Sommario
- Guida all'hardening
- Distribuzione di Administration Server
- Sicurezza della connessione
- Account e autenticazione
- Gestione della protezione di Administration Server
- Gestione della protezione dei dispositivi client
- Configurazione della protezione per le applicazioni gestite
- Manutenzione di Administration Server
- Trasferimento di eventi a sistemi di terzi
- Scenario: autenticazione di MySQL Server
- Scenario: autenticazione del server PostgreSQL
Guida all'hardening
Kaspersky Security Center Linux è progettato per l'esecuzione centralizzata delle attività di base di amministrazione e manutenzione nella rete di un'organizzazione. L'applicazione fornisce all'amministratore l'accesso a informazioni dettagliate sul livello di sicurezza della rete dell'organizzazione. Kaspersky Security Center Linux consente di configurare tutti i componenti della protezione creati utilizzando le applicazioni Kaspersky.
Kaspersky Security Center Linux Administration Server ha accesso completo alla gestione della protezione dei dispositivi client ed è il componente più importante del sistema di sicurezza dell'organizzazione. Pertanto, per Administration Server sono necessari metodi di protezione avanzati.
Prima della configurazione, creare una copia di backup di Kaspersky Security Center Linux Administration Server utilizzando l'attività Backup dei dati di Administration Server o l'utilità klbackup e salvarla in una posizione sicura.
Nella Guida all'hardening, sono descritti i suggerimenti e le caratteristiche della configurazione di Kaspersky Security Center Linux e dei suoi componenti, intesi a ridurre i rischi di compromissione.
La Guida all'hardening contiene le seguenti informazioni:
- Selezione dell'architettura di Administration Server
- Configurazione di una connessione sicura ad Administration Server
- Configurazione degli account per l'accesso ad Administration Server
- Gestione della protezione di Administration Server
- Gestione della protezione dei dispositivi client
- Configurazione della protezione per le applicazioni gestite
- Manutenzione di Administration Server
- Trasferimento di informazioni ad applicazioni di terzi
- Suggerimenti sulla sicurezza per i sistemi informativi di terze parti
Distribuzione di Administration Server
Architettura di Administration Server
In generale, la scelta di un'architettura di gestione centralizzata dipende dalla posizione dei dispositivi protetti, dall'accesso da reti adiacenti, dagli schemi di distribuzione degli aggiornamenti del database e così via.
Nella fase iniziale dello sviluppo dell'architettura, si consiglia di familiarizzare con i componenti di Kaspersky Security Center Linux e con le modalità di interazione tra essi, così come con gli schemi per il traffico dati e l'utilizzo delle porte.
Sulla base di queste informazioni, è possibile formare un'architettura che specifichi:
- La posizione di Administration Server e le connessioni di rete
- L'organizzazione delle aree di lavoro dell'amministratore e i metodi di connessione ad Administration Server
- I metodi di distribuzione per Network Agent e il software di protezione
- L'utilizzo dei punti di distribuzione
- L'utilizzo di Administration Server virtuali
- L'utilizzo di una gerarchia di Administration Server
- Lo schema di aggiornamento del database anti-virus
- Altri flussi informativi
Selezione di un dispositivo per l'installazione di Administration Server
Si consiglia di installare Administration Server in un server dedicato nell'infrastruttura dell'organizzazione. Se nel server non è installato altro software di terzi, è possibile configurare le impostazioni di sicurezza in base ai requisiti di Kaspersky Security Center Linux, senza dipendere dai requisiti del software di terzi.
È possibile distribuire Administration Server in un server fisico o in un server virtuale. Verificare che il dispositivo selezionato soddisfi i requisiti hardware e software.
Limitazione della distribuzione di Administration Server in un controller di dominio, un server terminal o un dispositivo utente
Si sconsiglia vivamente di installare Administration Server in un controller di dominio, un server terminal o un dispositivo utente.
Si consiglia di fornire la separazione funzionale dei nodi chiave di rete. Questo approccio consente di mantenere l'operatività di diversi sistemi quando un nodo si guasta o è compromesso. Al contempo, è possibile creare diversi criteri di sicurezza per ciascun nodo.
