Amanda Enterprise Server增强的安全性配置

• 本文适用于 阿曼达企业（AE）

从中小企业到企业，大学，甚至家庭用户，信息安全在各个级别上都变得越来越重要。

禁用ICMP重定向

恶意用户可以使用特制的ICMP请求消息对网络发起拒绝服务攻击。 如果您的网络设计中未使用ICMP重定向来更新路由表，并且备份服务器也未充当路由器或网关，则应禁用ICMP重定向接受和发送消息。 通过proc文件系统（procfs）来禁用Linux（以及许多其他类似Unix的操作系统）中的ICMP重定向很简单，而procfs本身最容易通过sysctl之类的接口使用。

禁用ICMP重定向在运行时接受和发送 所有 通过发出以下命令，使用sysctl完成接口。

在运行时禁用IPv4的ICMP重定向：

Root@host# /sbin/sysctl -w net.ipv4.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv4.conf.all.send_redirects = 0

在运行时禁用IPv6的ICMP重定向：

Root@host# /sbin/sysctl -w net.ipv6.conf.all.accept_redirects = 0 Root@host# /sbin/sysctl -w net.ipv6.conf.all.send_redirects = 0

如果要指定接口，例如eth0，则可以将上述示例中的“ all”替换为接口名称。 IE：

Root@host# /sbin/sysctl -w net.ipv4.conf。eth0。接受重定向 = 0

但是，这是一种较差的方法，因为更改对于重新启动不会持久。 如果不需要ICMP重定向接受和发送，最好修改/etc/sysctl.conf文件以进行永久更改。

为类似RHEL和类似SLES的操作系统修改sysctl.conf：

＃对于IPv4
net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0

＃对于IPv6
net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.all.send_redirects = 0

为Ubuntu和类似Debian的操作系统修改sysctl.conf：

＃对于IPv4
net / ipv4 / conf / all / accept_redirects = 0 net / ipv4 / conf / all / send_redirects = 0

＃对于IPv6
net / ipv6 / conf / all / accept_redirects = 0 net / ipv6 / conf / all / send_redirects = 0

Apache的配置

Zmanda管理控制台（ZMC）为 Apache HTTP Server （httpd）。 因此，所有适用于任何其他生产HTTP服务器的安全注意事项也适用于ZMC。 Zmanda httpd实例的配置文件可以在文件系统上的目录/ opt / zmanda / amanda / apache2 /中找到。

Zmanda努力工作以确保httpd的默认配置是安全的，但保持最新状态与更新很重要。 Apache安全更新 以及。

如果使用旧版本的Amanda Enterprise，则可能会遇到一些常见问题，包括：

X.509服务器证书

Zmanda不附带X.509服务器证书。 如果用户希望实现X.509，则需要购买X.XNUMX或以其他方式生成X.XNUMX，以与Apache HTTP Server一起使用。

httpd.conf中

在Zmanda的某些旧版本中，您可能会发现Set-Cookie HTTP响应标头缺少HttpOnly。 在httpd.conf中添加以下条目：

标题编辑Set-Cookie ^（。*）$ $ 1; HttpOnly; Secure

使用以下命令重新启动ZMC：/etc/init.d/zmc_aee restart。

配置文件

在旧版本的Zmanda中，您可能希望提高使用的密码的强度，并加强其优先级。 在ssl.conf中找到以下行，然后将其注释掉或将其删除：

SSLCipherSuite ALL：！aNULL：！ADH：！eNULL：！LOW：！MEDIUM：！EXP：RC4 + RSA：+ HIGH

在上一行被注释掉或删除的情况下，添加以下两行：

SSLCipherSuite上的SSLHonorCipherOrder ECDH + AESGCM：DH + AESGCM：ECDH + AES256：DH + AES256：ECDH + AES128：DH + AES：RSA + AESGCM：RSA + AES：！aNULL：！MD5：！DSS

有关密码的其他信息，并确保您的配置符合您的安全策略：请务必检查openssl的文档。

SELinux的

为了通过强制性访问控制（MAC）来实现更高级别的安全性，建议实现SELinux。 SELinux已在许多流行的Linux发行版中实现，并且可以在本文中找到有关串联使用它和Amanda Enterprise的其他信息。 SELinux和Amanda Enterprise.