服务器管理员

系统和网络管理员的问答

30
我们的安全审核员是白痴。我如何给他他想要的信息?
我们服务器的安全审核员在两周内要求以下内容: 所有服务器上所有用户帐户的当前用户名和纯文本密码的列表 过去六个月中所有密码更改的列表,再次为纯文本 过去六个月中“从远程设备添加到服务器的每个文件”列表 任何SSH密钥的公钥和私钥 每当用户更改密码时,都会向他发送一封电子邮件,其中包含纯文本密码 我们正在运行具有LDAP身份验证的Red Hat Linux 5/6和CentOS 5盒。 据我所知,该清单上的所有信息都是不可能获得或难以置信的,但是,如果我不提供此信息,我们将面临过渡到支付平台的过程,并在过渡期间失去收入。新服务。关于如何解决或伪造此信息的任何建议? 我想获得所有纯文本密码的唯一方法是,让所有人重置密码并记下密码。这不能解决过去六个月的密码更改问题,因为我无法追溯性地记录此类内容,记录所有远程文件也是如此。 由于我们只有几个用户和计算机,因此可以获取所有公共和私有SSH密钥(尽管很烦人)。除非我错过了一种更简单的方法? 我已经多次向他解释过他所要求的事情是不可能的。针对我的担忧,他回复了以下电子邮件: 我在安全审核方面拥有10多年的经验,并且对redhat安全方法有充分的了解,因此建议您检查一下什么是可能的以及不可能的事实。您说没有公司可能拥有此信息,但是我已经进行了数百次审核,这些信息很容易获得。所有[通用信用卡处理提供商]客户都必须遵守我们的新安全策略,该审核旨在确保正确实施了这些策略*。 *“新安全策略”是在审核前两周引入的,在策略更改之前不需要六个月的历史记录。 简而言之,我需要; 一种“伪造”六个月的密码更改并使其看起来有效的方法 一种“伪造”六个月的入站文件传输的方法 一种收集所有正在使用的SSH公钥和私钥的简便方法 如果我们未能通过安全审核,我们将无法访问我们的卡处理平台(系统的关键部分),并且可能需要两个星期才能转移到其他地方。我怎么搞砸了? 更新1(23日星期六) 感谢您的所有答复,让我感到很欣慰的是,这不是标准做法。 我目前正在计划发给他的电子邮件回信,说明情况。正如你们中许多人所指出的,我们必须遵守PCI,PCI明确指出我们不应有任何方式来访问纯文本密码。写完电子邮件后,我将发布该电子邮件。不幸的是,我不认为他只是在测试我们。这些东西现在已经在公司的官方安全政策中了。但是,我暂时将轮子移开,使其离开它们并进入Pay​​Pal。 更新2(星期六23) 这是我起草的电子邮件,对添加/删除/更改的内容有何建议? 嗨,[名字] 不幸的是,我们无法为您提供所需的一些信息,主要是纯文本密码,密码历史记录,SSH密钥和远程文件日志。这些事情不仅在技术上是不可能的,而且能够提供此信息不仅违反PCI标准,而且违反了数据保护法。 要引用PCI要求, 8.4使用强密码技术在所有系统组件上传输和存储期间使所有密码不可读。 我可以为您提供在我们的系统上使用的用户名和哈希密码的列表,SSH公钥和授权主机文件的副本(这将为您提供足够的信息,以确定可以连接到我们服务器的唯一用户数以及加密所使用的方法),有关我们的密码安全要求和LDAP服务器的信息,但此信息可能不会在现场获取。我强烈建议您检查您的审核要求,因为在保持PCI和《数据保护法案》合规性的同时,我们目前无法通过该审核。 问候, [我] 我将在该公司的CTO和我们的客户经理中担任CC'ing,希望CTO可以确认此信息不可用。我还将与PCI安全标准委员会联系,以解释他对我们的要求。 更新3(26日) 这是我们交换的一些电子邮件; RE:我的第一封电子邮件; 如所解释的,任何合格的管理员都应可以在任何维护良好的系统上轻松获得此信息。您无法提供此信息使我相信您已经意识到系统中的安全漏洞,并且不准备透露它们。我们的要求符合PCI准则,并且都可以满足。强大的加密技术仅意味着在用户输入密码时必须对密码进行加密,但随后应将其移动为可恢复的格式以备后用。 我认为这些请求没有数据保护问题,数据保护仅适用于消费者而不是企业,因此此信息应该没有问题。 只是,我什至不能... “强大的加密技术仅意味着在用户输入密码时必须对密码进行加密,但随后应将其移动为可恢复的格式以备后用。” 我将其框起来并放在墙上。 我厌倦了外交,并指示他进入这个话题,向他展示我的回应: 直接提供此信息与PCI准则的若干要求相矛盾。我引用的部分甚至说了storage (暗示我们在磁盘上存储数据的位置)。我在ServerFault.com(系统管理员专业人员的在线社区)上开始了讨论,该讨论引起了巨大反响,所有讨论都表明无法提供此信息。随意通读 https://serverfault.com/questions/293217/ 我们已经完成了将系统转移到新平台的工作,并将在第二天左右取消您的帐户,但是我希望您意识到这些请求是多么荒谬,而且没有一家公司正确或正确地实施PCI准则,能够提供此信息。我强烈建议您重新考虑您的安全性要求,因为您的所有客户都不应该符合此要求。 (我实际上已经忘记了我称呼他为标题中的白痴,但是如上所述,我们已经离开了他们的平台,所以没有真正的损失。) 在他的回应中,他指出,显然没有人知道您在说什么: ...
2306 security  pci-dss 