Account per l'installazione e l'esecuzione di Administration Server
Durante la distribuzione di Administration Server, è necessario creare due account senza privilegi. I servizi inclusi in Administration Server funzioneranno con questi account senza privilegi. Seguire il principio del privilegio minimo quando si concedono diritti e autorizzazioni agli account. Evitare di includere account non necessari nel gruppo "kladmins".
È inoltre necessario creare un account DBMS interno. Administration Server utilizza questo account DBMS interno per accedere al DBMS selezionato.
Il set di account richiesti e i loro diritti dipende dal tipo di DBMS selezionato e dal metodo di creazione del database di Administration Server.
Inizio paginaSicurezza della connessione
Utilizzo di TLS
Si consiglia di vietare le connessioni non sicure ad Administration Server. Ad esempio, è possibile vietare le connessioni che utilizzano HTTP nelle impostazioni di Administration Server.
Si noti che, per impostazione predefinita, diverse porte HTTP di Administration Server sono chiuse. La porta rimanente viene utilizzata per il server Web di Administration Server (8060). Questa porta può essere limitata dalle impostazioni del firewall del dispositivo Administration Server.
Impostazioni TLS rigorose
Si consiglia di utilizzare il protocollo TLS versione 1.2 e successive e di limitare o vietare gli algoritmi di criptaggio non sicuri.
È possibile configurare i protocolli di criptaggio (TLS) utilizzati da Administration Server. Si noti che al momento del rilascio di una versione di Administration Server, le impostazioni del protocollo di criptaggio sono configurate per impostazione predefinita per garantire un trasferimento sicuro dei dati.
Limitazione dell'accesso al database di Administration Server
Si consiglia di limitare l'accesso al database di Administration Server. Ad esempio, concedere l'accesso solo dal dispositivo Administration Server. In questo modo, si riduce la probabilità che il database di Administration Server venga compromesso a causa di vulnerabilità note.
È possibile configurare i parametri in base alle istruzioni operative del database utilizzato, nonché fornire porte chiuse sui firewall.
Configurazione di una lista di indirizzi IP consentiti per la connessione ad Administration Server
Per impostazione predefinita, gli utenti possono accedere a Kaspersky Security Center Linux da qualsiasi dispositivo in cui è installato Kaspersky Security Center Web Console. È possibile configurare Administration Server in modo che gli utenti possano connettersi ad esso solo da dispositivi con indirizzi IP consentiti.
Inizio paginaAccount e autenticazione
Prima di eseguire i seguenti passaggi, creare una copia di backup di Kaspersky Security Center Linux Administration Server utilizzando l'attività Backup dei dati di Administration Server o l'utilità klbackup e salvarla in una posizione sicura.
Utilizzo della verifica in due passaggi con Administration Server
Kaspersky Security Center Linux fornisce la verifica in due passaggi per gli utenti di Kaspersky Security Center Web Console, basata sullo standard RFC 6238 (algoritmo TOTP, Time-based One-time Password).
Quando la verifica in due passaggi è abilitata per il proprio account, ogni volta che si accede a Kaspersky Security Center Web Console è necessario immettere il nome utente, la password e un codice di sicurezza monouso aggiuntivo. Per ricevere un codice di sicurezza monouso è necessario installare un'app di autenticazione nel computer o nel dispositivo mobile.
Esistono autenticatori software e hardware (token) che supportano lo standard RFC 6238. Ad esempio, gli autenticatori software includono Google Authenticator, Microsoft Authenticator, FreeOTP.
Si sconsiglia vivamente di installare l'app di autenticazione nello stesso dispositivo da cui viene stabilita la connessione ad Administration Server. È possibile installare un'app di autenticazione nel dispositivo mobile.
Utilizzo dell'autenticazione a due fattori per un sistema operativo
Si consiglia di utilizzare l'autenticazione a più fattori (MFA) per l'autenticazione nel dispositivo Administration Server utilizzando un token, una smart card o un altro metodo (se possibile).
Divieto di salvare la password amministratore
Se si utilizza Kaspersky Security Center Web Console, si sconsiglia di salvare la password amministratore nel browser installato nel dispositivo dell'utente.
Autenticazione di un account utente interno
Per impostazione predefinita, la password di un account utente interno di Administration Server deve rispettare le seguenti regole:
La password deve avere una lunghezza compresa tra 8 e 16 caratteri.
