Rozszerzone konfiguracje zabezpieczeń Amanda Enterprise Server

  • Ten artykuł jest przeznaczony dla Amanda Enterprise (AE)

Bezpieczeństwo informacji staje się coraz ważniejsze na wszystkich poziomach, od małych do średnich przedsiębiorstw, przedsiębiorstw, uniwersytetów, a nawet użytkowników domowych.

Wyłączanie przekierowań ICMP

Złośliwi użytkownicy mogą używać specjalnie spreparowanych komunikatów żądania ICMP do przeprowadzania ataków typu „odmowa usługi” na sieć. Jeśli przekierowania ICMP nie są używane w projekcie sieci do aktualizowania tabel tras, a serwer zapasowy nie działa również jako router lub brama, należy wyłączyć opcję akceptowania i wysyłania komunikatów przekierowania ICMP. Wyłączenie przekierowania ICMP w Linuksie (i wielu innych systemach operacyjnych podobnych do Uniksa) jest proste za pomocą systemu plików proc (procfs), a sam procfs jest najłatwiejszy w obsłudze poprzez interfejs taki jak sysctl.

Wyłączanie przekierowań ICMP Zaakceptuj i wyślij w czasie wykonywania dla wszystko interfejsy wykonuje się za pomocą sysctl, wydając następujące polecenia.

Wyłączanie przekierowań ICMP dla IPv4 w czasie wykonywania:

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.accept_redirects = 0 Root @ host# / sbin / sysctl -w net.ipv4.conf.all.send_redirects = 0

Wyłączanie przekierowań ICMP dla IPv6 w czasie wykonywania:

Root @ host# / sbin / sysctl -w net.ipv6.conf.all.accept_redirects = 0 Root @ host# / sbin / sysctl -w net.ipv6.conf.all.send_redirects = 0

Jeśli chcesz określić interfejs, np. Eth0, zamień „wszystkie” w powyższych przykładach na nazwę interfejsu. To znaczy:

Root @ host# / sbin / sysctl -w net.ipv4.conf.eth0.accept_redirects = 0

Jest to jednak zła metoda, ponieważ zmiany nie będą trwałe po ponownym uruchomieniu. Lepiej jest zmodyfikować plik /etc/sysctl.conf w celu wprowadzenia trwałych zmian, jeśli przekierowania ICMP nie są wymagane i nie są wymagane.

Modyfikowanie sysctl.conf dla systemów operacyjnych typu RHEL i SLES:

# dla IPv4
net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0

# dla IPv6
net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.all.send_redirects = 0

Modyfikacja sysctl.conf dla systemów operacyjnych Ubuntu i podobnych do Debiana:

# dla IPv4
net / ipv4 / conf / all / accept_redirects = 0 net / ipv4 / conf / all / send_redirects = 0

# dla IPv6
net / ipv6 / conf / all / accept_redirects = 0 net / ipv6 / conf / all / send_redirects = 0

Konfiguracja Apache

Konsola zarządzająca Zmanda (ZMC) obsługuje platformę Serwer HTTP Apache (httpd). W związku z tym wszystkie względy bezpieczeństwa, które miałyby zastosowanie do dowolnego innego produkcyjnego serwera HTTP, dotyczą również ZMC. Pliki konfiguracyjne instancji Zmanda httpd można znaleźć w katalogu / opt / zmanda / amanda / apache2 / w systemie plików.

Zmanda dokłada wszelkich starań, aby upewnić się, że domyślna konfiguracja httpd jest bezpieczna, ale ważne jest, aby być na bieżąco z Aktualizacje zabezpieczeń Apache także.

Niektóre typowe problemy, które mogą wystąpić podczas korzystania ze starszej wersji Amanda Enterprise, obejmują:

Certyfikaty serwera X.509

Zmanda nie jest dostarczany z certyfikatem serwera X.509. Jeśli użytkownik chce zaimplementować X.509, będzie musiał kupić lub w inny sposób wygenerować go do użytku z serwerem Apache HTTP.

httpd.conf

W niektórych starszych wersjach Zmanda może się okazać, że w nagłówku odpowiedzi HTTP Set-Cookie brakuje HttpOnly. Dodaj następujący wpis w httpd.conf:

Edycja nagłówka Set-Cookie ^ (. *) $ $1; HttpOnly; Secure

Zrestartuj ZMC używając: /etc/init.d/zmc_aee restart.

ssl.conf

W starszych wersjach Zmanda możesz chcieć zwiększyć siłę używanych szyfrów i wymusić ich priorytet. Znajdź następujący wiersz w ssl.conf i zakomentuj go lub usuń:

SSLCipherSuite WSZYSTKO:! ANULL:! ADH:! ENULL:! LOW:! MEDIUM:! EXP: RC4 + RSA: + HIGH

Po wykomentowaniu lub usunięciu poprzedniej linii dodaj następujące dwie linie:

SSLHonorCipherOrder On SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS

Aby uzyskać dodatkowe informacje dotyczące szyfrów i upewnić się, że konfiguracja jest zgodna z polityką bezpieczeństwa: zapoznaj się z dokumentacją openssl.

SELinux

Aby wymusić dodatkowe poziomy bezpieczeństwa za pomocą obowiązkowej kontroli dostępu (MAC), zaleca się wdrożenie SELinux. SELinux jest zaimplementowany w wielu popularnych dystrybucjach Linuksa, a dodatkowe informacje dotyczące korzystania z niego i Amandy Enterprise w tandemie można znaleźć w artykule SELinux i Amanda Enterprise.

pl_PLPolish