Informatiebeveiliging is in toenemende mate van cruciaal belang geworden op alle niveaus, van kleine tot middelgrote bedrijven, ondernemingen, universiteiten en zelfs thuisgebruikers. Met moderne ransomware en andere kwaadaardige software is het belangrijker dan ooit om regelmatig een back-up van uw gegevens te maken. Daarom is het net zo belangrijk dat de server die verantwoordelijk is voor het maken van back-ups in uw omgeving, zelf wordt beschermd.
ICMP-omleidingen uitschakelen
Kwaadwillende gebruikers kunnen speciaal vervaardigde ICMP-verzoekberichten gebruiken om Denial of Service-aanvallen op het netwerk uit te voeren. Als ICMP-omleidingen niet worden gebruikt in uw netwerkarchitectuur om routetabellen bij te werken en de back-upserver niet ook als router of gateway fungeert: dan moet ICMP-omleiding accepteren en berichten verzenden worden uitgeschakeld op de back-upserver.
Het is eenvoudig om ICMP-omleiding in Linux (en vele andere Unix-achtige besturingssystemen) uit te schakelen door middel van het proc-bestandssysteem (procfs), en procfs zelf is het gemakkelijkst om mee te werken via een interface zoals sysctl.
ICMP-omleidingen uitschakelen Accepteren en verzenden tijdens runtime voor allen interfaces wordt gedaan met sysctl door de volgende commando's te geven.
ICMP-omleidingen voor IPv4 tijdens runtime uitschakelen:
Root@host# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0
Root@host# /sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0
ICMP-omleidingen voor IPv6 tijdens runtime uitschakelen:
Root@host# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects = 0
Root@host# /sbin/sysctl -w net.ipv6.conf.all.send_redirects = 0
Als u een interface wilt specificeren, bijvoorbeeld eth0, dan vervangt u 'all' in de bovenstaande voorbeelden door de naam van de specifieke interface. D.w.z:
Root@host# /sbin/sysctl -w net.ipv4.conf.eth0.accept_redirects = 0
Het dynamisch uitschakelen van ICMP tijdens runtime is een ietwat slechte methode omdat wijzigingen niet blijvend zijn na opnieuw opstarten. Het is beter om het bestand /etc/sysctl.conf te wijzigen voor een permanente wijziging als ICMP-omleidingen accepteren en verzenden niet vereist is. Opmerking: zoals hierboven vermeld, kan elk exemplaar van 'all' worden vervangen door de naam van een specifieke netwerkinterface in de volgende voorbeelden.
Sysctl.conf wijzigen voor RHEL-achtige en SLES-achtige besturingssystemen:
# Voor IPv4
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
# Voor IPv6
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.all.send_redirects = 0
Sysctl.conf wijzigen voor Ubuntu en Debian-achtige besturingssystemen:
# Voor IPv4
net/ipv4/conf/all/accept_redirects = 0
net/ipv4/conf/all/send_redirects = 0
# Voor IPv6
net/ipv6/conf/all/accept_redirects = 0
net/ipv6/conf/all/send_redirects = 0
Het is mogelijk om de sysctl.conf te wijzigen en de instellingen tijdens runtime bij te werken zonder opnieuw op te starten door middel van het "laden" van het bestand sysctl.conf met het commando:
Root@host# /sbin/sysctl -p
Raadpleeg voor aanvullende documentatie over procfs en/of sysctl hun respectievelijke man-pagina's op uw systeem.
Enkele zorgen die u mogelijk heeft als u een oudere versie van Amanda Enterprise gebruikt, zijn onder meer:
X.509-servercertificaten
Zmanda wordt niet geleverd met een X.509-servercertificaat. Als een gebruiker een X.509-certificaat wil implementeren, moet het worden gekocht of op een andere manier worden gegenereerd voor gebruik met de Apache HTTP-server.
httpd.conf
In sommige oudere versies van Zmanda kan het zijn dat de Set-Cookie HTTP-antwoordheader HttpOnly mist.
Voeg het volgende item toe aan httpd.conf:
Header bewerken Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure
Herstart de ZMC met behulp van: /etc/init.d/zmc_aee restart
ssl.conf
In oudere versies van Zmanda wilt u misschien de sterkte van de gebruikte cijfers vergroten en hun prioriteit afdwingen. Zoek de volgende regel in ssl.conf en becommentarieer deze of verwijder deze:
SSLCipherSuite ALL:! ANULL:! ADH:! ENULL:! LAAG:! GEMIDDELD:! EXP: RC4 + RSA: + HOOG
Met de vorige regel uitgecommentarieerd of verwijderd, voegt u de volgende twee regels toe:
SSLHonorCipherBestelling aan
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
Voor aanvullende informatie over beschikbare cijfers en om ervoor te zorgen dat uw configuratie voldoet aan uw beveiligingsbeleid: raadpleeg de documentatie van OpenSSL.org.