La password deve contenere caratteri da almeno tre dei gruppi elencati di seguito:
Lettere maiuscole (A-Z)
Lettere minuscole (a-z)
Numeri (0-9)
Caratteri speciali (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;)
La password non deve contenere spazi, caratteri Unicode o la combinazione di "." e "@", quando "." si trova prima di "@".
Per impostazione predefinita, il numero massimo di tentativi di immissione della password consentiti è 10. È possibile modificare il numero di tentativi di immissione della password consentiti.
L’utente di Kaspersky Security Center Linux può immettere una password non valida un numero limitato di volte. Una volta raggiunto il limite, l'account utente viene bloccato per un'ora.
Gruppo di amministrazione dedicato per Administration Server
Si consiglia di creare un gruppo di amministrazione dedicato per Administration Server. Concedere a questo gruppo diritti di accesso speciali e creare un criterio di sicurezza speciale per lo stesso.
Per evitare di abbassare intenzionalmente il livello di sicurezza di Administration Server, si consiglia di limitare l'elenco degli account che possono gestire il gruppo di amministrazione dedicato.
Limitazione dell'assegnazione del ruolo di amministratore principale
All'utente creato dall'utilità kladduser viene assegnato il ruolo di amministratore principale nell'elenco di controllo degli accessi (ACL) di Administration Server. Si consiglia di evitare l'assegnazione del ruolo di amministratore principale a un numero elevato di utenti.
Configurazione dei diritti di accesso alle funzionalità dell'applicazione
Si consiglia di utilizzare una configurazione flessibile dei diritti di accesso alle funzionalità di Kaspersky Security Center Linux per ciascun utente o gruppo di utenti.
Il controllo degli accessi in base al ruolo consente la creazione di ruoli utente standard con un set di diritti predefinito e l'assegnazione di tali ruoli agli utenti sulla base dell'ambito delle relative mansioni lavorative.
Principali vantaggi del modello di controllo degli accessi in base al ruolo:
- Amministrazione semplificata
- Gerarchia dei ruoli
- Approccio con privilegio minimo
- Separazione dei compiti
È possibile assegnare ruoli predefiniti a determinati dipendenti in base alle loro posizioni o creare ruoli completamente nuovi.
Durante la configurazione dei ruoli, prestare attenzione ai privilegi associati alla modifica dello stato della protezione del dispositivo Administration Server e all'installazione remota di software di terzi:
- Gestione dei gruppi di amministrazione.
- Operazioni con Administration Server.
- Installazione remota.
- Modifica dei parametri per l’archiviazione di eventi e l’invio delle notifiche.
Questo privilegio consente di impostare notifiche che eseguono uno script o un modulo eseguibile nel dispositivo Administration Server quando si verifica un evento.
Account separato per l'installazione remota delle applicazioni
Oltre alla differenziazione di base dei diritti di accesso, si consiglia di limitare l'installazione remota delle applicazioni per tutti gli account (ad eccezione dell'amministratore principale o di un altro account specializzato).
Si consiglia di utilizzare un account separato per l'installazione remota delle applicazioni. È possibile assegnare un ruolo o autorizzazioni all'account separato.
Controllo periodico di tutti gli utenti e delle azioni degli utenti
Si consiglia di eseguire un controllo periodico di tutti gli utenti sul dispositivo Administration Server. In questo modo, è possibile rispondere a determinati tipi di minacce alla sicurezza associate alla possibile compromissione del dispositivo.
È inoltre possibile monitorare le azioni degli utenti, ad esempio la connessione e la disconnessione da Administration Server, la connessione ad Administration Server con un errore e la modifica degli oggetti (per gli oggetti che supportano la gestione delle revisioni).
Inizio paginaGestione della protezione di Administration Server
Selezione di un software di protezione di Administration Server
A seconda del tipo di distribuzione di Administration Server e della strategia di protezione generale, selezionare l'applicazione per proteggere il dispositivo Administration Server.
Se si distribuisce Administration Server in un dispositivo dedicato, si consiglia di selezionare l'applicazione Kaspersky Endpoint Security per proteggere il dispositivo Administration Server. In questo modo, è possibile applicare tutte le tecnologie disponibili per proteggere il dispositivo Administration Server, inclusi i moduli di analisi del comportamento.
