Blog

Configurações de segurança aprimorada do Amanda Enterprise Server

A segurança da informação tem se tornado cada vez mais importante em todos os níveis, desde pequenas e médias empresas, empresas, universidades e até mesmo usuários domésticos. Com ransomware moderno e outros softwares mal-intencionados, é mais importante do que nunca fazer backups frequentes de seus dados. Portanto, é fundamental que o servidor responsável por facilitar os backups em seu ambiente esteja protegido.

Desativando Redirecionamentos ICMP

Usuários mal-intencionados podem usar mensagens de solicitação ICMP especialmente criadas para lançar ataques de negação de serviço contra a rede. Se os redirecionamentos ICMP não forem usados em sua arquitetura de rede para atualizar as tabelas de rotas e o servidor de backup não estiver atuando como um roteador ou gateway: o Redirecionamento ICMP para aceitar e enviar mensagens deve ser desativado no servidor de backup.

É simples desabilitar o redirecionamento ICMP no Linux (e muitos outros sistemas operacionais do tipo Unix) por meio do sistema de arquivos proc (procfs), e o próprio procfs é mais fácil de trabalhar por meio de uma interface como o sysctl.

Desativando Redirecionamentos ICMP Aceitar e Enviar em tempo de execução para tudo interfaces são feitas com sysctl emitindo os seguintes comandos.

 

Desativando redirecionamentos ICMP para IPv4 durante o tempo de execução:

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.accept_redirects = 0

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.send_redirects = 0

 

Desativando redirecionamentos de ICMP para IPv6 durante o tempo de execução:

Root @ host# / sbin / sysctl -w net.ipv6.conf.all.accept_redirects = 0

Root @ host# / sbin / sysctl -w net.ipv6.conf.all.send_redirects = 0

Se você deseja especificar uma interface, por exemplo, eth0, então você deve substituir 'all' nos exemplos acima pelo nome da interface específica. Ie:

Root @ host# / sbin / sysctl -w net.ipv4.conf.eth0.accept_redirects = 0

Desativar o ICMP dinamicamente durante o tempo de execução é um método um tanto ruim porque as alterações não serão persistentes na reinicialização. É melhor modificar o arquivo /etc/sysctl.conf para uma mudança permanente se os redirecionamentos ICMP aceitar e enviar não forem necessários. Nota: conforme mencionado acima, qualquer instância de 'all' pode ser substituída pelo nome de uma interface de rede específica nos exemplos a seguir.

Modificando sysctl.conf para sistemas operacionais tipo RHEL e SLES:

# para IPv4

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

# para IPv6

net.ipv6.conf.all.accept_redirects = 0

net.ipv6.conf.all.send_redirects = 0

Modificando sysctl.conf para Ubuntu e sistemas operacionais semelhantes ao Debian:

# para IPv4

net / ipv4 / conf / all / accept_redirects = 0

net / ipv4 / conf / all / send_redirects = 0

# para IPv6

net / ipv6 / conf / all / accept_redirects = 0

net / ipv6 / conf / all / send_redirects = 0

É possível modificar o sysctl.conf e atualizar as configurações durante o tempo de execução sem uma reinicialização por meio de “carregar” o arquivo sysctl.conf com o comando:

Root @ host# / sbin / sysctl -p

Para documentação adicional sobre procfs e / ou sysctl, consulte suas respectivas páginas de manual em seu sistema.

Algumas preocupações que você pode ter ao usar uma versão mais antiga do Amanda Enterprise incluem:

Certificados de servidor X.509

Zmanda não vem embalado com um certificado de servidor X.509. Se um usuário deseja implementar um certificado X.509, ele precisará ser adquirido ou gerado de outra forma para uso com o servidor Apache HTTP.

httpd.conf

Em algumas versões mais antigas de Zmanda, você pode descobrir que o cabeçalho de resposta HTTP Set-Cookie está faltando HttpOnly.

Adicione a seguinte entrada em httpd.conf:

Editar cabeçalho Set-Cookie ^ (. *) $ $1; HttpOnly; Seguro

Reinicie o ZMC usando: /etc/init.d/zmc_aee restart

ssl.conf

Em versões anteriores de Zmanda, você pode querer aumentar a força das cifras usadas e reforçar sua prioridade. Encontre a seguinte linha em ssl.conf e comente ou remova-a:

SSLCipherSuite ALL:! ANULL:! ADH:! ENULL:! LOW:! MEDIUM:! EXP: RC4 + RSA: + HIGH

Com a linha anterior comentada ou removida, adicione as duas linhas a seguir:

SSLHonorCipherOrder On

SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS

Para obter informações adicionais sobre as cifras disponíveis e para garantir que sua configuração esteja em conformidade com sua política de segurança: certifique-se de verificar a documentação de OpenSSL.org.

Junte-se à discussão

pt_BRPortuguese
en_USEnglish fr_FRFrench it_ITItalian es_ESSpanish de_DEGerman sv_SESwedish tr_TRTurkish nl_NLDutch jaJapanese pl_PLPolish zh_TWChinese id_IDIndonesian ko_KRKorean ms_MYMalay thThai pt_BRPortuguese