3
什么是Pem文件,它与其他OpenSSL生成的密钥文件格式有何区别?
我负责维护两个Debian服务器。每次我必须对安全证书做任何事情时,我都会使用Google进行教学,并最终失败。 然而,在我搜索我经常遇到不同的文件格式(.key,.csr,.pem),但我从来没有能够找到的每个文件格式的目的是什么一个很好的解释。 我想知道ServerFault的好伙伴是否可以对此事提供一些澄清?
1342 certificate  pki 

30
如何按大小对du -h输出进行排序
我需要获取人类可读的du输出列表。 但是,du没有“按大小排序”选项,并且管道传递sort对人类可读标志无效。 例如,运行: du | sort -n -r 输出按大小排序的磁盘使用量(降序): du |sort -n -r 65108 . 61508 ./dir3 2056 ./dir4 1032 ./dir1 508 ./dir2 但是,使用人类可读的标志运行它时,排序不正确: du -h | sort -n -r 508K ./dir2 64M . 61M ./dir3 2.1M ./dir4 1.1M ./dir1 有人知道du -h 按大小排序的方法吗?
966 linux  bash  du  gnu 

13
如何确定bash变量是否为空?
确定bash中的变量是否为空(“”)的最佳方法是什么? 我听说建议我这样做 if [ "x$variable" = "x" ] 那是正确的方法吗?(必须有一些更简单的方法)
765 bash  scripting 

17
ping特定端口
这里只是一个快速的理智检查。 您可以ping机器的特定端口吗?如果可以,请提供示例吗? 我正在寻找类似的东西ping ip address portNum。
670 ping 

13
如何处理受到感染的服务器?
这是关于服务器安全性的规范问题 -响应违规事件(黑客攻击), 另请参见: 保护LAMP服务器的提示 彻底破坏根源后重新安装? 规范版本 我怀疑我的一台或多台服务器受到黑客,病毒或其他机制的破坏: 我的第一步是什么?当我到达现场时,应该断开服务器的连接,保留“证据”,还有其他初始注意事项吗? 如何使服务恢复在线? 如何防止同一件事再次发生? 是否有最佳实践或方法可用于从此事件中学习? 如果我想将突发事件响应计划放在一起,该从哪里开始呢?这应该是我的灾难恢复或业务连续性计划的一部分吗? 原始版本 2011.01.02-我周日晚上9.30上班,因为我们的服务器已经受到某种程度的破坏,并导致对我们的提供程序的 DOS攻击。服务器对Internet的访问已关闭,这意味着我们有超过5-600个客户站点已关闭。现在,这可能是FTP hack或某个地方的代码弱点。我不确定直到到达那里。 如何快速追踪?如果我不尽快备份服务器,我们将进行大量诉讼。任何帮助表示赞赏。我们正在运行Open SU​​SE 11.0。 2011.01.03-感谢大家的帮助。幸运的是,我不是唯一负责此服务器的人员,最近的人。我们设法解决了这个问题,尽管它可能不适用于其他情况下的许多其他问题。我将详细说明我们的工作。 我们从网络上拔掉了服务器。它正在对印度尼西亚的另一台服务器进行(试图执行)拒绝服务攻击,并且有罪的一方也在那里。 考虑到我们服务器上有500多个站点,我们首先尝试确定这是从哪里来的服务器,我们希望在一段时间内会变得越来越亮。但是,在仍然使用SSH访问的情况下,我们运行了一条命令,以查找攻击开始时编辑或创建的所有文件。幸运的是,有问题的文件是在寒假期间创建的,这意味着当时在服务器上没有创建太多其他文件。 然后,我们可以识别出有问题的文件,该文件位于ZenCart网站的上载图像文件夹中。 短暂抽烟后,我们得出结论,由于文件的位置,该文​​件必须已通过不适当保护的文件上传工具进行了上传。经过一番谷歌搜索后,我们发现存在一个安全漏洞,该漏洞允许在ZenCart管理面板中上传文件以录制唱片公司的照片。(它从未真正使用过的部分),发布此表单只是上传了任何文件,它没有检查文件的扩展名,甚至没有检查用户是否已登录。 这意味着可以上传任何文件,包括用于攻击的PHP文件。我们在受感染的站点上使用ZenCart修复了该漏洞,并删除了有问题的文件。 这项工作完成了,我早上2点回到家 道德问题 –始终为此应用ZenCart或任何其他CMS系统的安全补丁。在发布安全更新时,全世界都已意识到该漏洞。-始终进行备份,并备份您的备份。-雇用或安排在这样的时间出现的人。为了防止任何人依赖于Server Fault上的紧急情况。
601 hacking  security 