Se Administration Server è installato in un dispositivo esistente nell'infrastruttura ed è stato utilizzato in precedenza per altre attività, si consiglia di prendere in considerazione il seguente software di protezione:
- Kaspersky Industrial CyberSecurity for Nodes. Si consiglia di installare questa applicazione nei dispositivi inclusi in una rete industriale. Kaspersky Industrial CyberSecurity for Nodes è un'applicazione che dispone di certificati di compatibilità con vari produttori di software industriale.
- Prodotti di sicurezza suggeriti. Se Administration Server è installato in un dispositivo con altro software, si consiglia di consultare i suggerimenti del fornitore del software sulla compatibilità dei prodotti di sicurezza (potrebbero già essere disponibili suggerimenti per la selezione di una soluzione di sicurezza e potrebbe essere necessario configurare l'area attendibile).
Creazione di un criterio di sicurezza separato per l'applicazione di protezione
Si consiglia di creare un criterio di sicurezza separato per l'applicazione che protegge il dispositivo Administration Server. Questo criterio deve essere diverso dal criterio di sicurezza per i dispositivi client. In questo modo, è possibile specificare le impostazioni di sicurezza più appropriate per Administration Server, senza influire sul livello di protezione di altri dispositivi.
Si consiglia di dividere i dispositivi in gruppi e quindi di inserire il dispositivo Administration Server in un gruppo separato per il quale è possibile creare criteri di sicurezza speciali.
Moduli di protezione
In assenza di suggerimenti speciali da parte del fornitore del software di terzi installato nello stesso dispositivo di Administration Server, si consiglia di attivare e configurare tutti i moduli di protezione disponibili (dopo aver verificato il funzionamento di tali moduli di protezione per un certo periodo di tempo).
Configurazione del firewall del dispositivo Administration Server
Nel dispositivo Administration Server, si consiglia di configurare il firewall in modo da limitare il numero di dispositivi da cui gli amministratori possono connettersi ad Administration Server tramite Kaspersky Security Center Web Console.
Per impostazione predefinita, Administration Server utilizza la porta 13299 per ricevere le connessioni da Kaspersky Security Center Web Console. Si consiglia di limitare il numero di dispositivi da cui è possibile gestire Administration Server utilizzando questa porta.
Inizio paginaGestione della protezione dei dispositivi client
Limitazione dell'aggiunta di chiavi di licenza ai pacchetti di installazione
I pacchetti di installazione sono archiviati nella cartella condivisa di Administration Server, nella sottocartella Pacchetti. Se si aggiunge una chiave di licenza a un pacchetto di installazione, tutti gli utenti con diritti di lettura su questa cartella possono accedere alla chiave di licenza (direttamente o tramite il server Web integrato in Administration Server).
Per evitare di compromettere la chiave di licenza, si sconsiglia di aggiungere chiavi di licenza ai pacchetti di installazione.
Si consiglia di utilizzare la distribuzione automatica delle chiavi di licenza ai dispositivi gestiti, la distribuzione tramite l'attività Aggiungi chiave di licenza per un'applicazione gestita e aggiungere manualmente un codice di attivazione o un file chiave ai dispositivi.
Regole automatiche per lo spostamento dei dispositivi tra i gruppi di amministrazione
Si consiglia di limitare l'uso delle regole automatiche per lo spostamento dei dispositivi tra i gruppi di amministrazione.
Se si utilizzano regole automatiche per lo spostamento dei dispositivi, ciò potrebbe comportare la propagazione di criteri che forniscono più privilegi al dispositivo spostato rispetto a quelli di cui disponeva prima del riposizionamento.
Inoltre, lo spostamento di un dispositivo client in un altro gruppo di amministrazione può comportare la propagazione delle impostazioni dei criteri. Queste impostazioni dei criteri potrebbero non essere appropriate per la distribuzione a dispositivi guest e non attendibili.
Questo suggerimento non si applica all'allocazione iniziale una tantum dei dispositivi ai gruppi di amministrazione.
Requisiti di sicurezza per i punti di distribuzione e i gateway di connessione
I dispositivi con Network Agent installato possono fungere da punto di distribuzione ed eseguire le seguenti funzioni:
- Distribuire gli aggiornamenti e i pacchetti di installazione ricevuti da Administration Server ai dispositivi client all'interno del gruppo.
