- Bu makale Amanda Kurumsal (AE)
Bilgi güvenliği, küçükten orta ölçekli işletmelere, işletmelerden üniversitelere ve hatta ev kullanıcılarına kadar her düzeyde giderek artan bir şekilde kritik öneme sahip hale geldi.
ICMP Yeniden Yönlendirmelerini Devre Dışı Bırakma
Kötü niyetli kullanıcılar, ağa karşı Hizmet Reddi saldırıları başlatmak için özel hazırlanmış ICMP istek mesajlarını kullanabilir. Yön tablolarını güncellemek için ağ tasarımınızda ICMP yeniden yönlendirmeleri kullanılmıyorsa ve yedekleme sunucusu aynı zamanda bir yönlendirici veya ağ geçidi görevi görmüyorsa, ICMP Yeniden Yönlendirme kabul etme ve gönderme mesajları devre dışı bırakılmalıdır. Linux'ta (ve diğer pek çok Unix benzeri işletim sisteminde) proc dosya sistemi (procfs) aracılığıyla ICMP yeniden yönlendirmeyi devre dışı bırakmak kolaydır ve procfs, sysctl gibi bir arabirim aracılığıyla çalışmak için en kolay yoldur.
ICMP Yeniden Yönlendirmelerini Çalışma zamanında Kabul Et ve Göndermeyi Devre Dışı Bırakma herşey arayüzler, aşağıdaki komutlar verilerek sysctl ile yapılır.
Çalışma zamanında IPv4 için ICMP Yeniden Yönlendirmelerini devre dışı bırakma:
Root@host# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0
Çalışma zamanında IPv6 için ICMP Yeniden Yönlendirmelerini devre dışı bırakma:
Root@host# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv6.conf.all.send_redirects = 0
Bir arabirim belirtmek isterseniz, örneğin eth0, o zaman yukarıdaki örneklerde 'tümü' yerine arabirimin adını koyarsınız. Yani:
Root@host# /sbin/sysctl -w net.ipv4.conf.et0.kabul_yönlendirmeleri = 0
Ancak bu kötü bir yöntemdir çünkü değişiklikler yeniden başlatma için kalıcı olmayacaktır. ICMP Yönlendirmelerinin kabul edilmesi ve gönderilmesi gerekmiyorsa /etc/sysctl.conf dosyasını kalıcı bir değişiklik için değiştirmek daha iyidir.
RHEL benzeri ve SLES benzeri işletim sistemleri için sysctl.conf dosyasını değiştirme:
# IPv4 için net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 # IPv6 için net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.all.send_redirects = 0
Ubuntu ve Debian benzeri işletim sistemleri için sysctl.conf'u değiştirme:
# IPv4 için net / ipv4 / conf / all / accept_redirects = 0 net / ipv4 / conf / all / send_redirects = 0 # IPv6 için net / ipv6 / conf / all / accept_redirects = 0 net / ipv6 / conf / all / send_redirects = 0
Apache Yapılandırma
Zmanda Yönetim Konsolu (ZMC), Apache HTTP Server (httpd). Bu nedenle, diğer herhangi bir üretim HTTP sunucusu için geçerli olabilecek tüm güvenlik hususları ZMC için de geçerlidir. Zmanda httpd örneğinin yapılandırma dosyaları, dosya sisteminde / opt / zmanda / amanda / apache2 / dizininde bulunabilir.
Zmanda, httpd'nin varsayılan yapılandırmasının güvenli olduğundan emin olmak için özenle çalışır, ancak güncel tutmak önemlidir. Apache Güvenlik Güncellemeleri gibi.
Amanda Enterprise'ın eski bir sürümünü kullanıyorsanız karşılaşabileceğiniz bazı genel sorunlar şunlardır:
X.509 Sunucu Sertifikaları
Zmanda, bir X.509 sunucu sertifikası ile paketlenmiş olarak gelmez. Bir kullanıcı bir X.509 uygulamak isterse, satın alması veya Apache HTTP Sunucusuyla kullanılmak üzere başka bir şekilde oluşturulması gerekecektir.
httpd.conf
Zmanda'nın bazı eski sürümlerinde Set-Cookie HTTP yanıt başlığının HttpOnly'nin eksik olduğunu görebilirsiniz. Httpd.conf'a aşağıdaki girişi ekleyin:
Üstbilgi düzenleme Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure
/Etc/init.d/zmc_aee restart komutunu kullanarak ZMC'yi yeniden başlatın.
ssl.conf
Zmanda'nın eski sürümlerinde kullanılan şifrelerin gücünü artırmak ve önceliklerini uygulamak isteyebilirsiniz. Ssl.conf dosyasında aşağıdaki satırı bulun ve yorum yapın veya kaldırın:
SSLCipherSuite TÜM:! ANULL:! ADH:! ENULL:! DÜŞÜK:! ORTA:! EXP: RC4 + RSA: + YÜKSEK
Önceki satır yorumlanmış veya kaldırılmış haldeyken aşağıdaki iki satırı ekleyin:
SSLHonorCipherSSLCipherSuite'de Sırala ECDH + AESGCM: DH + AESGCM: ECDH + AES256: DH + AES256: ECDH + AES128: DH + AES: RSA + AESGCM: RSA + AES:! ANULL:! MD5:! DSS
Şifrelere ilişkin ek bilgi için ve yapılandırmanızın güvenlik politikanızla uyumlu olduğundan emin olmak için: openssl belgelerini kontrol ettiğinizden emin olun.
SELinux
Zorunlu erişim kontrolleri (MAC) aracılığıyla ek güvenlik seviyeleri uygulamak için SELinux'un uygulanması tavsiye edilir. SELinux, birçok popüler Linux dağıtımında uygulanmaktadır ve onu ve Amanda Enterprise'ı birlikte kullanmayla ilgili ek bilgiler makalede bulunabilir. SELinux ve Amanda Enterprise.
