明書

Zmandaには、X.509サーバー証明書がパッケージされていません。ユーザーがX.509証明書を実装する場合は、購入するか、Apache HTTPサーバーで使用するために生成する必要があります。

httpd.conf

Zmandaの一部の古いバージョンでは、Set-Cookie HTTP応答ヘッダーにHttpOnlyがない場合があります。

httpd.confに次のエントリを追加します。

ヘッダー編集Set-Cookie ^(。*)$ $1; HttpOnly; Secure

/etc/init.d/zmc_aee restartを使用してZMCを再起動します

ssl.conf

Zmandaの古いバージョンでは、使用される暗号の強度を高め、それらの優先度を強制することができます。 ssl.confで次の行を見つけ、コメント化するか削除します。

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!MEDIUM:!EXP:RC4 + RSA:+ HIGH

前の行をコメント化または削除して、次の2行を追加します。

SSLHonorCipherOrder On

SSLCipherSuite ECDH + AESGCM:DH + AESGCM:ECDH + AES256:DH + AES256:ECDH + AES128:DH + AES:RSA + AESGCM:RSA + AES:!aNULL:!MD5:!DSS

利用可能な暗号に関する追加情報、および構成がセキュリティポリシーに準拠していることを確認するには、次のドキュメントを確認してください。 OpenSSL.org.

ディスカッションに参加

jaJapanese
en_USEnglish fr_FRFrench it_ITItalian es_ESSpanish de_DEGerman pt_BRPortuguese sv_SESwedish tr_TRTurkish nl_NLDutch pl_PLPolish zh_TWChinese id_IDIndonesian ko_KRKorean ms_MYMalay thThai jaJapanese