Bezpieczeństwo informacji staje się coraz ważniejsze na wszystkich poziomach, od małych do średnich przedsiębiorstw, przedsiębiorstw, uniwersytetów, a nawet użytkowników domowych. W przypadku współczesnego oprogramowania ransomware i innego złośliwego oprogramowania częstsze tworzenie kopii zapasowych danych jest ważniejsze niż kiedykolwiek. Dlatego równie istotne jest, aby serwer odpowiedzialny za tworzenie kopii zapasowych w Twoim środowisku był sam w sobie chroniony.
Wyłączanie przekierowań ICMP
Złośliwi użytkownicy mogą używać specjalnie spreparowanych komunikatów żądania ICMP do przeprowadzania ataków typu „odmowa usługi” na sieć. Jeśli przekierowania ICMP nie są używane w architekturze sieci do aktualizowania tabel tras, a serwer zapasowy nie działa również jako router lub brama: wówczas na serwerze zapasowym należy wyłączyć przekazywanie i wysyłanie komunikatów ICMP Redirect.
Łatwo jest wyłączyć przekierowanie ICMP w Linuksie (i wielu innych systemach operacyjnych podobnych do Uniksa) za pomocą systemu plików proc (procfs), a sam procfs jest najłatwiejszy w obsłudze poprzez interfejs taki jak sysctl.
Wyłączanie przekierowań ICMP Zaakceptuj i wyślij w czasie wykonywania dla cała kolekcja interfejsy wykonuje się za pomocą sysctl, wydając następujące polecenia.
Wyłączanie przekierowań ICMP dla IPv4 w czasie wykonywania:
Root@host# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0
Root@host# /sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0
Wyłączanie przekierowań ICMP dla IPv6 w czasie wykonywania:
Root@host# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects = 0
Root@host# /sbin/sysctl -w net.ipv6.conf.all.send_redirects = 0
Jeśli chcesz określić interfejs, np. Eth0, zamień „wszystkie” w powyższych przykładach na nazwę konkretnego interfejsu. To znaczy:
Katalog główny@host# /sbin/sysctl -w net.ipv4.conf.eth0.akceptuj_przekierowania = 0
Dynamiczne wyłączanie protokołu ICMP w czasie wykonywania jest dość złą metodą, ponieważ zmiany nie będą trwałe po ponownym uruchomieniu. Lepiej jest zmodyfikować plik /etc/sysctl.conf w celu wprowadzenia trwałej zmiany, jeśli przekierowania ICMP accept i send nie są wymagane. Uwaga: jak wspomniano powyżej, każde wystąpienie „all” można zastąpić nazwą określonego interfejsu sieciowego w poniższych przykładach.
Modyfikacja sysctl.conf dla systemów operacyjnych podobnych do RHEL i SLES:
# Dla IPv4
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
# Dla IPv6
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.all.send_redirects = 0
Modyfikacja sysctl.conf dla systemów operacyjnych Ubuntu i podobnych do Debiana:
# Dla IPv4
net / ipv4 / conf / all / accept_redirects = 0
net / ipv4 / conf / all / send_redirects = 0
# Dla IPv6
net / ipv6 / conf / all / accept_redirects = 0
net / ipv6 / conf / all / send_redirects = 0
Istnieje możliwość modyfikacji sysctl.conf i aktualizacji ustawień w trakcie działania bez restartu poprzez „załadowanie” pliku sysctl.conf poleceniem:
Katalog główny@host# /sbin/sysctl -p
Aby uzyskać dodatkową dokumentację dotyczącą procfs i / lub sysctl, zapoznaj się z ich odpowiednimi stronami podręcznika systemowego w systemie.
Niektóre obawy, które możesz mieć, jeśli używasz starszej wersji Amanda Enterprise, obejmują:
Certyfikaty serwera X.509
Zmanda nie jest dostarczana z certyfikatem serwera X.509. Jeśli użytkownik chce zaimplementować certyfikat X.509, będzie musiał go zakupić lub w inny sposób wygenerować do użytku z serwerem Apache HTTP.
httpd.conf
W niektórych starszych wersjach Zmandy może się okazać, że w nagłówku odpowiedzi HTTP Set-Cookie brakuje HttpOnly.
Dodaj następujący wpis w httpd.conf:
Edycja nagłówka Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure
Zrestartuj ZMC używając: /etc/init.d/zmc_aee restart
ssl.conf
W starszych wersjach Zmandy możesz chcieć zwiększyć siłę używanych szyfrów i wymusić ich priorytet. Znajdź następujący wiersz w ssl.conf i zakomentuj go lub usuń:
SSLCipherSuite WSZYSTKO:! ANULL:! ADH:! ENULL:! LOW:! MEDIUM:! EXP: RC4 + RSA: + HIGH
Po wykomentowaniu lub usunięciu poprzedniej linii dodaj następujące dwa wiersze:
SSLHonorCipherZamówienie włączone
SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS
Aby uzyskać dodatkowe informacje dotyczące dostępnych szyfrów i upewnić się, że konfiguracja jest zgodna z polityką bezpieczeństwa: zapoznaj się z dokumentacją OpenSSL.org.