- Eseguire l'installazione remota di software di terzi e applicazioni Kaspersky nei dispositivi client.
- Eseguire il polling della rete per rilevare nuovi dispositivi e aggiornare le informazioni sui dispositivi esistenti. Il punto di distribuzione può utilizzare gli stessi metodi di rilevamento dei dispositivi di Administration Server.
Posizionamento dei punti di distribuzione sulla rete dell'organizzazione utilizzati per:
- Riduzione del carico su Administration Server
- Ottimizzazione del traffico
- Concessione all'Administration Server dell'accesso ai dispositivi in parti difficili da raggiungere della rete
Tenendo conto delle capacità disponibili, si consiglia di proteggere i dispositivi che fungono da punti di distribuzione da qualsiasi tipo di accesso non autorizzato (anche fisico).
Limitazione dell'assegnazione automatica dei punti di distribuzione
Per semplificare l'amministrazione e assicurare l'operatività della rete, si consiglia di utilizzare l'assegnazione automatica dei punti di distribuzione. Tuttavia, per le reti industriali e le reti di piccole dimensioni, si consiglia di evitare l'assegnazione automatica dei punti di distribuzione, poiché, ad esempio, le informazioni private degli account utilizzati per il push delle attività di installazione remota possono essere trasferite ai punti di distribuzione tramite il sistema operativo.
Per le reti industriali e le reti di piccole dimensioni, è possibile assegnare manualmente i dispositivi in modo che fungano da punti di distribuzione.
È inoltre possibile visualizzare il Rapporto sull'attività dei punti di distribuzione.
Inizio paginaConfigurazione della protezione per le applicazioni gestite
Criteri delle applicazioni gestite
Si consiglia di creare un criterio per ogni tipo di applicazione e componente utilizzato di Kaspersky Security Center Linux (Network Agent, Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, Kaspersky Endpoint Agent e altri). Questo criterio deve essere applicato a tutti i dispositivi gestiti (il gruppo di amministrazione principale) o a un gruppo separato in cui i nuovi dispositivi gestiti vengono automaticamente spostati in base alle regole di spostamento configurate.
Indicazione della password per disabilitare la protezione e disinstallare l'applicazione
Si consiglia vivamente di abilitare la protezione con password per impedire agli intrusi di disabilitare o disinstallare le applicazioni di protezione Kaspersky. Nelle piattaforme in cui è supportata la protezione con password, è possibile impostare la password, ad esempio, per Kaspersky Endpoint Security, Network Agent e altre applicazioni Kaspersky. Dopo aver abilitato la protezione tramite password, si consiglia di bloccare le impostazioni corrispondenti chiudendo il "lucchetto".
Specificazione della password per la connessione manuale di un dispositivo client ad Administration Server (utilità klmover)
L'utilità klmover consente di connettere manualmente un dispositivo client ad Administration Server. L'utilità klmover si trova nella cartella di installazione di Network Agent.
Per impedire agli intrusi di spostare i dispositivi fuori dal controllo di Administration Server, si consiglia di abilitare la protezione tramite password per l'esecuzione dell'utilità klmover. Per abilitare la protezione con password, selezionare l'opzione Usa password di disinstallazione nelle impostazioni dei criteri di Network Agent.
L'utilità klmover richiede i diritti di amministratore locale.
Se si perde o si dimentica la password di Network Agent protetto da password installato nel dispositivo che non è più sotto la gestione di Kaspersky Security Center Linux, non è possibile rimuovere Network Agent utilizzando l'utilità klmover o il prompt dei comandi. In questo caso, è necessario reinstallare il sistema operativo nel dispositivo in cui è installato Network Agent protetto da password.
L'abilitazione dell'opzione Usa password di disinstallazione nei dispositivi Windows consente anche di abilitare la protezione tramite password per lo strumento Cleaner (cleaner.exe).
Utilizzo di Kaspersky Security Network
In tutti i criteri delle applicazioni gestite e nelle proprietà di Administration Server, si consiglia di abilitare l'uso di Kaspersky Security Network (KSN) e di accettare l'Informativa KSN. Quando si aggiorna o si effettua l'upgrade di Administration Server, è possibile accettare l'Informativa KSN aggiornata. In alcuni casi, quando l'uso dei servizi cloud è vietato dalla legge o da altri regolamenti, è possibile disabilitare KSN.
