- Ten artykuł jest przeznaczony dla Amanda Enterprise (AE)
Bezpieczeństwo informacji staje się coraz ważniejsze na wszystkich poziomach, od małych do średnich przedsiębiorstw, przedsiębiorstw, uniwersytetów, a nawet użytkowników domowych.
Wyłączanie przekierowań ICMP
Złośliwi użytkownicy mogą używać specjalnie spreparowanych komunikatów żądania ICMP do przeprowadzania ataków typu „odmowa usługi” na sieć. Jeśli przekierowania ICMP nie są używane w projekcie sieci do aktualizowania tabel tras, a serwer zapasowy nie działa również jako router lub brama, należy wyłączyć opcję akceptowania i wysyłania komunikatów przekierowania ICMP. Wyłączenie przekierowania ICMP w Linuksie (i wielu innych podobnych do Uniksa systemach operacyjnych) jest proste za pomocą systemu plików proc (procfs), a sam procfs jest najłatwiejszy w obsłudze poprzez interfejs taki jak sysctl.
Wyłączanie przekierowań ICMP Zaakceptuj i wyślij w czasie wykonywania dla cała kolekcja interfejsy wykonuje się za pomocą sysctl, wydając następujące polecenia.
Wyłączanie przekierowań ICMP dla IPv4 w czasie wykonywania:
Root@host# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0
Wyłączanie przekierowań ICMP dla IPv6 w czasie wykonywania:
Root@host# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv6.conf.all.send_redirects = 0
Jeśli chcesz określić interfejs, np. Eth0, zamień „wszystkie” w powyższych przykładach na nazwę interfejsu. To znaczy:
Katalog główny@host# /sbin/sysctl -w net.ipv4.conf.eth0.akceptuj_przekierowania = 0
Jest to jednak zła metoda, ponieważ zmiany nie będą trwałe po ponownym uruchomieniu. Lepiej jest zmodyfikować plik /etc/sysctl.conf w celu wprowadzenia trwałych zmian, jeśli przekierowania ICMP nie są wymagane i nie są wymagane.
Modyfikacja sysctl.conf dla systemów operacyjnych podobnych do RHEL i SLES:
# Dla IPv4 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 # Dla IPv6 net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.all.send_redirects = 0
Modyfikacja sysctl.conf dla systemów operacyjnych Ubuntu i podobnych do Debiana:
# Dla IPv4 net / ipv4 / conf / all / accept_redirects = 0 net / ipv4 / conf / all / send_redirects = 0 # Dla IPv6 net / ipv6 / conf / all / accept_redirects = 0 net / ipv6 / conf / all / send_redirects = 0
Konfiguracja Apache
Konsola zarządzania Zmanda (ZMC) obsługuje Apache HTTP Server (httpd). W związku z tym wszystkie względy bezpieczeństwa, które miałyby zastosowanie do dowolnego innego produkcyjnego serwera HTTP, dotyczą również ZMC. Pliki konfiguracyjne instancji httpd Zmanda można znaleźć w katalogu / opt / zmanda / amanda / apache2 / w systemie plików.
Zmanda dokłada wszelkich starań, aby upewnić się, że domyślna konfiguracja httpd jest bezpieczna, ale ważne jest, aby być na bieżąco z Aktualizacje zabezpieczeń Apache , jak również.
Niektóre typowe problemy, które mogą wystąpić podczas korzystania ze starszej wersji Amanda Enterprise, obejmują:
Certyfikaty serwera X.509
Zmanda nie jest dostarczana z certyfikatem serwera X.509. Jeśli użytkownik chce zaimplementować X.509, będzie musiał zakupić lub w inny sposób wygenerować do użytku z serwerem Apache HTTP.
httpd.conf
W niektórych starszych wersjach Zmandy może się okazać, że w nagłówku odpowiedzi HTTP Set-Cookie brakuje HttpOnly. Dodaj następujący wpis w httpd.conf:
Edycja nagłówka Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure
Zrestartuj ZMC używając: /etc/init.d/zmc_aee restart.
ssl.conf
W starszych wersjach Zmandy możesz chcieć zwiększyć siłę używanych szyfrów i wymusić ich priorytet. Znajdź następujący wiersz w ssl.conf i zakomentuj go lub usuń:
SSLCipherSuite WSZYSTKO:! ANULL:! ADH:! ENULL:! LOW:! MEDIUM:! EXP: RC4 + RSA: + HIGH
Po wykomentowaniu lub usunięciu poprzedniej linii dodaj następujące dwa wiersze:
SSLHonorCipherOrder On SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS
Aby uzyskać dodatkowe informacje dotyczące szyfrów i upewnić się, że konfiguracja jest zgodna z polityką bezpieczeństwa: zapoznaj się z dokumentacją openssl.
SELinux
Aby wymusić dodatkowe poziomy bezpieczeństwa za pomocą obowiązkowej kontroli dostępu (MAC), zaleca się wdrożenie SELinux. SELinux jest zaimplementowany w wielu popularnych dystrybucjach Linuksa, a dodatkowe informacje dotyczące korzystania z niego i Amandy Enterprise w tandemie można znaleźć w artykule SELinux i Amanda Enterprise.
