Amanda Enterprise Server Säkerhetskonfigurationer

Amanda Enterprise Server förbättrade säkerhetskonfigurationer

Informationssäkerhet har blivit allt viktigare på alla nivåer, från små till medelstora företag, företag, universitet och till och med hemanvändare. Med modern som ransomware och annan skadlig programvara är det viktigare än någonsin att ofta säkerhetskopiera dina data. Därför är det lika viktigt att servern som är ansvarig för att underlätta säkerhetskopior i din miljö själv skyddas.

Inaktivera ICMP-omdirigeringar

Skadliga användare kan använda speciellt utformade ICMP-förfrågningsmeddelanden för att starta Denial of Service-attacker mot nätverket. Om ICMP-omdirigeringar inte används i din nätverksarkitektur för att uppdatera ruttabeller och säkerhetskopieringsservern inte också fungerar som en router eller en gateway: bör ICMP-omdirigering acceptera och skicka meddelanden inaktiveras på säkerhetskopieringsservern.

Det är enkelt att inaktivera ICMP-omdirigering i Linux (och många andra Unix-liknande operativsystem) med hjälp av proc-filsystemet (procfs), och procfs själv är lättast att arbeta med via ett gränssnitt som sysctl.

Inaktivera ICMP omdirigeringar Godkänn och skicka vid körning för alla gränssnitt görs med sysctl genom att utfärda följande kommandon.

 

Inaktivera ICMP-omdirigeringar för IPv4 under körning:

Root@host# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0

Root@host# /sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0

 

Inaktivera ICMP-omdirigeringar för IPv6 under körning:

Root@host# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects = 0

Root@host# /sbin/sysctl -w net.ipv6.conf.all.send_redirects = 0

Om du vill ange ett gränssnitt, t.ex. eth0, ersätter du 'alla' i exemplen ovan med namnet på det specifika gränssnittet. Dvs:

Root@host# /sbin/sysctl -w net.ipv4.conf.eth0.accept_redirects = 0

Inaktivera ICMP dynamiskt under körning är en något dålig metod eftersom ändringar inte kommer att vara bestående för en omstart. Det är bättre att ändra /etc/sysctl.conf-filen för en permanent ändring om ICMP-omdirigeringar accepterar och skickar inte krävs. Obs! Som nämnts ovan kan alla förekomster av 'alla' ersättas med namnet på ett specifikt nätverksgränssnitt i följande exempel.

Ändra sysctl.conf för RHEL-liknande och SLES-liknande operativsystem:

# För IPv4

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

# För IPv6

net.ipv6.conf.all.accept_redirects = 0

net.ipv6.conf.all.send_redirects = 0

Ändra sysctl.conf för Ubuntu och Debian-liknande operativsystem:

# För IPv4

net / ipv4 / conf / all / accept_redirects = 0

net / ipv4 / conf / all / send_redirects = 0

# För IPv6

net / ipv6 / conf / all / accept_redirects = 0

net / ipv6 / conf / all / send_redirects = 0

Det är möjligt att ändra sysctl.conf och uppdatera inställningarna under körning utan omstart genom att "ladda" sysctl.conf-filen med kommandot:

Root@host# /sbin/sysctl -p

För ytterligare dokumentation om procfs och / eller sysctl hänvisas till respektive mansidor på ditt system.

Några problem du kan ha om du använder en äldre version av Amanda Enterprise inkluderar:

X.509 Servercertifikat

Zmanda levereras inte med ett X.509-servercertifikat. Om en användare vill implementera ett X.509-certifikat måste det köpas eller på annat sätt genereras för användning med Apache HTTP-servern.

httpd.conf

I vissa äldre versioner av Zmanda kan det hända att HTTP-svarshuvudet för Set-Cookie saknas HttpOnly.

Lägg till följande post i httpd.conf:

Rubrikredigering Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure

Starta om ZMC med: /etc/init.d/zmc_aee omstart

ssl.conf

I äldre versioner av Zmanda kanske du vill öka styrkan för chiffer som används och genomdriva deras prioritet. Hitta följande rad i ssl.conf och antingen kommentera den eller ta bort den:

SSLCipherSuite ALL:! ANULL:! ADH:! ENULL:! LOW:! MEDIUM:! EXP: RC4 + RSA: + HIGH

Med föregående rad kommenterad eller borttagen, lägg till följande två rader:

SSLHonorCipherOrder På

SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS

För ytterligare information om tillgängliga chiffer och för att säkerställa att din konfiguration överensstämmer med din säkerhetspolicy: se till att kontrollera dokumentationen från OpenSSL.org.


Utforska fler ämnen