Scansione regolare dei dispositivi gestiti
Per tutti i gruppi di dispositivi, si consiglia di creare un'attività che esegua periodicamente una scansione completa dei dispositivi.
Individuazione di nuovi dispositivi
Si consiglia di configurare correttamente le impostazioni di rilevamento dei dispositivi: impostare l'integrazione con controller di dominio e specificare gli intervalli di indirizzi IP per il rilevamento di nuovi dispositivi.
Per motivi di sicurezza, è possibile utilizzare il gruppo di amministrazione predefinito che include tutti i nuovi dispositivi e i criteri predefiniti che interessano questo gruppo.
Inizio paginaManutenzione di Administration Server
Copia di backup dei dati di Administration Server
Backup dei dati consente di ripristinare i dati di Administration Server senza perdita di dati.
Per impostazione predefinita, un'attività di backup dei dati viene creata automaticamente dopo l'installazione di Administration Server e viene eseguita periodicamente, salvando i backup nella directory appropriata.Le impostazioni dell'attività di backup dei dati possono essere modificate come segue:
- La frequenza di backup aumenta
- Viene specificata una directory speciale per il salvataggio delle copie
- Le password per le copie di backup sono state modificate
Se si archiviano copie di backup in una directory speciale, diversa dalla directory predefinita, si consiglia di limitare l'elenco di controllo di accesso (ACL, Access Control List) per questa directory. Gli account di Administration Server e gli account del database di Administration Server devono disporre dell'accesso in scrittura per questa directory.
Manutenzione di Administration Server
La manutenzione di Administration Server consente di ridurre il volume del database e migliorare le prestazioni e l'affidabilità delle operazioni dell'applicazione. È consigliabile eseguire la manutenzione di Administration Server almeno ogni settimana.
La manutenzione di Administration Server viene eseguita tramite un'attività specializzata. Durante la manutenzione di Administration Server, l'applicazione esegue le azioni seguenti:
- Riorganizza gli indici del database
- Aggiorna le statistiche del database
- Riduce le dimensioni del database (se necessario)
Installazione degli aggiornamenti del sistema operativo e degli aggiornamenti software di terzi
Si consiglia vivamente di installare periodicamente gli aggiornamenti software per il sistema operativo e il software di terzi nel dispositivo Administration Server.
I dispositivi client non richiedono una connessione continua ad Administration Server, quindi è possibile riavviare il dispositivo Administration Server in modo sicuro dopo aver installato gli aggiornamenti. Tutti gli eventi registrati nei dispositivi client durante il periodo di inattività di Administration Server vengono inviati ad esso dopo il ripristino della connessione.
Inizio paginaTrasferimento di eventi a sistemi di terzi
Monitoraggio e generazione dei rapporti
Per una risposta tempestiva ai problemi di sicurezza, si consiglia di configurare le funzionalità di monitoraggio e generazione dei rapporti.
Esportazione di eventi nei sistemi SIEM
Per il rilevamento rapido dei problemi di sicurezza prima che si verifichino danni significativi, si consiglia di utilizzare l'esportazione degli eventi in un sistema SIEM.
Notifiche e-mail degli eventi di controllo
Kaspersky Security Center Linux consente di ricevere informazioni sugli eventi che si verificano durante l'esecuzione di Administration Server e delle applicazioni Kaspersky installate nei dispositivi gestiti. Per una risposta tempestiva alle emergenze, si consiglia di configurare Administration Server in modo che invii notifiche sugli eventi di controllo, gli eventi critici, gli eventi di errore e gli avvisi pubblicati.
Poiché questi eventi sono eventi interni al sistema, è prevedibile che se ne verifichino pochi; si tratta di una situazione abbastanza normale per la posta.
Inizio paginaScenario: autenticazione di MySQL Server
Si consiglia di utilizzare un certificato TLS per autenticare MySQL Server. È possibile utilizzare un certificato di un'autorità di certificazione attendibile o un certificato autofirmato.
Administration Server supporta l'autenticazione SSL unidirezionale e bidirezionale per MySQL.
