TLS の使用
管理サーバーへのセキュアでない接続を禁止することを推奨します。たとえば、管理サーバーの設定で HTTP を使用する接続を禁止することができます。
既定では、管理サーバーの HTTP ポートが閉じられていることに注意してください。残りのポートは、管理サーバーのウェブサーバー(8060)に使用されます。このポートは、管理サーバーデバイスのファイアウォール設定によって制限される場合があります。
厳密な TLS 設定
バージョン 1.2 以降の TLS プロトコルを使用し、セキュアでない暗号化アルゴリズムを制限または禁止することを推奨します。
管理サーバーが使用する暗号化プロトコル(TLS)を設定できます。管理サーバーのバージョンがリリースされた時点では、既定では暗号化プロトコルの設定がセキュアなデータ転送を保証するように設定されていることに注意してください。
管理サーバーデータベースへのアクセスを制限する
管理サーバーデータベースへのアクセスを制限することを推奨します。たとえば、管理サーバーデバイスからのみアクセスを許可します。これにより、既知の脆弱性が原因で管理サーバーデータベースが危険にさらされる可能性が低くなります。
使用するデータベースの操作説明書に従ってパラメータを構成したり、ファイアウォールで閉じたポートを提供したりすることができます。
外部 DBMS とのセキュリティ対話
管理サーバー(外部 DBMS)のインストール中に DBMS が別のデバイスにインストールされる場合は、この DBMS とのセキュアな対話と認証のためのパラメータを設定することを推奨します。SSL 認証の設定の詳細については、「PostgreSQL サーバーの認証」および「シナリオ:MySQL サーバーの認証」を参照してください。
管理サーバーに接続するための IP アドレスの許可リストの設定
既定では、Kaspersky Security Linux ユーザーは、Kaspersky Security Center Web コンソールまたは OpenAPI アプリケーションがインストールされている任意のデバイスから Kaspersky Security Center Linux にログインできます。管理サーバーを設定することで、ユーザーが許可された IP アドレスを持つデバイスからのみ管理サーバーに接続できるように設定できます。たとえば、侵入者が許可リストに含まれていないデバイスにインストールされた Kaspersky Security Center Web コンソールサーバーを介して Kaspersky Security Center Linux に接続しようとしても、Kaspersky Security Center Linux にログインすることはできません。
Kaspersky Security Center Web コンソールに接続するための IP アドレスの許可リストの設定
既定では、Kaspersky Security Center Linux ユーザーはどのデバイスからでも Kaspersky Security Center Web コンソールに接続できます。Kaspersky Security Center Web コンソールがインストールされているデバイスでは、ユーザーが許可された IP アドレスからのみ Kaspersky Security Center Web コンソールに接続できるように、ファイアウォール(オペレーティングシステムに組み込まれているものまたはサードパーティ製のもの)を設定する必要があります。
ポーリング中のドメインコントローラーへの接続のセキュリティ
ドメインコントローラーをポーリングするために、管理サーバーまたは Linux ディストリビューションポイントは LDAPS 経由でこのドメインに接続しようとします。既定では、接続時に証明書の検証は必要ありません。証明書の検証を強制するには、 KLNAG_LDAP_TLS_REQCERT
フラグを 1 に設定します。また、KLNAG_LDAP_SSL_CACERT
フラグを使用して、証明書チェーンにアクセスするための証明機関(CA)へのカスタムパスを指定することもできます。