บล็อก

การกำหนดค่าความปลอดภัยขั้นสูงของ Amanda Enterprise Server

ความปลอดภัยของข้อมูลมีความสำคัญมากขึ้นในทุกระดับตั้งแต่ธุรกิจขนาดเล็กไปจนถึงขนาดกลางองค์กรมหาวิทยาลัยและแม้แต่ผู้ใช้ตามบ้าน ด้วยความทันสมัยเช่น ransomware และซอฟต์แวร์ที่เป็นอันตรายอื่น ๆ การสำรองข้อมูลของคุณเป็นเรื่องสำคัญยิ่งกว่าที่เคย ดังนั้นจึงจำเป็นอย่างยิ่งที่เซิร์ฟเวอร์ที่รับผิดชอบในการอำนวยความสะดวกในการสำรองข้อมูลในสภาพแวดล้อมของคุณจะได้รับการปกป้องตัวเอง

ปิดการใช้งาน ICMP Redirects

ผู้ใช้ที่เป็นอันตรายสามารถใช้ข้อความร้องขอ ICMP ที่ออกแบบมาเป็นพิเศษเพื่อเริ่มการโจมตี Denial of Service กับเครือข่าย หากไม่ได้ใช้การเปลี่ยนเส้นทาง ICMP ในสถาปัตยกรรมเครือข่ายของคุณเพื่ออัปเดตตารางเส้นทางและเซิร์ฟเวอร์สำรองไม่ได้ทำหน้าที่เป็นเราเตอร์หรือเกตเวย์ด้วยเช่นกันดังนั้น ICMP Redirect ยอมรับและส่งข้อความควรปิดใช้งานบนเซิร์ฟเวอร์สำรอง

มันง่ายมากที่จะปิดใช้งานการเปลี่ยนเส้นทาง ICMP ใน Linux (และระบบปฏิบัติการที่คล้าย Unix อื่น ๆ อีกมากมาย) โดยใช้ระบบไฟล์ proc (procfs) และ procfs เองก็ทำงานได้ง่ายที่สุดผ่านอินเทอร์เฟซเช่น sysctl

การปิดใช้งาน ICMP Redirects Accept and Send at runtime for ทั้งหมด อินเตอร์เฟสทำด้วย sysctl โดยออกคำสั่งต่อไปนี้

 

การปิดใช้งาน ICMP Redirects สำหรับ IPv4 ระหว่างรันไทม์:

รูท @ host# / sbin / sysctl -w net.ipv4.conf.all.accept_redirects = 0

รูท @ host# / sbin / sysctl -w net.ipv4.conf.all.send_redirects = 0

 

การปิดใช้งาน ICMP Redirects สำหรับ IPv6 ระหว่างรันไทม์:

รูท @ host# / sbin / sysctl -w net.ipv6.conf.all.accept_redirects = 0

รูท @ host# / sbin / sysctl -w net.ipv6.conf.all.send_redirects = 0

หากคุณต้องการระบุอินเทอร์เฟซเช่น eth0 คุณจะแทนที่ 'all' ในตัวอย่างด้านบนด้วยชื่อของอินเทอร์เฟซเฉพาะ ได้แก่ :

รูท @ host# / sbin / sysctl -w net.ipv4.confeth0.accept_redirects = 0

การปิดใช้งาน ICMP แบบไดนามิกระหว่างรันไทม์เป็นวิธีการที่ค่อนข้างแย่เนื่องจากการเปลี่ยนแปลงจะไม่คงอยู่กับการรีบูต จะเป็นการดีกว่าที่จะแก้ไขไฟล์ /etc/sysctl.conf สำหรับการเปลี่ยนแปลงแบบถาวรหากไม่จำเป็นต้องใช้การเปลี่ยนเส้นทาง ICMP หมายเหตุ: ตามที่กล่าวไว้ข้างต้นอินสแตนซ์ของ 'ทั้งหมด' สามารถแทนที่ด้วยชื่อของอินเทอร์เฟซเครือข่ายเฉพาะในตัวอย่างต่อไปนี้

การแก้ไข sysctl.conf สำหรับระบบปฏิบัติการที่เหมือน RHEL และ SLES:

# สำหรับ IPv4

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

# สำหรับ IPv6

net.ipv6.conf.all.accept_redirects = 0

net.ipv6.conf.all.send_redirects = 0

การแก้ไข sysctl.conf สำหรับระบบปฏิบัติการ Ubuntu และ Debian:

# สำหรับ IPv4

net / ipv4 / conf / all / accept_redirects = 0

net / ipv4 / conf / all / send_redirects = 0

# สำหรับ IPv6

net / ipv6 / conf / all / accept_redirects = 0

net / ipv6 / conf / all / send_redirects = 0

เป็นไปได้ที่จะแก้ไข sysctl.conf และอัปเดตการตั้งค่าระหว่างรันไทม์โดยไม่ต้องรีบูตโดยใช้วิธีการ "โหลด" ไฟล์ sysctl.conf ด้วยคำสั่ง:

รูท @ host# / sbin / sysctl -p

สำหรับเอกสารเพิ่มเติมเกี่ยวกับ procfs และ / หรือ sysctl โปรดดูที่ man page ตามลำดับในระบบของคุณ

ข้อกังวลบางประการที่คุณอาจมีหากใช้ Amanda Enterprise เวอร์ชันเก่า ได้แก่ :

ใบรับรองเซิร์ฟเวอร์ X.509

Zmanda ไม่ได้มาพร้อมกับใบรับรองเซิร์ฟเวอร์ X.509 หากผู้ใช้ต้องการใช้ใบรับรอง X.509 จะต้องซื้อหรือสร้างขึ้นเพื่อใช้กับเซิร์ฟเวอร์ Apache HTTP

httpd.conf

ใน Zmanda เวอร์ชันเก่าบางรุ่นคุณอาจพบว่าส่วนหัวการตอบสนอง HTTP ของ Set-Cookie ไม่มี HttpOnly

เพิ่มรายการต่อไปนี้ใน httpd.conf:

ส่วนหัวแก้ไข Set-Cookie ^ (. *) $ $1; HttpOnly; Secure

รีสตาร์ท ZMC โดยใช้: /etc/init.d/zmc_aee รีสตาร์ท

ssl.conf

ใน Zmanda เวอร์ชันเก่าคุณอาจต้องการเพิ่มความแข็งแกร่งของการเข้ารหัสที่ใช้และบังคับใช้ลำดับความสำคัญ ค้นหาบรรทัดต่อไปนี้ใน ssl.conf และแสดงความคิดเห็นหรือลบออก:

SSLCipherSuite ALL:! aNULL:! ADH:! eNULL:! LOW:! MEDIUM:! EXP: RC4 + RSA: + HIGH

เมื่อบรรทัดก่อนหน้าแสดงความคิดเห็นหรือลบออกให้เพิ่มสองบรรทัดต่อไปนี้:

เปิด SSLHonorCipherOrder

SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! aNULL:! MD5:! DSS

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการเข้ารหัสที่มีอยู่และเพื่อให้แน่ใจว่าการกำหนดค่าของคุณสอดคล้องกับนโยบายความปลอดภัยของคุณ: โปรดตรวจสอบเอกสารจาก OpenSSL.org.

เข้าร่วมการสนทนา

thThai
en_USEnglish fr_FRFrench it_ITItalian es_ESSpanish de_DEGerman pt_BRPortuguese sv_SESwedish tr_TRTurkish nl_NLDutch jaJapanese pl_PLPolish zh_TWChinese id_IDIndonesian ko_KRKorean ms_MYMalay thThai