Blog

Amanda Enterprise Server Meningkatkan Konfigurasi Keselamatan

Keselamatan maklumat menjadi sangat penting di semua peringkat, dari perniagaan kecil, sederhana, perusahaan, universiti dan juga pengguna rumah. Dengan ransomware moden dan perisian jahat lain, adalah lebih penting daripada selalu membuat sandaran data anda dengan kerap. Oleh itu, sangat penting bahawa pelayan yang bertanggungjawab untuk memudahkan sandaran di persekitaran anda dilindungi.

Melumpuhkan Pengalihan ICMP

Pengguna yang berniat jahat boleh menggunakan mesej permintaan ICMP yang dibuat khas untuk melancarkan serangan Penolakan Perkhidmatan terhadap rangkaian. Sekiranya pengalihan ICMP tidak digunakan dalam seni bina rangkaian anda untuk mengemas kini jadual laluan dan pelayan sandaran juga tidak bertindak sebagai penghala atau gerbang: maka ICMP Redirect menerima dan mengirim mesej harus dilumpuhkan pada pelayan sandaran.

Sangat mudah untuk melumpuhkan pengalihan ICMP di Linux (dan banyak sistem operasi seperti Unix lain) dengan menggunakan sistem fail proc (procfs), dan procfs itu sendiri adalah yang paling mudah untuk digunakan melalui antara muka seperti sysctl.

Melumpuhkan Pengalihan ICMP Terima dan Hantar pada waktu runtime untuk semua antaramuka dilakukan dengan sysctl dengan mengeluarkan arahan berikut.

 

Melumpuhkan Pengalihan ICMP untuk IPv4 Semasa Runtime:

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.accept_redirects = 0

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.send_redirects = 0

 

Melumpuhkan Pengalihan ICMP untuk IPv6 Semasa Masa Jalan:

Root @ host# / sbin / sysctl -w net.ipv6.conf.all.accept_redirects = 0

Root @ host# / sbin / sysctl -w net.ipv6.conf.all.send_redirects = 0

Sekiranya anda ingin menentukan antara muka, misalnya eth0, maka anda akan mengganti 'semua' dalam contoh di atas dengan nama antara muka tertentu. Yaitu:

Root @ host# / sbin / sysctl -w net.ipv4.conf.et0.accept_redirects = 0

Melumpuhkan ICMP secara dinamik semasa menjalankan adalah kaedah yang agak buruk kerana perubahan tidak akan berterusan untuk reboot. Lebih baik mengubah fail /etc/sysctl.conf untuk perubahan kekal jika pengalihan ICMP menerima dan menghantar tidak diperlukan. Catatan: seperti yang disebutkan di atas, setiap contoh 'semua' dapat diganti dengan nama antarmuka jaringan tertentu dalam contoh berikut.

Mengubah sysctl.conf untuk sistem operasi seperti RHEL dan SLES:

# Untuk IPv4

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

# Untuk IPv6

net.ipv6.conf.all.accept_redirects = 0

net.ipv6.conf.all.send_redirects = 0

Mengubah sysctl.conf untuk sistem operasi seperti Ubuntu dan Debian:

# Untuk IPv4

net / ipv4 / conf / all / accept_redirects = 0

net / ipv4 / conf / all / send_redirects = 0

# Untuk IPv6

net / ipv6 / conf / all / accept_redirects = 0

net / ipv6 / conf / all / send_redirects = 0

Anda boleh mengubah sysctl.conf dan mengemas kini tetapan semasa menjalankan tanpa reboot dengan cara "memuat" fail sysctl.conf dengan perintah:

Root @ host# / sbin / sysctl -p

Untuk dokumentasi tambahan mengenai procfs dan / atau sysctl sila rujuk halaman manual masing-masing di sistem anda.

Beberapa kebimbangan yang mungkin anda miliki jika menggunakan Amanda Enterprise versi lama termasuk:

Sijil Pelayan X.509

Zmanda tidak dibungkus dengan sijil pelayan X.509. Sekiranya pengguna ingin melaksanakan sijil X.509, ia perlu dibeli atau dihasilkan untuk digunakan dengan Pelayan HTTP Apache.

httpd.conf

Dalam beberapa versi Zmanda yang lebih lama, anda mungkin mendapati bahawa header respons HTTP Set-Cookie tiada HttpOnly.

Tambahkan entri berikut di httpd.conf:

Pengeditan tajuk Set-Cookie ^ (. *) $ $1; HttpOnly; Secure

Mulakan semula ZMC menggunakan: /etc/init.d/zmc_aee mulakan semula

ssl.conf

Dalam versi Zmanda yang lebih lama, anda mungkin ingin meningkatkan kekuatan cipher yang digunakan, dan menguatkan keutamaannya. Cari baris berikut di ssl.conf dan sama ada komen atau hapuskannya:

SSLCipherSuite SEMUA:! ANULL:! ADH:! ENULL:! RENDAH:! MEDIUM:! EXP: RC4 + RSA: + TINGGI

Dengan baris sebelumnya yang dikomentari atau dikeluarkan, tambahkan dua baris berikut:

SSLHonorCipherOrder Hidup

SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS

Untuk maklumat tambahan mengenai cipher yang ada, dan untuk memastikan bahawa konfigurasi anda mematuhi dasar keselamatan anda: pastikan untuk memeriksa dokumentasi dari OpenSSL.org.

Sertai Perbincangan

ms_MYMalay
en_USEnglish fr_FRFrench it_ITItalian es_ESSpanish de_DEGerman pt_BRPortuguese sv_SESwedish tr_TRTurkish nl_NLDutch jaJapanese pl_PLPolish zh_TWChinese id_IDIndonesian ko_KRKorean thThai ms_MYMalay