- 이 기사는 아만다 엔터프라이즈(AE)
정보 보안은 중소기업, 대기업, 대학, 심지어 가정 사용자까지 모든 수준에서 점점 더 중요 해지고 있습니다.
ICMP 리디렉션 비활성화
악의적 인 사용자는 특수하게 조작 된 ICMP 요청 메시지를 사용하여 네트워크에 대한 서비스 거부 공격을 시작할 수 있습니다. 라우팅 테이블을 업데이트하기 위해 네트워크 설계에서 ICMP 리디렉션이 사용되지 않고 백업 서버가 라우터 또는 게이트웨이 역할도하지 않는 경우 ICMP 리디렉션 수락 및 전송 메시지를 비활성화해야합니다. proc 파일 시스템 (procfs)을 사용하여 Linux (및 기타 여러 Unix 유사 운영 체제)에서 ICMP 리디렉션을 비활성화하는 것은 간단하며 procfs 자체는 sysctl과 같은 인터페이스를 통해 작업하는 것이 가장 쉽습니다.
ICMP 리디렉션을 사용하지 않도록 설정하면 런타임시 수락 및 전송 모든 인터페이스는 다음 명령을 실행하여 sysctl로 수행됩니다.
런타임시 IPv4에 대한 ICMP 리디렉션 비활성화 :
Root@host# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0
런타임시 IPv6에 대한 ICMP 리디렉션 비활성화 :
Root@host# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv6.conf.all.send_redirects = 0
인터페이스 (예 : eth0)를 지정하려면 위의 예에서 'all'을 인터페이스 이름으로 바꿉니다. 즉 :
Root@host# /sbin/sysctl -w net.ipv4.conf.eth0.수락_리디렉션 = 0
그러나 이는 재부팅시 변경 사항이 지속되지 않기 때문에 좋지 않은 방법입니다. ICMP 리디렉션 수락 및 전송이 필요하지 않은 경우 영구적 인 변경을 위해 /etc/sysctl.conf 파일을 수정하는 것이 좋습니다.
RHEL 유사 및 SLES 유사 운영 체제 용 sysctl.conf 수정 :
# IPv4의 경우 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 # IPv6의 경우 net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.all.send_redirects = 0
Ubuntu 및 Debian 유사 운영 체제 용 sysctl.conf 수정 :
# IPv4의 경우 net / ipv4 / conf / all / accept_redirects = 0 net / ipv4 / conf / all / send_redirects = 0 # IPv6의 경우 net / ipv6 / conf / all / accept_redirects = 0 net / ipv6 / conf / all / send_redirects = 0
아파치 구성
ZMC (Zmanda Management Console)는 Apache HTTP Server (httpd). 따라서 다른 프로덕션 HTTP 서버에 적용 할 수있는 모든 보안 고려 사항은 ZMC에도 적용됩니다. Zmanda httpd 인스턴스의 구성 파일은 파일 시스템의 / opt / zmanda / amanda / apache2 / 디렉토리에서 찾을 수 있습니다.
Zmanda는 httpd의 기본 구성이 안전한지 확인하기 위해 부지런히 작동하지만 최신 상태로 유지하는 것이 중요합니다. Apache 보안 업데이트 뿐만 아니라.
이전 버전의 Amanda Enterprise를 사용하는 경우 발생할 수있는 몇 가지 일반적인 문제는 다음과 같습니다.
X.509 서버 인증서
Zmanda는 X.509 서버 인증서와 함께 제공되지 않습니다. 사용자가 X.509를 구현하려면 Apache HTTP Server와 함께 사용하기 위해 구입하거나 생성해야합니다.
httpd.conf를
일부 이전 버전의 Zmanda에서는 Set-Cookie HTTP 응답 헤더에 HttpOnly가 누락되어있을 수 있습니다. httpd.conf에 다음 항목을 추가하십시오.
헤더 편집 Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure
/etc/init.d/zmc_aee restart를 사용하여 ZMC를 다시 시작합니다.
SSL.conf
이전 버전의 Zmanda에서는 사용되는 암호의 강도를 높이고 우선 순위를 적용 할 수 있습니다. ssl.conf에서 다음 행을 찾아 주석 처리하거나 제거하십시오.
SSLCipherSuite ALL :! aNULL :! ADH :! eNULL :! LOW :! MEDIUM :! EXP : RC4 + RSA : + HIGH
이전 줄을 주석 처리하거나 제거한 상태에서 다음 두 줄을 추가합니다.
SSLCipherSuite의 SSLHonorCipherOrder ECDH + AESGCM : DH + AESGCM : ECDH + AES256 : DH + AES256 : ECDH + AES128 : DH + AES : RSA + AESGCM : RSA + AES :! aNULL :! MD5 :! DSS
암호에 대한 추가 정보와 구성이 보안 정책을 준수하는지 확인하려면 openssl의 문서를 확인하십시오.
SELinux를
필수 액세스 제어 (MAC)를 통해 추가 보안 수준을 적용하려면 SELinux를 구현하는 것이 좋습니다. SELinux는 많은 인기있는 Linux 배포판에 구현되어 있으며, SELinux와 Amanda Enterprise를 함께 사용하는 것과 관련된 추가 정보는 기사에서 찾을 수 있습니다. SELinux 및 Amanda Enterprise.
