Blog

Amanda Enterprise Server verbeterde beveiligingsconfiguraties

Informatiebeveiliging is in toenemende mate van cruciaal belang geworden op alle niveaus, van kleine tot middelgrote bedrijven, ondernemingen, universiteiten en zelfs thuisgebruikers. Met moderne ransomware en andere kwaadaardige software is het belangrijker dan ooit om regelmatig een back-up van uw gegevens te maken. Daarom is het net zo belangrijk dat de server die verantwoordelijk is voor het maken van back-ups in uw omgeving, zelf wordt beschermd.

ICMP-omleidingen uitschakelen

Kwaadwillende gebruikers kunnen speciaal vervaardigde ICMP-verzoekberichten gebruiken om Denial of Service-aanvallen op het netwerk uit te voeren. Als ICMP-omleidingen niet worden gebruikt in uw netwerkarchitectuur om routetabellen bij te werken en de back-upserver niet ook als router of gateway fungeert: dan moet ICMP-omleiding accepteren en berichten verzenden worden uitgeschakeld op de back-upserver.

Het is eenvoudig om ICMP-omleiding in Linux (en vele andere Unix-achtige besturingssystemen) uit te schakelen door middel van het proc-bestandssysteem (procfs), en procfs zelf is het gemakkelijkst om mee te werken via een interface zoals sysctl.

ICMP-omleidingen uitschakelen Accepteren en verzenden tijdens runtime voor allemaal interfaces wordt gedaan met sysctl door de volgende commando's te geven.

 

ICMP-omleidingen voor IPv4 tijdens runtime uitschakelen:

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.accept_redirects = 0

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.send_redirects = 0

 

ICMP-omleidingen voor IPv6 tijdens runtime uitschakelen:

Root @ host# / sbin / sysctl -w net.ipv6.conf.all.accept_redirects = 0

Root @ host# / sbin / sysctl -w net.ipv6.conf.all.send_redirects = 0

Als je een interface zou willen specificeren, bijvoorbeeld eth0, dan zou je 'all' in de bovenstaande voorbeelden vervangen door de naam van de specifieke interface. D.w.z:

Root @ host# / sbin / sysctl -w net.ipv4.conf.eth0.accept_redirects = 0

Het dynamisch uitschakelen van ICMP tijdens runtime is een ietwat slechte methode omdat wijzigingen niet blijvend zijn na opnieuw opstarten. Het is beter om het bestand /etc/sysctl.conf te wijzigen voor een permanente wijziging als ICMP-omleidingen accepteren en verzenden niet vereist is. Opmerking: zoals hierboven vermeld, kan in de volgende voorbeelden elke instantie van 'all' worden vervangen door de naam van een specifieke netwerkinterface.

Sysctl.conf wijzigen voor RHEL-achtige en SLES-achtige besturingssystemen:

# voor IPv4

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

# voor IPv6

net.ipv6.conf.all.accept_redirects = 0

net.ipv6.conf.all.send_redirects = 0

Sysctl.conf wijzigen voor Ubuntu en Debian-achtige besturingssystemen:

# voor IPv4

net / ipv4 / conf / all / accept_redirects = 0

net / ipv4 / conf / all / send_redirects = 0

# voor IPv6

net / ipv6 / conf / all / accept_redirects = 0

net / ipv6 / conf / all / send_redirects = 0

Het is mogelijk om sysctl.conf te wijzigen en de instellingen bij te werken tijdens runtime zonder opnieuw op te starten door het sysctl.conf-bestand te “laden” met het commando:

Root @ host# / sbin / sysctl -p

Voor aanvullende documentatie over procfs en / of sysctl verwijzen wij u naar hun respectievelijke man-pagina's op uw systeem.

Enkele zorgen die u kunt hebben als u een oudere versie van Amanda Enterprise gebruikt, zijn onder meer:

X.509-servercertificaten

Zmanda wordt niet geleverd met een X.509-servercertificaat. Als een gebruiker een X.509-certificaat wil implementeren, moet het worden gekocht of anderszins worden gegenereerd voor gebruik met de Apache HTTP-server.

httpd.conf

In sommige oudere versies van Zmanda kan het zijn dat de Set-Cookie HTTP-responsheader HttpOnly mist.

Voeg het volgende item toe aan httpd.conf:

Header bewerken Set-Cookie ^ (. *) $ $1; HttpOnly; Beveiligd

Start de ZMC opnieuw met: /etc/init.d/zmc_aee herstart

ssl.conf

In oudere versies van Zmanda wilt u misschien de sterkte van de gebruikte cijfers vergroten en hun prioriteit afdwingen. Zoek de volgende regel in ssl.conf en becommentarieer deze of verwijder deze:

SSLCipherSuite ALL:! ANULL:! ADH:! ENULL:! LOW:! MEDIUM:! EXP: RC4 + RSA: + HIGH

Met de vorige regel uitgecommentarieerd of verwijderd, voegt u de volgende twee regels toe:

SSLHonorCipherOrder ingeschakeld

SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS

Voor meer informatie over beschikbare cijfers en om ervoor te zorgen dat uw configuratie voldoet aan uw beveiligingsbeleid: raadpleeg de documentatie van OpenSSL.org.

Laat een antwoord achter

nl_NLDutch
en_USEnglish fr_FRFrench it_ITItalian es_ESSpanish de_DEGerman pt_BRPortuguese sv_SESwedish tr_TRTurkish jaJapanese pl_PLPolish zh_TWChinese id_IDIndonesian ko_KRKorean ms_MYMalay thThai nl_NLDutch