www.samag.ru
Журнал «БИТ. Бизнес&Информационные технологии»      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Интеграция Open Source-решений  

Open Source в облачной среде

Облачные решения становятся всё более популярными в мире. Компании стремятся использовать их для

 Читать далее...

Автоматизация  

Нейросеть вам в руки! Как использовать ИИ для автоматизации задач

Использование ИИ для автоматизации задач помогает компании получить конкурентное преимущество, поскольку объединение

 Читать далее...

Рынок труда  

Специалист по этическому ИИ, инженер по квантовым вычислениям или аналитик по метавселенной?

Новые тенденции в развитии ИТ могут привести к возникновению новых специальностей в

 Читать далее...

Книжная полка  

Учитесь убеждать и побеждать

Издательство «БХВ», как всегда, порадовало своих читателей хорошими книжными новинками. Кроме популярных

 Читать далее...

Сетевая инфраструктура  

Как удаленная работа меняет подход к сетевой инфраструктуре?

С увеличением числа сотрудников, работающих из дома, организации сталкиваются с необходимостью создания

 Читать далее...

Мониторинг  

Какой мониторинг нужен сегодня?

По мнению экспертов ГК InfoWatch, действия сотрудников – самая распространенная причина инцидентов

 Читать далее...

Книжная полка  

Руководство для тех, кто увлечен ИИ, программированием. И дизайном

Накануне лета издательство «БХВ» выпустило книжные новинки, от которых любителям чтения будет

 Читать далее...

Мобильные приложения  

Искусственный интеллект в мобильных приложениях: возможности и перспективы

Обзор современных применений ИИ в мобильных приложениях, анализ перспектив развития этой технологии,

 Читать далее...

ИТ-образование  

Как сделать ИТ-образование эффективным?

Эксперты ИТ-отрасли отвечают на вопросы «СА». Обсуждаем ключевые аспекты для улучшения образовательных

 Читать далее...

Work-life balance  

Как айтишнику найти баланс между работой и личной жизнью?

Обсуждаем инструменты для эффективного управления временем, снижения уровня стресса и достижения гармонии. На

 Читать далее...

Книжная полка  

Всё самое нужное – под одной обложкой

Отличительная черта книжных новинок, выпущенных недавно издательством «БХВ» – это их универсальность. Не просто

 Читать далее...

ИТ-инфраструктура  

Системы мониторинга ИТ-инфраструктуры-2025

Без мониторинга ИТ-инфраструктуры не обходится ни одна компания, хотя бы потому, что

 Читать далее...

Открытое ПО  

Безопасность Open Source: рискуем или контролируем?

Компания «Кросс технолоджис» изучила, как используется ПО с открытым кодом в компаниях

 Читать далее...

Работа с нейросетью  

Скажи, есть ли у тебя AI, и я скажу, кто ты

Недавно сервис по поиску работы SuperJob выяснил, что каждый второй россиянин уже

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 9421
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 9652
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 7061
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 4408
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 5194
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 5196
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 7861
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 4564
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 4823
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 8817
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 12245
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 13828
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 15596
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 10462
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 8488
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 6725
Комментарии: 4
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 5869
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 4714
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 4440
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 4654
Комментарии: 1
Рецензия на книгу «MongoDB в действии»

 Читать далее...

Друзья сайта  

 Полезные советы по Bacula

Архив номеров / 2006 / Выпуск №11 (48) / Полезные советы по Bacula

Рубрика: Безопасность /  Угрозы

Полезные советы по Bacula

Настройка безопасной передачи данных TLS

По умолчанию при аутентификации Службы файлов (File Daemon), Центра управления (Director) и консоли (Bacula Console) используется пара логин и пароль. Пароль по сети передается в зашифрованном CRAM-MD5 виде, который не обеспечивает достаточной защищенности, так как уязвим к plaintext-атаке. Данные по сети передаются в открытом виде, что позволяет их перехватить. Между тем, начиная с версии 1.37 в Bacula интегрирована поддержка TLS, что позволяет использовать этот криптографический протокол для обеспечения безопасной аутентификации и передачи информации в сети. Для этого необходимо выполнить всего несколько действий. Для начала необходимо собрать Bacula, задав при конфигурировании опцию --enable-openssl.

