Amanda Enterprise Server Meningkatkan Konfigurasi Keselamatan

Artikel ini adalah untuk Amanda Enterprise (AE)

Keselamatan maklumat menjadi semakin penting di semua peringkat, dari perniagaan kecil, sederhana, perusahaan, universiti dan juga pengguna rumah.

Melumpuhkan Pengalihan ICMP

Pengguna yang berniat jahat boleh menggunakan mesej permintaan ICMP yang dibuat khas untuk melancarkan serangan Penolakan Perkhidmatan terhadap rangkaian. Sekiranya pengalihan ICMP tidak digunakan dalam reka bentuk rangkaian anda untuk mengemas kini jadual laluan dan pelayan sandaran juga tidak berfungsi sebagai penghala atau gerbang maka ICMP Redirect menerima dan mengirim pesan harus dinonaktifkan. Sangat mudah untuk melumpuhkan pengalihan ICMP di Linux (dan banyak sistem operasi seperti Unix) dengan menggunakan sistem fail proc (procfs) dan procfs itu sendiri paling mudah untuk digunakan melalui antara muka seperti sysctl.

Melumpuhkan Pengalihan ICMP Terima dan Hantar pada waktu runtime untuk semua antaramuka dilakukan dengan sysctl dengan mengeluarkan perintah berikut.

Melumpuhkan Pengalihan ICMP untuk IPv4 pada waktu runtime:

Root@host# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0

Melumpuhkan Pengalihan ICMP untuk IPv6 pada waktu runtime:

Root@host# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv6.conf.all.send_redirects = 0

Sekiranya anda ingin menentukan antara muka, misalnya eth0, maka anda akan mengganti 'semua' dalam contoh di atas dengan nama antara muka. Yaitu:

Root@host# /sbin/sysctl -w net.ipv4.conf.et0.accept_redirects = 0

Ini, bagaimanapun, adalah kaedah yang buruk kerana perubahan tidak akan berterusan untuk reboot. Lebih baik mengubah fail /etc/sysctl.conf untuk perubahan tetap jika ICMP Redirects tidak diterima dan dihantar.

Mengubah sysctl.conf untuk sistem operasi seperti RHEL dan SLES:

# Untuk IPv4
net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0

# Untuk IPv6
net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.all.send_redirects = 0

Mengubah sysctl.conf untuk sistem operasi seperti Ubuntu dan Debian:

# Untuk IPv4
net / ipv4 / conf / all / accept_redirects = 0 bersih / ipv4 / conf / all / send_redirects = 0

# Untuk IPv6
net / ipv6 / conf / all / accept_redirects = 0 bersih / ipv6 / conf / all / send_redirects = 0

Konfigurasi Apache

Zmanda Management Console (ZMC) berkuasa Pelayan HTTP Apache (httpd). Dengan demikian, semua pertimbangan keselamatan yang berlaku untuk pelayan HTTP pengeluaran lain juga berlaku untuk ZMC. Fail konfigurasi untuk contoh Zmanda httpd dapat ditemukan di direktori / opt / zmanda / amanda / apache2 / pada sistem file.

Zmanda bekerja dengan tekun untuk memastikan konfigurasi lalai dari httpd selamat, tetapi penting untuk terus mengetahui Kemas kini Keselamatan Apache juga.

Beberapa masalah umum yang mungkin anda alami jika menggunakan versi Amanda Enterprise yang lebih lama termasuk:

Sijil Pelayan X.509

Zmanda tidak dibungkus dengan sijil pelayan X.509. Sekiranya pengguna ingin melaksanakan X.509 maka pengguna perlu membeli atau dihasilkan untuk digunakan dengan Pelayan HTTP Apache.

httpd.conf

Dalam beberapa versi lama Zmanda, anda mungkin mendapati bahawa header respons HTTP Set-Cookie tidak ada HttpOnly. Tambahkan entri berikut di httpd.conf:

Pengeditan pengepala Set-Cookie ^ (. *) $ 1; HttpOnly; Secure

Mulakan semula ZMC menggunakan: /etc/init.d/zmc_aee mulakan semula.

ssl.conf

Dalam versi lama Zmanda, anda mungkin ingin meningkatkan kekuatan cipher yang digunakan, dan menguatkan keutamaannya. Cari baris berikut di ssl.conf dan sama ada komen atau hapuskannya:

SSLCipherSuite SEMUA:! ANULL:! ADH:! ENULL:! RENDAH:! MEDIUM:! EXP: RC4 + RSA: + TINGGI

Dengan baris sebelumnya dikomentari atau dikeluarkan, tambahkan dua baris berikut:

SSLHonorCipherOrder On SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS

Untuk maklumat tambahan mengenai cipher, dan untuk memastikan bahawa konfigurasi anda mematuhi polisi keselamatan anda: pastikan untuk memeriksa dokumentasi openssl.

SELinux

Untuk menegakkan tahap keselamatan tambahan melalui kawalan akses mandatori (MAC), disarankan untuk menerapkan SELinux. SELinux diimplementasikan dalam banyak distribusi Linux yang popular dan maklumat tambahan mengenai penggunaannya dan Amanda Enterprise bersama-sama boleh didapati dalam artikel SELinux dan Amanda Enterprise.

Apakah Perasaan anda

Masih tersekat? Bagaimana kita boleh menolong?

pelan	Perniagaan	Perniagaan Plus	Enterprise
Ini untuk siapa?	Perniagaan kecil melindungi data dengan sandaran 3-2-1-1	Perniagaan yang melindungi IT kritikal beban kerja dan data	Penyelesaian yang disesuaikan untuk perusahaan dan persekitaran yang kompleks
Harga
Pelesenan Zmanda One (Setiap pelayan, VM & DB)	$ 3.99 / bulan	$ 5.99 / bulan	Adat
Setiap TB untuk NAS dan sandaran perkongsian fail. Percuma 10 TB pertama	$ 4.99 / TB / bulan	$ 5.99 / TB / bulan	Adat
Sandaran Microsoft 365		$ 1.99 / pengguna / bulan	Adat
Harga setiap TB Storan Awan Zmanda	$ 5.99 / TB / bulan	$ 6.99 / TB / bulan	Adat
Ciri-ciri
Sandaran Linux
Sandaran Windows
Sandaran pangkalan data
Sandaran mesin maya
NAS/Fail berkongsi sandaran
Storan Awan Zmanda
Perlindungan ransomware
Sandaran Microsoft 365
Sandaran tambahan selamanya
Pemulihan bencana
Menyekat
Penyahduplikasian sebelah pelanggan
SSO
Pilihan penempatan lanjutan
Skrip automasi tersuai
Peringkat penggunaan tersuai
Khidmat Bantuan
Sokongan teknikal	Standard	Premium	Premium
*24 7 Sokongan**
Perkhidmatan profesional disertakan		10 jam	Adat
Latihan disertakan		8 jam	Adat
Pengurus akaun berdedikasi
Perundingan pakar & reka bentuk
Perkhidmatan profesional tambahan (sejam)	$ 200 / jam	$ 200 / jam	$ 200 / jam

Sandaran dan Pemulihan

Dokumentasi teknikal