Amanda EnterpriseServerのセキュリティ構成

Amanda EnterpriseServerの強化されたセキュリティ構成

情報セキュリティは、中小企業、企業、大学、さらにはホームユーザーに至るまで、あらゆるレベルでますます重要になっています。 ランサムウェアやその他の悪意のあるソフトウェアのような最新のものでは、データを頻繁にバックアップすることがこれまで以上に重要になっています。 したがって、環境内のバックアップの促進を担当するサーバー自体を保護することも同様に重要です。

ICMPリダイレクトを無効にする

悪意のあるユーザーは、特別に細工されたICMP要求メッセージを使用して、ネットワークに対してサービス拒否攻撃を仕掛けることができます。 ネットワークアーキテクチャでICMPリダイレクトを使用してルートテーブルを更新しておらず、バックアップサーバーがルーターまたはゲートウェイとしても機能していない場合は、バックアップサーバーでICMPリダイレクトの承認および送信メッセージを無効にする必要があります。

Linux(および他の多くのUnixライクなオペレーティングシステム)では、procファイルシステム(procfs)を使用してICMPリダイレクトを無効にするのは簡単で、procfs自体はsysctlなどのインターフェイスを介して操作するのが最も簡単です。

実行時にICMPリダイレクトの受け入れと送信を無効にする インターフェイスは、次のコマンドを発行することにより、sysctlで実行されます。

 

実行時にIPv4のICMPリダイレクトを無効にする:

Root@host# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0

Root@host# /sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0

 

実行時にIPv6のICMPリダイレクトを無効にする:

Root@host# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects = 0

Root@host# /sbin/sysctl -w net.ipv6.conf.all.send_redirects = 0

eth0などのインターフェースを指定する場合は、上記の例の「all」を特定のインターフェースの名前に置き換えます。 すなわち:

root@host# /sbin/sysctl -w net.ipv4.conf。eth0.accept_redirects = 0

実行時にICMPを動的に無効にすることは、変更が再起動まで持続しないため、やや貧弱な方法です。 ICMPリダイレクトの受け入れと送信が必要ない場合は、/ etc /sysctl.confファイルを変更して永続的に変更することをお勧めします。 注:前述のように、次の例では、「all」のインスタンスを特定のネットワークインターフェースの名前に置き換えることができます。

RHELのようなおよびSLESのようなオペレーティングシステム用のsysctl.confの変更:

#IPv4の場合

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

#IPv6の場合

net.ipv6.conf.all.accept_redirects = 0

net.ipv6.conf.all.send_redirects = 0

UbuntuおよびDebianのようなオペレーティングシステム用のsysctl.confの変更:

#IPv4の場合

net / ipv4 / conf / all / accept_redirects = 0

net / ipv4 / conf / all / send_redirects = 0

#IPv6の場合

net / ipv6 / conf / all / accept_redirects = 0

net / ipv6 / conf / all / send_redirects = 0

次のコマンドを使用してsysctl.confファイルを「ロード」することにより、再起動せずに実行時にsysctl.confを変更し、設定を更新することができます。

ルート@ホスト番号 /sbin/sysctl -p

procfsやsysctlに関する追加のドキュメントについては、システムのそれぞれのマニュアルページを参照してください。

古いバージョンのAmandaEnterpriseを使用する場合の懸念事項は次のとおりです。

X.509サーバー証明書

ZmandaにはX.509サーバー証明書が同梱されていません。 ユーザーがX.509証明書を実装する場合は、ApacheHTTPサーバーで使用するために購入するか生成する必要があります。

httpd.conf

一部の古いバージョンのZmandaでは、Set-CookieHTTP応答ヘッダーにHttpOnlyがない場合があります。

httpd.confに次のエントリを追加します。

ヘッダー編集セット-Cookie ^(。*)$ $ 1; HttpOnly; Secure

/etc/init.d/zmc_aeerestartを使用してZMCを再起動します。

ssl.conf

Zmandaの古いバージョンでは、使用される暗号の強度を高め、それらの優先順位を適用したい場合があります。 ssl.confで次の行を見つけて、コメントアウトするか削除します。

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!MEDIUM:!EXP:RC4 + RSA:+ HIGH

前の行をコメントアウトまたは削除した状態で、次のXNUMX行を追加します。

SSLHonorCipherOrderオン

SSLCipherSuite ECDH + AESGCM:DH + AESGCM:ECDH + AES256:DH + AES256:ECDH + AES128:DH + AES:RSA + AESGCM:RSA + AES:!aNULL:!MD5:!DSS

使用可能な暗号に関する追加情報、および構成がセキュリティポリシーに準拠していることを確認するには、次のドキュメントを確認してください。 OpenSSL.org.


他のトピックを探す