Abilitazione dell'autenticazione SSL unidirezionale
Seguire questi passaggi per configurare l'autenticazione SSL unidirezionale per MySQL:
- Generare un certificato TLS autofirmato per il server MySQL
Eseguire il seguente comando:
openssl genrsa 1024 > ca-key.pemopenssl req -new -x509 -nodes -days 365 -key ca-key.pem -config myssl.cnf > ca-cert.pemopenssl req -newkey rsa:1024 -days 365 -nodes -keyout server-key.pem -config myssl.cnf > server-req.pemopenssl x09 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem - Creare un file flag del server
Utilizzare l'utilità klscflag per creare il contrassegno del server KLSRV_MYSQL_OPT_SSL_CA e specificare il percorso del certificato come valore. L'utilità klscflag si trova nella directory in cui è installato Administration Server. Il percorso di installazione predefinito è /opt/kaspersky/ksc64/sbin.
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <percorso dica-cert.pem>-t d - Configurare il database
Specificare i certificati nel file my.cnf. Aprire il file my.cnf in un editor di testo e aggiungere le seguenti righe nella sezione [mysqld]:
[mysqld]ssl-ca=".../mysqlcerts/ca-cert.pem"ssl-cert=".../mysqlcerts/server-cert.pem"ssl-key=".../mysqlcerts/server-key.pem"
Abilitazione dell'autenticazione SSL bidirezionale
Seguire questi passaggi per configurare l'autenticazione SSL bidirezionale per MySQL:
- Creare file flag del server
Utilizzare l'utilità klscflag per creare i contrassegni del server e specificare il percorso dei file del certificato come valori:
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <percorso dica-cert.pem> -t sklscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CERT -v <percorso diserver-cert.pem> -t sklscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_KEY -v <percorso diserver-key.pem> -t sL'utilità klscflag si trova nella directory in cui è installato Administration Server. Il percorso di installazione predefinito è /opt/kaspersky/ksc64/sbin.
- Specificare la passphrase (facoltativo)
Se server-key.pem richiede una passphrase, creare un contrassegno KLSRV_MARIADB_OPT_TLS_PASPHRASE e specificare la passphrase come valore:
klscflag -fset -pv klserver -n KLSRV_MARIADB_OPT_TLS_PASPHRASE -v <passphrase> -t s - Configurare il database
Specificare i certificati nel file my.cnf. Aprire il file my.cnf in un editor di testo e aggiungere le seguenti righe nella sezione [mysqld]:
[mysqld]ssl-ca=".../mysqlcerts/ca-cert.pem"ssl-cert=".../mysqlcerts/server-cert.pem"ssl-key=".../mysqlcerts/server-key.pem"
Scenario: autenticazione del server PostgreSQL
Espandi tutto | Comprimi tutto
Si consiglia di utilizzare un certificato TLS per autenticare il server PostgreSQL. È possibile utilizzare un certificato di un'autorità di certificazione attendibile o un certificato autofirmato.
Administration Server supporta l'autenticazione SSL unidirezionale e bidirezionale per PostgreSQL.
L'autenticazione del server PostgreSQL avviene in fasi:
- Generazione di un certificato per il server PostgreSQL
Eseguire i seguenti comandi:
openssl req -new -x509 -days 365 -nodes -text -out psql.crt -keyout psql.key -subj "/CN=psql"chmod og-rwx psql.key - Generazione di un certificato per Administration Server
Eseguire i seguenti comandi. Il valore CN deve corrispondere al nome dell'utente che si connette a PostgreSQL per conto di Administration Server. Il nome utente è impostato su postgres per impostazione predefinita.
openssl req -new -x509 -days 365 -nodes -text -out postgres.crt -keyout postgres.key -subj "/CN=postgres"chmod og-rwx postgres.key - Configurazione dell'autenticazione del certificato client
Modificare pg_hba.conf come segue:
hostssl mydb myuser 192.168.1.0/16 scram-sha-256Assicurarsi che pg_hba.conf non includa un record che inizia con
host. - Specifica del certificato PostgreSQL
- Riavvio del daemon PostgreSQL
Eseguire il seguente comando:
systemctl restart postgresql-14.service - Specifica del flag del server per Administration Server
- Riavvio del servizio Administration Server