博客

Amanda Enterprise Server增強的安全性配置

從中小企業到企業,大學,甚至家庭用戶,信息安全在各個級別上都變得越來越重要。借助現代化的勒索軟件和其他惡意軟件,比以往更加重要的是經常備份您的數據。因此,負責保護您環境中的備份的服務器本身必須受到保護。

禁用ICMP重定向

惡意用戶可以使用特製的ICMP請求消息來發起針對網絡的拒絕服務攻擊。如果您的網絡體系結構中未使用ICMP重定向來更新路由表,並且備份服務器也未充當路由器或網關:那麼應在備份服務器上禁用ICMP重定向接受和發送消息。

通過proc文件系統(procfs)禁用Linux(以及許多其他類似Unix的操作系統)中的ICMP重定向很簡單,而procfs本身最容易通過sysctl之類的接口使用。

禁用ICMP重定向在運行時接受和發送 所有 通過發出以下命令,使用sysctl完成接口。

 

在運行時禁用IPv4的ICMP重定向:

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.accept_redirects = 0

Root @ host# / sbin / sysctl -w net.ipv4.conf.all.send_redirects = 0

 

在運行時禁用IPv6的ICMP重定向:

Root @ host# / sbin / sysctl -w net.ipv6.conf.all.accept_redirects = 0

Root @ host# / sbin / sysctl -w net.ipv6.conf.all.send_redirects = 0

如果希望指定一個接口,例如eth0,則可以將上述示例中的'all'替換為特定接口的名稱。即:

Root @ host# / sbin / sysctl -w net.ipv4.conf。eth0.accept_redirects = 0

在運行時動態禁用ICMP是一種較差的方法,因為更改對於重新啟動不會持久。如果不需要ICMP重定向接受和發送,最好將/etc/sysctl.conf文件修改為永久更改。注意:如上所述,在以下示例中,“ all”的任何實例都可以替換為特定網絡接口的名稱。

為類似RHEL和類似SLES的操作系統修改sysctl.conf:

用於IPv4的#

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

用於IPv6的#

net.ipv6.conf.all.accept_redirects = 0

net.ipv6.conf.all.send_redirects = 0

為Ubuntu和類似Debian的操作系統修改sysctl.conf:

用於IPv4的#

net / ipv4 / conf / all / accept_redirects = 0

net / ipv4 / conf / all / send_redirects = 0

用於IPv6的#

net / ipv6 / conf / all / accept_redirects = 0

net / ipv6 / conf / all / send_redirects = 0

通過使用以下命令“加載” sysctl.conf文件,可以在運行時修改sysctl.conf文件並更新設置,而無需重新啟動:

根@ host# / sbin / sysctl -p

有關procfs和/或sysctl的其他文檔,請參閱系統上它們各自的手冊頁。

如果使用舊版本的Amanda Enterprise,您可能會擔心:

X.509服務器證書

Zmanda不附帶X.509服務器證書。如果用戶希望實施X.509證書,則需要購買該證書或以其他方式生成該證書以用於Apache HTTP Server。

httpd.conf

在Zmanda的某些舊版本中,您可能會發現Set-Cookie HTTP響應標頭缺少HttpOnly。

在httpd.conf中添加以下條目:

標題編輯Set-Cookie ^(。*)$ $1; HttpOnly;安全

使用以下命令重新啟動ZMC:/etc/init.d/zmc_aee restart

ssl.conf

在Zmanda的較舊版本中,您可能希望提高使用的密碼的強度,並加強其優先級。在ssl.conf中找到以下行,並對其進行註釋或將其刪除:

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!MEDIUM:!EXP:RC4 + RSA:+ HIGH

在上一行被註釋掉或刪除的情況下,添加以下兩行:

SSLHonorCipherOrder開啟

SSLCipherSuite ECDH + AESGCM:DH + AESGCM:ECDH + AES256:DH + AES256:ECDH + AES128:DH + AES:RSA + AESGCM:RSA + AES:!aNULL:!MD5:!DSS

有關可用密碼的其他信息,並確保您的配置符合安全策略:請務必從以下位置檢查文檔: OpenSSL.org.

加入討論

zh_TWChinese
en_USEnglish fr_FRFrench it_ITItalian es_ESSpanish de_DEGerman pt_BRPortuguese sv_SESwedish tr_TRTurkish nl_NLDutch jaJapanese pl_PLPolish id_IDIndonesian ko_KRKorean ms_MYMalay thThai zh_TWChinese