- Эта статья предназначена для Аманда Энтерпрайз (AE)
Информационная безопасность становится все более важной на всех уровнях, от малого до среднего бизнеса, предприятий, университетов и даже домашних пользователей.
Отключение перенаправления ICMP
Злоумышленники могут использовать специально созданные сообщения ICMP-запроса для запуска атак типа «отказ в обслуживании» против сети. Если перенаправления ICMP не используются в вашей сети для обновления таблиц маршрутов, а резервный сервер также не действует как маршрутизатор или шлюз, то следует отключить прием и отправку сообщений ICMP Redirect. Отключить перенаправление ICMP в Linux (и многих других Unix-подобных операционных системах) просто с помощью файловой системы proc (procfs), а с самой procfs проще всего работать через такой интерфейс, как sysctl.
Отключение приема и отправки перенаправлений ICMP во время выполнения для Найти интерфейсы выполняются с помощью sysctl с помощью следующих команд.
Отключение перенаправления ICMP для IPv4 во время выполнения:
Root@host# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0
Отключение перенаправления ICMP для IPv6 во время выполнения:
Root@host# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv6.conf.all.send_redirects = 0
Если вы хотите указать интерфейс, например, eth0, то замените «all» в приведенных выше примерах на имя интерфейса. Т.е.:
Root@host# /sbin/sysctl -w net.ipv4.conf.эт0.принять_перенаправления = 0
Однако это плохой метод, потому что изменения не сохранятся до перезагрузки. Лучше изменить файл /etc/sysctl.conf для постоянного изменения, если прием и отправка перенаправлений ICMP не требуются.
Изменение sysctl.conf для RHEL-подобных и SLES-подобных операционных систем:
# Для IPv4 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 # Для IPv6 net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.all.send_redirects = 0
Модификация sysctl.conf для операционных систем Ubuntu и Debian-подобных:
# Для IPv4 сеть / ipv4 / conf / all / accept_redirects = 0 net / ipv4 / conf / all / send_redirects = 0 # Для IPv6 сеть / ipv6 / conf / all / accept_redirects = 0 net / ipv6 / conf / all / send_redirects = 0
Настройка Apache
Консоль управления Zmanda (ZMC) обеспечивает питание Apache HTTP Server (httpd). Таким образом, все соображения безопасности, применимые к любому другому производственному HTTP-серверу, также применимы к ZMC. Файлы конфигурации для экземпляра Zmanda httpd можно найти в каталоге / opt / zmanda / amanda / apache2 / файловой системы.
Zmanda усердно работает над тем, чтобы конфигурация httpd по умолчанию была безопасной, но важно поддерживать ее в актуальном состоянии. Обновления безопасности Apache так же.
Некоторые общие проблемы, которые могут возникнуть при использовании более старой версии Amanda Enterprise, включают:
Сертификаты сервера X.509
Zmanda не поставляется с сертификатом сервера X.509. Если пользователь желает внедрить X.509, его необходимо приобрести или иным образом сгенерировать для использования с HTTP-сервером Apache.
httpd.conf
В некоторых более старых версиях Zmanda вы можете обнаружить, что в заголовке HTTP-ответа Set-Cookie отсутствует HttpOnly. Добавьте следующую запись в httpd.conf:
Правка заголовка Set-Cookie ^ (. *) $ 1; HttpOnly; Secure
Перезагрузите ZMC, используя: /etc/init.d/zmc_aee restart.
SSL.conf
В более старых версиях Zmanda вы можете захотеть повысить надежность используемых шифров и обеспечить их приоритет. Найдите следующую строку в ssl.conf и закомментируйте ее или удалите:
SSLCipherSuite ALL:! ANULL:! ADH:! ENULL:! LOW:! MEDIUM:! EXP: RC4 + RSA: + HIGH
Закомментировав или удалив предыдущую строку, добавьте следующие две строки:
SSLHonorCipherOrder на SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS
Для получения дополнительной информации о шифрах и обеспечения соответствия вашей конфигурации политике безопасности: обязательно проверьте документацию openssl.
SELinux
Для обеспечения дополнительных уровней безопасности с помощью обязательного контроля доступа (MAC) рекомендуется реализовать SELinux. SELinux реализован во многих популярных дистрибутивах Linux, и дополнительную информацию об использовании его и Amanda Enterprise в тандеме можно найти в статье. SELinux и Amanda Enterprise.