TLS 的使用
我們建議禁止與管理伺服器的不安全連線。例如,您可以在管理伺服器設定中禁止使用 HTTP 的連線。
請注意,預設情況下,管理伺服器的幾個 HTTP 連接埠是關閉的。其餘連接埠用於管理伺服器 Web 伺服器 (8060)。此連接埠可能受管理伺服器裝置的防火牆設定限制。
嚴格的 TLS 設定
建議使用 1.2 及以後版本的 TLS 協定,限製或禁止不安全的加密演算法。
您可以設定管理伺服器使用的加密協定 (TLS)。請注意,在發佈管理伺服器版本時,依預設,系統將設定加密協定以確保安全的資料傳輸。
限制存取管理伺服器資料庫
我們建議限制存取管理伺服器資料庫。例如,只允許從管理伺服器裝置進行存取。這會降低管理伺服器資料庫因已知弱點而受到損害的可能性。
您可以根據所用資料庫的操作說明配置參數,也可以在防火牆上提供關閉的連接埠。
與外部 DBMS 的安全性互動
如果在安裝管理伺服器(外部 DBMS)期間在單獨的裝置上安裝 DBMS,我們建議設定參數以與此 DBMS 進行安全性互動和驗證。如需有關設定 SSL 驗證的更多資訊,請參閱驗證 PostgreSQL 伺服器和情境:驗證 MySQL 伺服器。
配置連線到管理伺服器的 IP 位址允許清單
預設情況下,Kaspersky Security Center Linux 使用者可以從安裝卡巴斯基安全管理中心網頁主控台或者 OpenAPI 應用程式的任何裝置登入卡巴斯基安全管理中心 Linux。您可以配置管理伺服器,以便使用者只能從具有允許 IP 位址的裝置連線到它。例如,如果入侵者嘗試透過安裝在未包含在允許清單中的裝置上的卡巴斯基安全管理中心網頁主控台伺服器連線到卡巴斯基安全管理中心 Linux,他或她將無法登入卡巴斯基安全管理中心 Linux。
設定連線到卡巴斯基安全管理中心網頁主控台的 IP 位址允許清單
預設情況下,卡巴斯基安全管理中心 Linux 使用者可以從任何裝置連線到卡巴斯基安全管理中心網頁主控台。在具有卡巴斯基安全管理中心網頁主控台的裝置上,您必須設定防火牆(內建於作業系統或第三方防火牆中),以便操作員只能從允許的 IP 位址連線到卡巴斯基安全管理中心網頁主控台。
輪詢期間與網域控制器的連線安全性
為了輪詢網域控制器,管理伺服器或 Linux 發佈點嘗試透過 LDAPS 連線到該網域。預設連線時不會要求執行憑證驗證。若要強制執行憑證驗證,請將KLNAG_LDAP_TLS_REQCERT標誌設為 1。此外,您可以使用KLNAG_LDAP_SSL_CACERT標誌指定憑證授權單位 (CA) 的自訂路徑來存取憑證鏈。