После установки генерируем сертификаты:

$ mkdir /etc/ssl/bacula

$ cd /etc/ssl/bacula

# openssl req -new -x509 -config /opt/ssl/openssl.cnf -keyout bacula.pem -out bacula.pem -days 365

Рекомендуется подписать свой сертификат в организациях вроде http://cacert.org.

Разделяем ключ и сертификат, убираем пароль с ключа:

# /opt/bin/openssl rsa -in bacula.pem -out bacula_server.key

# /opt/bin/openssl x509 -in bacula.pem -out bacula_server.crt

И добавляем в конфигурационные файлы всех компонентов Bacula следующее:

TLS Enable = yes        # включение TLS

TLS Require = yes

TLS Verify Peer = yes   # включение проверки сертификата клиента (используется только на сервере)

Использование этого параметра позволит проверять все клиентские сертификаты на соответствие CN (Common Name, обычно это адрес электронной почты или веб-сайта организации). Все возможные CN прописываются в директиве TLS Allowed CN, которая может быть использована несколько раз, в этом случае будут проверены все варианты.

TLS Allowed CN = "bacula@example.com"

TLS Allowed CN = "administrator@example.com"

Следующей директивой указываем полный путь и имя файла TLS CA-сертификата. Допускается наличие нескольких сертификатов в одном файле. Как вариант можно использовать директиву TLS CA Certificate Dir, указывающую на каталог, в котором находятся СА-сертификаты, которые использовались при подписании. Имена файлов сертификатов и ключей должны иметь pem-формат.

TLS CA Certificate File = /etc/ssl/bacula/bacula_server.crt

Проще всего для создания ключей и сертификатов использовать скрипт CA.pl, прописав все необходимые параметры в файл openssl.cnf.

Сертификат и ключ сервера, используемые для шифрования исходящего соединения к клиенту (естественно, ключ должен соответствовать сертификату):

TLS Certificate = /etc/ssl/bacula/bacula_server.crt

TLS Key = /etc/ssl/bacula/bacula_server.key

Другим вариантом защиты является создание защищенного соединения с использованием stunnel или ssh-туннеля. При создании последнего вам поможет скрипт ssh-tunnel.sh лежащий в каталоге examples.

Используйте брандмауэр и TCP wrappers

Для большей защиты необходимо закрыть доступ к портам 9101, 9102, 9103 межсетевым экраном, разрешив соединение только с определенных адресов или сетей.

При этом следует учитывать следующую схему работы демонов (при настройках по умолчанию):

  • Консоль ожидает подключения Центра управления на 9101-порту.
  • Центр управления ожидает подключения Storage на 9103-порту.
  • Центр управления ожидает подключения Службы файлов на 9102-порту.
  • Служба файлов ожидает подключения Storage на 9103-порту.

То есть в общем случае правило iptables для сети -s 192.168.0.0/24 выглядит так.

Для сервера:

-A INPUT -p tcp --dport 9101:9103 -s 192.168.0.0/24 -j ACCEPT

И для клиента:

-A INPUT -p tcp --dport 9102 –s 192.168.0.0/24 -j ACCEPT

Использование файлов /etc/hosts.allow или /etc/hosts.deny, также положительно скажется на безопасности. Для этого при конфигурировании Bacula необходимо задать опцию --with-tcp-wrappers. В качестве имени в записываемых правилах следует использовать имена, записанные в файлах конфигурации в параметре Name, не имя процесса демона. Например, если в секции Name стоят названия main-fd, main-sd и main-dir, записи в этом файле могут быть такими:

main-fd : example.com : allow

main-sd : example.com : allow

main-dir : example.com : allow

main-fd : ALL : deny

main-sd : ALL : deny

main-dir : ALL : deny

После чего проверьте правильность записей с помощью утилит tcpdchk и tcpdmatch:

$ tcpdmatch main-fd  example.com

warning: main-fd : no such process name in /etc/inetd.conf

client: hostname example.com

client: address 192.168.1.58

server: process main-fd 

matched: /etc/hosts.allow line 11

option: allow

access: granted

Кстати, параметры signature и verify могут заменить утилиты вроде tripwire.

Сергей Яремчук


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru