블로그

Amanda Enterprise Server 보안 강화 구성

정보 보안은 중소기업, 대기업, 대학, 심지어 가정 사용자까지 모든 수준에서 점점 더 중요 해지고 있습니다. 랜섬웨어 및 기타 악성 소프트웨어와 같은 최신의 경우 데이터를 자주 백업하는 것이 그 어느 때보 다 중요합니다. 따라서 환경에서 백업을 용이하게하는 서버 자체를 보호하는 것이 중요합니다.

ICMP 리디렉션 비활성화

악의적 인 사용자는 특수하게 조작 된 ICMP 요청 메시지를 사용하여 네트워크에 대한 서비스 거부 공격을 시작할 수 있습니다. 경로 테이블을 업데이트하기 위해 네트워크 아키텍처에서 ICMP 리디렉션이 사용되지 않고 백업 서버가 라우터 또는 게이트웨이 역할도하지 않는 경우 백업 서버에서 ICMP 리디렉션 수락 및 보내기 메시지를 비활성화해야합니다.

proc 파일 시스템 (procfs)을 사용하여 Linux (및 기타 여러 Unix 유사 운영 체제)에서 ICMP 리디렉션을 비활성화하는 것은 간단하며, procfs 자체는 sysctl과 같은 인터페이스를 통해 작업하는 것이 가장 쉽습니다.

ICMP 리디렉션을 사용하지 않도록 설정하면 런타임시 수락 및 전송 모두 인터페이스는 다음 명령을 실행하여 sysctl로 수행됩니다.

 

런타임 중 IPv4에 대한 ICMP 리디렉션 비활성화 :

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.accept_redirects = 0

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.send_redirects = 0

 

런타임 중 IPv6에 대한 ICMP 리디렉션 비활성화 :

Root @ host# / sbin / sysctl -w net.ipv6.conf.all.accept_redirects = 0

Root @ host# / sbin / sysctl -w net.ipv6.conf.all.send_redirects = 0

인터페이스 (예 : eth0)를 지정하려면 위의 예에서 'all'을 특정 인터페이스의 이름으로 바꿉니다. 즉 :

Root @ host# / sbin / sysctl -w net.ipv4.conf.eth0.accept_redirects = 0

런타임 동안 동적으로 ICMP를 비활성화하는 것은 재부팅시 변경 사항이 지속되지 않기 때문에 다소 좋지 않은 방법입니다. ICMP 리디렉션 수락 및 전송이 필요하지 않은 경우 영구적 인 변경을 위해 /etc/sysctl.conf 파일을 수정하는 것이 좋습니다. 참고 : 위에서 언급했듯이 'all'의 모든 인스턴스는 다음 예에서 특정 네트워크 인터페이스의 이름으로 대체 될 수 있습니다.

RHEL 유사 및 SLES 유사 운영 체제 용 sysctl.conf 수정 :

IPv4 용 #

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

IPv6 용 #

net.ipv6.conf.all.accept_redirects = 0

net.ipv6.conf.all.send_redirects = 0

Ubuntu 및 Debian 유사 운영 체제 용 sysctl.conf 수정 :

IPv4 용 #

net / ipv4 / conf / all / accept_redirects = 0

net / ipv4 / conf / all / send_redirects = 0

IPv6 용 #

net / ipv6 / conf / all / accept_redirects = 0

net / ipv6 / conf / all / send_redirects = 0

다음 명령을 사용하여 sysctl.conf 파일을 "로드"하여 재부팅하지 않고 런타임 중에 sysctl.conf를 수정하고 설정을 업데이트 할 수 있습니다.

루트 @ host# / sbin / sysctl -p

procfs 및 / 또는 sysctl에 대한 추가 문서는 시스템의 해당 매뉴얼 페이지를 참조하십시오.

이전 버전의 Amanda Enterprise를 사용하는 경우 발생할 수있는 몇 가지 우려 사항은 다음과 같습니다.

X.509 서버 인증서

Zmanda는 X.509 서버 인증서와 함께 제공되지 않습니다. 사용자가 X.509 인증서를 구현하려면 Apache HTTP Server에서 사용하기 위해 구입하거나 생성해야합니다.

httpd.conf

Zmanda의 일부 이전 버전에서는 Set-Cookie HTTP 응답 헤더에 HttpOnly가 누락 된 것을 발견 할 수 있습니다.

httpd.conf에 다음 항목을 추가하십시오.

헤더 편집 Set-Cookie ^ (. *) $ $1; HttpOnly; Secure

다음을 사용하여 ZMC를 다시 시작합니다. /etc/init.d/zmc_aee restart

ssl.conf

Zmanda의 이전 버전에서는 사용되는 암호의 강도를 높이고 우선 순위를 적용 할 수 있습니다. ssl.conf에서 다음 행을 찾아 주석 처리하거나 제거하십시오.

SSLCipherSuite ALL :! aNULL :! ADH :! eNULL :! LOW :! MEDIUM :! EXP : RC4 + RSA : + HIGH

이전 줄을 주석 처리하거나 제거한 상태에서 다음 두 줄을 추가합니다.

SSLHonorCipherOrder 켜기

SSLCipherSuite ECDH + AESGCM : DH + AESGCM : ECDH + AES256 : DH + AES256 : ECDH + AES128 : DH + AES : RSA + AESGCM : RSA + AES :! aNULL :! MD5 :! DSS

사용 가능한 암호에 대한 추가 정보와 구성이 보안 정책을 준수하는지 확인하려면 다음에서 설명서를 확인하십시오. OpenSSL.org.

답장을 남겨주세요

ko_KRKorean
en_USEnglish fr_FRFrench it_ITItalian es_ESSpanish de_DEGerman pt_BRPortuguese sv_SESwedish tr_TRTurkish nl_NLDutch jaJapanese pl_PLPolish zh_TWChinese id_IDIndonesian ms_MYMalay thThai ko_KRKorean