- Dit artikel is voor Amanda Enterprise (AE)
Informatiebeveiliging is in toenemende mate van cruciaal belang geworden op alle niveaus, van kleine tot middelgrote bedrijven, ondernemingen, universiteiten en zelfs thuisgebruikers.
ICMP-omleidingen uitschakelen
Kwaadwillende gebruikers kunnen speciaal vervaardigde ICMP-verzoekberichten gebruiken om Denial of Service-aanvallen op het netwerk uit te voeren. Als ICMP-omleidingen niet worden gebruikt in uw netwerkontwerp om routetabellen bij te werken en de back-upserver niet ook als router of gateway fungeert, moet ICMP-omleiding accepteren en berichten verzenden worden uitgeschakeld. Het is eenvoudig om ICMP-omleiding in Linux (en vele andere Unix-achtige besturingssystemen) uit te schakelen door middel van het proc-bestandssysteem (procfs) en procfs zelf is het gemakkelijkst om mee te werken via een interface zoals sysctl.
ICMP-omleidingen uitschakelen Accepteren en verzenden tijdens runtime voor allen interfaces wordt gedaan met sysctl door de volgende commando's te geven.
ICMP-omleidingen voor IPv4 tijdens runtime uitschakelen:
Root@host# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0
ICMP-omleidingen voor IPv6 tijdens runtime uitschakelen:
Root@host# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv6.conf.all.send_redirects = 0
Als je een interface wilt specificeren, bijvoorbeeld eth0, dan zou je 'all' in de bovenstaande voorbeelden vervangen door de naam van de interface. D.w.z:
Root@host# /sbin/sysctl -w net.ipv4.conf.eth0.accept_redirects = 0
Dit is echter een slechte methode omdat de wijzigingen niet blijvend zijn na het opnieuw opstarten. Het is beter om het bestand /etc/sysctl.conf te wijzigen voor een permanente wijziging als ICMP-omleidingen accepteren en verzenden niet vereist zijn.
Sysctl.conf wijzigen voor RHEL-achtige en SLES-achtige besturingssystemen:
# Voor IPv4 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 # Voor IPv6 net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.all.send_redirects = 0
Sysctl.conf wijzigen voor Ubuntu en Debian-achtige besturingssystemen:
# Voor IPv4 net / ipv4 / conf / all / accept_redirects = 0 net / ipv4 / conf / all / send_redirects = 0 # Voor IPv6 net / ipv6 / conf / all / accept_redirects = 0 net / ipv6 / conf / all / send_redirects = 0
Apache-configuratie
De Zmanda Management Console (ZMC) voedt de SlimCleaner (httpd). Als zodanig zijn alle beveiligingsoverwegingen die van toepassing zouden zijn op elke andere productie-HTTP-server ook van toepassing op de ZMC. De configuratiebestanden voor de Zmanda httpd-instantie zijn te vinden in de directory / opt / zmanda / amanda / apache2 / op het bestandssysteem.
Zmanda werkt hard om ervoor te zorgen dat de standaardconfiguratie van httpd veilig is, maar het is belangrijk om op de hoogte te blijven van Apache-beveiligingsupdates .
Enkele veelvoorkomende problemen die u kunt ondervinden als u een oudere versie van Amanda Enterprise gebruikt, zijn onder meer:
X.509-servercertificaten
Zmanda wordt niet geleverd met een X.509-servercertificaat. Als een gebruiker een X.509 wil implementeren, moet deze worden aangeschaft of anderszins gegenereerd voor gebruik met de Apache HTTP-server.
httpd.conf
In sommige oudere versies van Zmanda kan het zijn dat de Set-Cookie HTTP-responsheader HttpOnly mist. Voeg het volgende item toe aan httpd.conf:
Header bewerken Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure
Start de ZMC opnieuw met: /etc/init.d/zmc_aee herstart.
ssl.conf
In oudere versies van Zmanda wilt u misschien de sterkte van de gebruikte cijfers vergroten en hun prioriteit afdwingen. Zoek de volgende regel in ssl.conf en becommentarieer deze of verwijder deze:
SSLCipherSuite ALL:! ANULL:! ADH:! ENULL:! LAAG:! GEMIDDELD:! EXP: RC4 + RSA: + HOOG
Met de vorige regel uitgecommentarieerd of verwijderd, voegt u de volgende twee regels toe:
SSLHonorCipherOrder op SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS
Voor meer informatie over de cijfers en om ervoor te zorgen dat uw configuratie in overeenstemming is met uw beveiligingsbeleid: raadpleegt u de documentatie van openssl.
SELinux
Om extra beveiligingsniveaus af te dwingen door middel van verplichte toegangscontrole (MAC), is het raadzaam om SELinux te implementeren. SELinux is geïmplementeerd in veel populaire Linux-distributies en aanvullende informatie over het gebruik ervan en Amanda Enterprise in tandem is te vinden in het artikel SELinux en Amanda Enterprise.
