- Este artigo é para Empresa Amanda (AE)
A segurança da informação tem se tornado cada vez mais importante em todos os níveis, desde pequenas e médias empresas, empresas, universidades e até mesmo usuários domésticos.
Desativando Redirecionamentos ICMP
Usuários mal-intencionados podem usar mensagens de solicitação ICMP especialmente criadas para lançar ataques de negação de serviço contra a rede. Se os redirecionamentos ICMP não forem usados em seu projeto de rede para atualizar as tabelas de rota e o servidor de backup também não estiver atuando como um roteador ou gateway, o Redirecionamento ICMP para aceitar e enviar mensagens deve ser desativado. É simples desabilitar o redirecionamento ICMP no Linux (e em muitos outros sistemas operacionais semelhantes ao Unix) por meio do sistema de arquivos proc (procfs) e o próprio procfs é mais fácil de trabalhar por meio de uma interface como o sysctl.
Desativando Redirecionamentos ICMP Aceitar e Enviar em tempo de execução para todos os interfaces são feitas com sysctl emitindo os seguintes comandos.
Desativando redirecionamentos ICMP para IPv4 no tempo de execução:
Root@host# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0
Desativando redirecionamentos ICMP para IPv6 no tempo de execução:
Root@host# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv6.conf.all.send_redirects = 0
Se você deseja especificar uma interface, por exemplo, eth0, então você deve substituir 'all' nos exemplos acima pelo nome da interface. Ou seja:
Root@host# /sbin/sysctl -w net.ipv4.conf.eth0.aceitar_redirecionamentos = 0
No entanto, esse é um método ruim porque as alterações não serão persistentes na reinicialização. É melhor modificar o arquivo /etc/sysctl.conf para uma mudança permanente se os Redirecionamentos ICMP aceitar e enviar não forem necessários.
Modificando sysctl.conf para sistemas operacionais semelhantes a RHEL e SLES:
# Para IPv4 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 # Para IPv6 net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.all.send_redirects = 0
Modificando sysctl.conf para Ubuntu e sistemas operacionais semelhantes ao Debian:
# Para IPv4 net / ipv4 / conf / all / accept_redirects = 0 net / ipv4 / conf / all / send_redirects = 0 # Para IPv6 net / ipv6 / conf / all / accept_redirects = 0 net / ipv6 / conf / all / send_redirects = 0
Configuração Apache
O console de gerenciamento Zmanda (ZMC) é o poder do Apache HTTP Server (httpd). Como tal, todas as considerações de segurança que seriam aplicáveis a qualquer outro servidor HTTP de produção também se aplicam ao ZMC. Os arquivos de configuração para a instância Zmanda httpd podem ser encontrados no diretório / opt / zmanda / amanda / apache2 / no sistema de arquivos.
Zmanda trabalha diligentemente para garantir que a configuração padrão do httpd seja segura, mas é importante se manter atualizado com Atualizações de segurança do Apache tão bem.
Alguns problemas comuns que você pode enfrentar ao usar uma versão mais antiga do Amanda Enterprise incluem:
Certificados de servidor X.509
O Zmanda não vem com um certificado de servidor X.509. Se um usuário deseja implementar um X.509, ele precisará comprá-lo ou gerá-lo de outra forma para ser usado com o servidor HTTP Apache.
httpd.conf
Em algumas versões mais antigas do Zmanda, você pode descobrir que o cabeçalho de resposta HTTP Set-Cookie está faltando HttpOnly. Adicione a seguinte entrada em httpd.conf:
Editar cabeçalho Set-Cookie ^ (. *) $ $ 1; HttpOnly; Seguro
Reinicie o ZMC usando: /etc/init.d/zmc_aee restart.
ssl.conf
Em versões anteriores do Zmanda, você pode querer aumentar a força das cifras usadas e reforçar sua prioridade. Encontre a seguinte linha em ssl.conf e comente ou remova-a:
SSLCipherSuite ALL:! ANULL:! ADH:! ENULL:! LOW:! MEDIUM:! EXP: RC4 + RSA: + HIGH
Com a linha anterior comentada ou removida, adicione as duas linhas a seguir:
SSLHonorCipherOrder em SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS
Para obter informações adicionais sobre as cifras e para garantir que sua configuração está em conformidade com sua política de segurança: certifique-se de verificar a documentação do openssl.
SELinux
Para impor níveis adicionais de segurança por meio de controles de acesso obrigatórios (MAC), é aconselhável implementar o SELinux. SELinux é implementado em muitas distribuições populares de Linux e informações adicionais sobre como usá-lo e Amanda Enterprise em conjunto podem ser encontradas no artigo SELinux e Amanda Enterprise.