Blog

Rozszerzone konfiguracje zabezpieczeń Amanda Enterprise Server

Bezpieczeństwo informacji staje się coraz ważniejsze na wszystkich poziomach, od małych do średnich przedsiębiorstw, przedsiębiorstw, uniwersytetów, a nawet użytkowników domowych. W przypadku nowoczesnych programów typu ransomware i innych złośliwych programów częste tworzenie kopii zapasowych danych jest ważniejsze niż kiedykolwiek. Dlatego równie ważne jest, aby serwer odpowiedzialny za tworzenie kopii zapasowych w Twoim środowisku był sam w sobie chroniony.

Wyłączanie przekierowań ICMP

Złośliwi użytkownicy mogą używać specjalnie spreparowanych komunikatów żądania ICMP do przeprowadzania ataków typu „odmowa usługi” na sieć. Jeśli przekierowania ICMP nie są używane w architekturze sieci do aktualizowania tabel tras, a serwer zapasowy nie działa również jako router lub brama: wówczas na serwerze zapasowym należy wyłączyć komunikaty ICMP Redirect akceptowania i wysyłania.

Łatwo jest wyłączyć przekierowanie ICMP w Linuksie (i wielu innych systemach operacyjnych podobnych do Uniksa) za pomocą systemu plików proc (procfs), a sam procfs jest najłatwiejszy w obsłudze poprzez interfejs taki jak sysctl.

Wyłączanie przekierowań ICMP Zaakceptuj i wyślij w czasie wykonywania dla wszystko interfejsy wykonuje się za pomocą sysctl, wydając następujące polecenia.

 

Wyłączanie przekierowań ICMP dla IPv4 w czasie wykonywania:

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.accept_redirects = 0

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.send_redirects = 0

 

Wyłączanie przekierowań ICMP dla IPv6 w czasie wykonywania:

Root @ host# / sbin / sysctl -w net.ipv6.conf.all.accept_redirects = 0

Root @ host# / sbin / sysctl -w net.ipv6.conf.all.send_redirects = 0

Jeśli chcesz określić interfejs, np. Eth0, zamień „wszystkie” w powyższych przykładach na nazwę konkretnego interfejsu. To znaczy:

Root @ host# / sbin / sysctl -w net.ipv4.conf.eth0.accept_redirects = 0

Dynamiczne wyłączanie protokołu ICMP w czasie wykonywania jest dość złą metodą, ponieważ zmiany nie będą trwałe po ponownym uruchomieniu. Lepiej jest zmodyfikować plik /etc/sysctl.conf w celu wprowadzenia trwałej zmiany, jeśli przekierowania ICMP accept i send nie są wymagane. Uwaga: jak wspomniano powyżej, każde wystąpienie „all” można zastąpić nazwą określonego interfejsu sieciowego w poniższych przykładach.

Modyfikowanie sysctl.conf dla systemów operacyjnych typu RHEL i SLES:

# dla IPv4

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

# dla IPv6

net.ipv6.conf.all.accept_redirects = 0

net.ipv6.conf.all.send_redirects = 0

Modyfikacja sysctl.conf dla systemów operacyjnych Ubuntu i podobnych do Debiana:

# dla IPv4

net / ipv4 / conf / all / accept_redirects = 0

net / ipv4 / conf / all / send_redirects = 0

# dla IPv6

net / ipv6 / conf / all / accept_redirects = 0

net / ipv6 / conf / all / send_redirects = 0

Możliwa jest modyfikacja sysctl.conf i aktualizacja ustawień w trakcie działania bez restartu poprzez „załadowanie” pliku sysctl.conf poleceniem:

Root @ host# / sbin / sysctl -p

Aby uzyskać dodatkową dokumentację dotyczącą procfs i / lub sysctl, zapoznaj się z odpowiednimi stronami podręcznika systemowego w systemie.

Niektóre obawy, które możesz mieć, jeśli używasz starszej wersji Amanda Enterprise, obejmują:

Certyfikaty serwera X.509

Zmanda nie jest dostarczany z certyfikatem serwera X.509. Jeśli użytkownik chce zaimplementować certyfikat X.509, będzie musiał go kupić lub w inny sposób wygenerować do użytku z serwerem Apache HTTP.

httpd.conf

W niektórych starszych wersjach Zmanda może się okazać, że w nagłówku odpowiedzi HTTP Set-Cookie brakuje HttpOnly.

Dodaj następujący wpis w httpd.conf:

Edycja nagłówka Set-Cookie ^ (. *) $ $1; HttpOnly; Secure

Zrestartuj ZMC używając: /etc/init.d/zmc_aee restart

ssl.conf

W starszych wersjach Zmanda możesz chcieć zwiększyć siłę używanych szyfrów i wymusić ich priorytet. Znajdź następujący wiersz w ssl.conf i zakomentuj go lub usuń:

SSLCipherSuite WSZYSTKO:! ANULL:! ADH:! ENULL:! LOW:! MEDIUM:! EXP: RC4 + RSA: + HIGH

Po wykomentowaniu lub usunięciu poprzedniej linii dodaj następujące dwie linie:

SSLHonorCipherOrder On

SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS

Aby uzyskać dodatkowe informacje na temat dostępnych szyfrów i upewnić się, że konfiguracja jest zgodna z polityką bezpieczeństwa: zapoznaj się z dokumentacją OpenSSL.org.

Dołącz do dyskusji

pl_PLPolish
en_USEnglish fr_FRFrench it_ITItalian es_ESSpanish de_DEGerman pt_BRPortuguese sv_SESwedish tr_TRTurkish nl_NLDutch jaJapanese zh_TWChinese id_IDIndonesian ko_KRKorean ms_MYMalay thThai pl_PLPolish