Blog

Amanda Enterprise Server Gelişmiş Güvenlik Yapılandırmaları

Bilgi güvenliği, küçükten orta ölçekli işletmelere, işletmelerden üniversitelere ve hatta ev kullanıcılarına kadar her düzeyde giderek artan bir şekilde kritik öneme sahip hale geldi. Modern fidye yazılımı ve diğer kötü amaçlı yazılımlarla, verilerinizi sık sık yedeklemek her zamankinden daha önemlidir. Bu nedenle, ortamınızdaki yedeklemeleri kolaylaştırmakla sorumlu olan sunucunun kendisinin korunması önemlidir.

ICMP Yeniden Yönlendirmelerini Devre Dışı Bırakma

Kötü niyetli kullanıcılar, ağa karşı Hizmet Reddi saldırıları başlatmak için özel hazırlanmış ICMP istek mesajlarını kullanabilir. Yön tablolarını güncellemek için ağ mimarinizde ICMP yeniden yönlendirmeleri kullanılmıyorsa ve yedekleme sunucusu aynı zamanda bir yönlendirici veya ağ geçidi görevi görmüyorsa: o zaman ICMP Redirect kabul etme ve gönderme mesajları yedekleme sunucusunda devre dışı bırakılmalıdır.

Proc dosya sistemi (procfs) aracılığıyla Linux'ta (ve diğer birçok Unix benzeri işletim sisteminde) ICMP yeniden yönlendirmeyi devre dışı bırakmak basittir ve procfs, sysctl gibi bir arayüz aracılığıyla çalışmak için en kolay yoldur.

ICMP Yeniden Yönlendirmelerini Çalışma zamanında Kabul Et ve Göndermeyi Devre Dışı Bırakma herşey arayüzler, aşağıdaki komutlar verilerek sysctl ile yapılır.

 

Çalışma Süresi Sırasında IPv4 için ICMP Yeniden Yönlendirmelerini Devre Dışı Bırakma:

Kök @ host# / sbin / sysctl -w net.ipv4.conf.all.accept_redirects = 0

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.send_redirects = 0

 

Çalışma Süresi Sırasında IPv6 için ICMP Yeniden Yönlendirmelerini Devre Dışı Bırakma:

Kök @ host# / sbin / sysctl -w net.ipv6.conf.all.accept_redirects = 0

Kök @ host# / sbin / sysctl -w net.ipv6.conf.all.send_redirects = 0

Bir arabirim belirtmek isterseniz, örneğin eth0, o zaman yukarıdaki örneklerde 'tümü' kısmını belirli arabirimin adıyla değiştirirsiniz. Yani:

Root @ host# / sbin / sysctl -w net.ipv4.conf.eth0.accept_redirects = 0

Çalışma zamanı sırasında ICMP'yi dinamik olarak devre dışı bırakmak, biraz zayıf bir yöntemdir, çünkü değişiklikler yeniden başlatma için kalıcı olmayacaktır. ICMP yeniden yönlendirmelerinin kabul edilmesi ve gönderilmesi gerekmiyorsa, kalıcı bir değişiklik için /etc/sysctl.conf dosyasını değiştirmek daha iyidir. Not: Yukarıda belirtildiği gibi, aşağıdaki örneklerde "tümü" nün herhangi bir örneği belirli bir ağ arayüzünün adıyla değiştirilebilir.

RHEL benzeri ve SLES benzeri işletim sistemleri için sysctl.conf dosyasını değiştirme:

IPv4 için #

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

IPv6 için #

net.ipv6.conf.all.accept_redirects = 0

net.ipv6.conf.all.send_redirects = 0

Ubuntu ve Debian benzeri işletim sistemleri için sysctl.conf'u değiştirme:

IPv4 için #

net / ipv4 / conf / all / accept_redirects = 0

net / ipv4 / conf / all / send_redirects = 0

IPv6 için #

net / ipv6 / conf / all / accept_redirects = 0

net / ipv6 / conf / all / send_redirects = 0

Sysctl.conf dosyasını aşağıdaki komutla "yükleyerek" yeniden başlatma olmadan çalışma zamanı sırasında sysctl.conf dosyasını değiştirmek ve ayarları güncellemek mümkündür:

Kök @ host# / sbin / sysctl -p

Procfs ve / veya sysctl ile ilgili ek dokümantasyon için lütfen sisteminizdeki ilgili man sayfalarına bakın.

Amanda Enterprise'ın eski bir sürümünü kullanıyorsanız sahip olabileceğiniz bazı endişeler şunlardır:

X.509 Sunucu Sertifikaları

Zmanda, bir X.509 sunucu sertifikasıyla paketlenmiş olarak gelmez. Bir kullanıcı bir X.509 sertifikası uygulamak isterse, bu sertifikanın satın alınması veya başka bir şekilde Apache HTTP Sunucusu ile kullanılmak üzere oluşturulması gerekecektir.

httpd.conf

Zmanda'nin bazı eski sürümlerinde, Set-Cookie HTTP yanıt başlığının HttpOnly eksik olduğunu görebilirsiniz.

Httpd.conf'a aşağıdaki girişi ekleyin:

Başlık düzenleme Set-Cookie ^ (. *) $ $1; HttpOnly; Secure

/Etc/init.d/zmc_aee restart kullanarak ZMC'yi yeniden başlatın.

ssl.conf

Zmanda'nin eski sürümlerinde, kullanılan şifrelerin gücünü artırmak ve önceliklerini uygulamak isteyebilirsiniz. Ssl.conf dosyasında aşağıdaki satırı bulun ve yorum yapın veya kaldırın:

SSLCipherSuite TÜM:! ANULL:! ADH:! ENULL:! DÜŞÜK:! ORTA:! EXP: RC4 + RSA: + YÜKSEK

Önceki satır yorumlanmış veya kaldırılmış haldeyken aşağıdaki iki satırı ekleyin:

SSLHonorCipherOrder On

SSLCipherSuite ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS

Kullanılabilir şifrelere ilişkin ek bilgi için ve yapılandırmanızın güvenlik politikanızla uyumlu olduğundan emin olmak için: OpenSSL.org.

Cevap bırakın

tr_TRTurkish
en_USEnglish fr_FRFrench it_ITItalian es_ESSpanish de_DEGerman pt_BRPortuguese sv_SESwedish nl_NLDutch jaJapanese pl_PLPolish zh_TWChinese id_IDIndonesian ko_KRKorean ms_MYMalay thThai tr_TRTurkish