Bilgi güvenliği, küçükten orta ölçekli işletmelere, işletmelerden üniversitelere ve hatta ev kullanıcılarına kadar her düzeyde giderek artan bir şekilde kritik öneme sahip hale geldi. Modern fidye yazılımı ve diğer kötü amaçlı yazılımlarla, verilerinizi sık sık yedeklemek her zamankinden daha önemlidir. Bu nedenle, ortamınızdaki yedeklemeleri kolaylaştırmaktan sorumlu sunucunun kendisinin korunması önemlidir.
ICMP Yeniden Yönlendirmelerini Devre Dışı Bırakma
Kötü niyetli kullanıcılar, ağa karşı Hizmet Reddi saldırıları başlatmak için özel hazırlanmış ICMP istek mesajlarını kullanabilir. Yön tablolarını güncellemek için ağ mimarinizde ICMP yeniden yönlendirmeleri kullanılmıyorsa ve yedekleme sunucusu aynı zamanda bir yönlendirici veya ağ geçidi görevi görmüyorsa: ICMP Redirect kabul etme ve gönderme mesajları yedekleme sunucusunda devre dışı bırakılmalıdır.
Proc dosya sistemi (procfs) aracılığıyla Linux'ta (ve diğer birçok Unix benzeri işletim sisteminde) ICMP yeniden yönlendirmeyi devre dışı bırakmak kolaydır ve procfs, sysctl gibi bir arabirim aracılığıyla çalışmak için en kolay yoldur.
ICMP Yeniden Yönlendirmelerini Çalışma zamanında Kabul Et ve Göndermeyi Devre Dışı Bırakma herşey arayüzler, aşağıdaki komutlar verilerek sysctl ile yapılır.
Çalışma Süresi Sırasında IPv4 için ICMP Yeniden Yönlendirmelerini Devre Dışı Bırakma:
Root@host# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0
Root@host# /sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0
Çalışma Süresi Sırasında IPv6 için ICMP Yeniden Yönlendirmelerini Devre Dışı Bırakma:
Root@host# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects = 0
Root@host# /sbin/sysctl -w net.ipv6.conf.all.send_redirects = 0
Bir arayüz belirtmek isterseniz, örneğin eth0, o zaman yukarıdaki örneklerde 'tümü' kısmını belirli arayüzün adıyla değiştirirsiniz. Yani:
Root@host# /sbin/sysctl -w net.ipv4.conf.eth0.accept_yönlendirmeleri = 0
Çalışma zamanı sırasında ICMP'yi dinamik olarak devre dışı bırakmak, biraz zayıf bir yöntemdir, çünkü değişiklikler yeniden başlatma için kalıcı olmayacaktır. ICMP yeniden yönlendirmelerinin kabul edilmesi ve gönderilmesi gerekmiyorsa /etc/sysctl.conf dosyasını kalıcı bir değişiklik için değiştirmek daha iyidir. Not: Yukarıda belirtildiği gibi, aşağıdaki örneklerde "tümü" nin herhangi bir örneği belirli bir ağ arayüzünün adıyla değiştirilebilir.
RHEL benzeri ve SLES benzeri işletim sistemleri için sysctl.conf dosyasını değiştirme:
# IPv4 için
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
# IPv6 için
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.all.send_redirects = 0
Ubuntu ve Debian benzeri işletim sistemleri için sysctl.conf'u değiştirme:
# IPv4 için
net / ipv4 / conf / all / accept_redirects = 0
net / ipv4 / conf / all / send_redirects = 0
# IPv6 için
net / ipv6 / conf / all / accept_redirects = 0
net / ipv6 / conf / all / send_redirects = 0
Sysctl.conf dosyasını aşağıdaki komutla "yükleyerek" yeniden başlatma olmadan çalışma zamanı sırasında sysctl.conf dosyasını değiştirmek ve ayarları güncellemek mümkündür:
Kök@anasistem# /sbin/sysctl -p
Procfs ve / veya sysctl ile ilgili ek belgeler için lütfen sisteminizdeki ilgili kılavuz sayfalarına bakın.
Amanda Enterprise'ın eski bir sürümünü kullanıyorsanız sahip olabileceğiniz bazı endişeler şunlardır:
X.509 Sunucu Sertifikaları
Zmanda, bir X.509 sunucu sertifikası ile paketlenmiş olarak gelmez. Bir kullanıcı bir X.509 sertifikasını uygulamak isterse, bu sertifikanın satın alınması veya başka bir şekilde Apache HTTP Sunucusu ile kullanılmak üzere oluşturulması gerekecektir.
httpd.conf
Zmanda'nın bazı eski sürümlerinde Set-Cookie HTTP yanıt başlığının HttpOnly eksik olduğunu görebilirsiniz.
Httpd.conf'a aşağıdaki girişi ekleyin:
Üstbilgi düzenleme Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure
/Etc/init.d/zmc_aee restart kullanarak ZMC'yi yeniden başlatın.
ssl.conf
Zmanda'nın eski sürümlerinde kullanılan şifrelerin gücünü artırmak ve önceliklerini uygulamak isteyebilirsiniz. Ssl.conf dosyasında aşağıdaki satırı bulun ve yorum yapın veya kaldırın:
SSLCipherSuite TÜM:! ANULL:! ADH:! ENULL:! DÜŞÜK:! ORTA:! EXP: RC4 + RSA: + YÜKSEK
Önceki satır yorumlanmış veya kaldırılmış haldeyken aşağıdaki iki satırı ekleyin:
SSLHonorCipherSipariş Açık
SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS
Mevcut şifrelere ilişkin ek bilgi için ve yapılandırmanızın güvenlik politikanızla uyumlu olduğundan emin olmak için: OpenSSL.org.
