TLS 的使用
我们建议禁止与管理服务器的不安全连接。例如,您可以在管理服务器设置中禁止使用 HTTP 的连接。
请注意,默认情况下,管理服务器的几个 HTTP 端口是关闭的。其余端口用于管理服务器 Web 服务器 (8060)。此端口可受管理服务器设备的防火墙设置限制。
严格的 TLS 设置
建议使用 1.2 及以后版本的 TLS 协议,限制或禁止不安全的加密算法。
您可以配置管理服务器使用的加密协议 (TLS)。请注意,在发布管理服务器版本时,默认配置加密协议设置以确保数据安全传输。
限制访问管理服务器数据库
我们建议限制访问管理服务器数据库。例如,只允许从管理服务器设备进行访问。这可降低管理服务器数据库因已知漏洞而受到损害的可能性。
您可以根据使用的数据库的操作说明配置参数,也可以在防火墙上提供关闭的端口。
与外部 DBMS 的安全交互
如果在安装管理服务器期间将 DBMS 安装在单独的设备上(外部 DBMS),我们建议配置与该 DBMS 进行安全交互和身份验证的参数。有关配置 SSL 身份验证的更多信息,请参阅“身份验证 PostgreSQL 服务器”和“场景:身份验证 MySQL 服务器”。
配置允许连接到管理服务器的 IP 地址允许列表
默认情况下,Kaspersky Security Center Linux 用户可以从安装了 Kaspersky Security Center Web Console 或者 OpenAPI 应用程序的任何设备登录 Kaspersky Security Center Linux。您可以配置管理服务器,使用户只能从具有允许 IP 地址的设备进行连接。例如,如果入侵者尝试通过安装在未包含在允许列表中的设备上的 Kaspersky Security Center Web Console 服务器连接到 Kaspersky Security Center Linux ,他或她将无法登录Kaspersky Security Center Linux。
配置用于连接到 Kaspersky Security Center Web Console 的 IP 地址允许列表
默认情况下,Kaspersky Security Center Linux 用户可以从任何设备连接到 Kaspersky Security Center Web Console。在具有 Kaspersky Security Center Web Console 的设备上,您必须配置防火墙(内置于操作系统或第三方防火墙中),以便操作员只能从允许的 IP 地址连接到 Kaspersky Security Center Web Console。
轮询期间与域控制器连接的安全性
为了轮询域控制器,管理服务器或 Linux 分发点尝试通过 LDAPS 连接到该域。默认情况下,连接时不需要证书验证。要强制执行证书验证,请将KLNAG_LDAP_TLS_REQCERT标志设置为 1。此外,您可以使用KLNAG_LDAP_SSL_CACERT标志指定证书颁发机构 (CA) 的自定义路径来访问证书链。