Amanda Enterprise Server verbeterde beveiligingsconfiguraties

  • Dit artikel is voor Amanda Enterprise (AE)

Informatiebeveiliging is in toenemende mate van cruciaal belang geworden op alle niveaus, van kleine tot middelgrote bedrijven, ondernemingen, universiteiten en zelfs thuisgebruikers.

ICMP-omleidingen uitschakelen

Kwaadwillende gebruikers kunnen speciaal vervaardigde ICMP-verzoekberichten gebruiken om Denial of Service-aanvallen op het netwerk uit te voeren. Als ICMP-omleidingen niet worden gebruikt in uw netwerkontwerp om routetabellen bij te werken en de back-upserver niet ook als router of gateway fungeert, moet ICMP-omleiding accepteren en berichten verzenden worden uitgeschakeld. Het is eenvoudig om ICMP-omleiding in Linux (en vele andere Unix-achtige besturingssystemen) uit te schakelen door middel van het proc-bestandssysteem (procfs) en procfs zelf is het gemakkelijkst om mee te werken via een interface zoals sysctl.

ICMP-omleidingen uitschakelen Accepteren en verzenden tijdens runtime voor allen interfaces wordt gedaan met sysctl door de volgende commando's te geven.

ICMP-omleidingen voor IPv4 tijdens runtime uitschakelen:

Root@host# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0

ICMP-omleidingen voor IPv6 tijdens runtime uitschakelen:

Root@host# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv6.conf.all.send_redirects = 0

Als je een interface wilt specificeren, bijvoorbeeld eth0, dan zou je 'all' in de bovenstaande voorbeelden vervangen door de naam van de interface. D.w.z:

Root@host# /sbin/sysctl -w net.ipv4.conf.eth0.accept_redirects = 0

Dit is echter een slechte methode omdat de wijzigingen niet blijvend zijn na het opnieuw opstarten. Het is beter om het bestand /etc/sysctl.conf te wijzigen voor een permanente wijziging als ICMP-omleidingen accepteren en verzenden niet vereist zijn.

Sysctl.conf wijzigen voor RHEL-achtige en SLES-achtige besturingssystemen:

# Voor IPv4
net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0

# Voor IPv6
net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.all.send_redirects = 0

Sysctl.conf wijzigen voor Ubuntu en Debian-achtige besturingssystemen:

# Voor IPv4
net / ipv4 / conf / all / accept_redirects = 0 net / ipv4 / conf / all / send_redirects = 0

# Voor IPv6
net / ipv6 / conf / all / accept_redirects = 0 net / ipv6 / conf / all / send_redirects = 0

Apache-configuratie

De Zmanda Management Console (ZMC) voedt de Apache HTTP Server (httpd). Als zodanig zijn alle beveiligingsoverwegingen die van toepassing zouden zijn op elke andere productie-HTTP-server ook van toepassing op de ZMC. De configuratiebestanden voor de Zmanda httpd-instantie zijn te vinden in de directory / opt / zmanda / amanda / apache2 / op het bestandssysteem.

Zmanda werkt hard om ervoor te zorgen dat de standaardconfiguratie van httpd veilig is, maar het is belangrijk om op de hoogte te blijven van Apache-beveiligingsupdates .

Enkele veelvoorkomende problemen die u kunt ondervinden als u een oudere versie van Amanda Enterprise gebruikt, zijn onder meer:

X.509-servercertificaten

Zmanda wordt niet geleverd met een X.509-servercertificaat. Als een gebruiker een X.509 wil implementeren, moet deze worden aangeschaft of anderszins gegenereerd voor gebruik met de Apache HTTP-server.

httpd.conf

In sommige oudere versies van Zmanda kan het zijn dat de Set-Cookie HTTP-responsheader HttpOnly mist. Voeg het volgende item toe aan httpd.conf:

Header bewerken Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure

Start de ZMC opnieuw met: /etc/init.d/zmc_aee herstart.

ssl.conf

In oudere versies van Zmanda wilt u misschien de sterkte van de gebruikte cijfers vergroten en hun prioriteit afdwingen. Zoek de volgende regel in ssl.conf en becommentarieer deze of verwijder deze:

SSLCipherSuite ALL:! ANULL:! ADH:! ENULL:! LAAG:! GEMIDDELD:! EXP: RC4 + RSA: + HOOG

Met de vorige regel uitgecommentarieerd of verwijderd, voegt u de volgende twee regels toe:

SSLHonorCipherOrder op SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS

Voor meer informatie over de cijfers en om ervoor te zorgen dat uw configuratie in overeenstemming is met uw beveiligingsbeleid: raadpleegt u de documentatie van openssl.

SELinux

Om extra beveiligingsniveaus af te dwingen door middel van verplichte toegangscontrole (MAC), is het raadzaam om SELinux te implementeren. SELinux is geĂŻmplementeerd in veel populaire Linux-distributies en aanvullende informatie over het gebruik ervan en Amanda Enterprise in tandem is te vinden in het artikel SELinux en Amanda Enterprise.