16
您如何找到在Windows中打开文件的过程?
让我烦恼不了Windows的一件事是旧的共享冲突错误。通常,您无法确定是什么使它处于打开状态。通常,它只是指向相关目录的编辑器或资源管理器,但有时我不得不求助于重新启动计算机。 关于如何找到罪魁祸首的任何建议?


30
如何告诉Windows的Git在哪里可以找到我的私有RSA密钥?
我的Git设置在Linux上运行良好,但是当我尝试在Windows下进行设置(使用Windows的Git和TortoiseGit)时,我不知道将私钥SSH放在哪里(或者更好的是,如何知道ssh它在哪里)位于)。在Windows版Git的安装过程中,我正在使用标准的ssh.exe选项。如果我允许服务器上的密码验证(代替RSA),则安装程序运行良好。
487 windows  ssh  git  rsa  private-key 

7
服务器机房中有东西在燃烧。如何快速识别它是什么?
前几天,我们注意到服务器机房发出强烈的燃烧气味。长话短说,它最终成为UPS单元中正在燃烧的电池模块之一,但花了好几个小时才能够弄清楚。我们能够弄清楚的主要原因是,UPS显示屏最终显示需要更换模块。 问题出在这里:整个房间充满了气味。进行嗅探测试非常困难,因为气味已经渗入所有东西(更不用说它使我们头昏眼花了)。我们几乎错误地关闭了生产数据库服务器,因为它是最臭的地方。活力似乎还不错(CPU温度显示60摄氏度,风扇速度也不错),但我们不确定。碰巧的是,烧坏的电池模块与机架上的服务器的高度大致相同,并且只有3英尺远。如果这是真正的紧急情况,我们将惨败。 实际上,实际的服务器硬件被烧毁的机会很少发生,而且在大多数情况下,我们将UPS视为罪魁祸首。但是,如果使用带有多个设备的多个机架,它很快就会成为一种猜测游戏。如何快速准确地确定实际上正在烧毁的设备?我意识到这个问题在很大程度上取决于环境变量,例如房间大小,通风,位置等,但是任何输入都会受到赞赏。
454 hardware 

8
IPv4子网划分如何工作?
这是有关IPv4子网的规范问题。 有关: IPv6子网划分如何工作?与IPv4子网划分有何不同? 子网划分是如何工作的,您是如何手工或头脑中的? 有人可以在概念上和几个例子上进行解释吗?Server Fault有很多子网作业问题,因此我们可以使用答案将它们指向Server Fault本身。 如果我有网络,我该如何解决如何将其拆分? 如果给我一个网络掩码,我怎么知道它的网络范围是什么? 有时会有一个斜线后跟一个数字,那个数字是什么? 有时有一个子网掩码,但也有一个通配符掩码,它们看起来像是同一件事,但又有所不同? 有人提到过一些有关二进制的知识吗?
439 networking  subnet  tcpip  ipv4 


2
htop状态栏中的颜色到底是什么意思?
默认情况下,htop显示处理器,内存和交换的彩色状态栏。根据某些阈值,条形从左到右分别为绿色,蓝色,黄色和红色。 当“内存”栏上的绿色和蓝色含量很小,而其余几乎所有的颜色都是黄色时,这意味着什么?交换栏为空。htop的颜色设置为“默认”。

9
如何使用密码自动进行SSH登录?
如何使用密码自动进行SSH登录?我正在配置我的测试VM,因此不考虑高安全性。选择SSH可以通过最少的配置获得可接受的安全性。 例如) echo password | ssh id@server 这行不通。 我记得我是用有人指导我的一些技巧来做到这一点的,但现在我不记得我曾经使用过的技巧了。
419 ssh  password  automation 

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.