Questions tagged «security»

安全不是产品,而是过程。

30
我们的安全审核员是白痴。我如何给他他想要的信息?
我们服务器的安全审核员在两周内要求以下内容: 所有服务器上所有用户帐户的当前用户名和纯文本密码的列表 过去六个月中所有密码更改的列表,再次为纯文本 过去六个月中“从远程设备添加到服务器的每个文件”列表 任何SSH密钥的公钥和私钥 每当用户更改密码时,都会向他发送一封电子邮件,其中包含纯文本密码 我们正在运行具有LDAP身份验证的Red Hat Linux 5/6和CentOS 5盒。 据我所知,该清单上的所有信息都是不可能获得或难以置信的,但是,如果我不提供此信息,我们将面临过渡到支付平台的过程,并在过渡期间失去收入。新服务。关于如何解决或伪造此信息的任何建议? 我想获得所有纯文本密码的唯一方法是,让所有人重置密码并记下密码。这不能解决过去六个月的密码更改问题,因为我无法追溯性地记录此类内容,记录所有远程文件也是如此。 由于我们只有几个用户和计算机,因此可以获取所有公共和私有SSH密钥(尽管很烦人)。除非我错过了一种更简单的方法? 我已经多次向他解释过他所要求的事情是不可能的。针对我的担忧,他回复了以下电子邮件: 我在安全审核方面拥有10多年的经验,并且对redhat安全方法有充分的了解,因此建议您检查一下什么是可能的以及不可能的事实。您说没有公司可能拥有此信息,但是我已经进行了数百次审核,这些信息很容易获得。所有[通用信用卡处理提供商]客户都必须遵守我们的新安全策略,该审核旨在确保正确实施了这些策略*。 *“新安全策略”是在审核前两周引入的,在策略更改之前不需要六个月的历史记录。 简而言之,我需要; 一种“伪造”六个月的密码更改并使其看起来有效的方法 一种“伪造”六个月的入站文件传输的方法 一种收集所有正在使用的SSH公钥和私钥的简便方法 如果我们未能通过安全审核,我们将无法访问我们的卡处理平台(系统的关键部分),并且可能需要两个星期才能转移到其他地方。我怎么搞砸了? 更新1(23日星期六) 感谢您的所有答复,让我感到很欣慰的是,这不是标准做法。 我目前正在计划发给他的电子邮件回信,说明情况。正如你们中许多人所指出的,我们必须遵守PCI,PCI明确指出我们不应有任何方式来访问纯文本密码。写完电子邮件后,我将发布该电子邮件。不幸的是,我不认为他只是在测试我们。这些东西现在已经在公司的官方安全政策中了。但是,我暂时将轮子移开,使其离开它们并进入Pay​​Pal。 更新2(星期六23) 这是我起草的电子邮件,对添加/删除/更改的内容有何建议? 嗨,[名字] 不幸的是,我们无法为您提供所需的一些信息,主要是纯文本密码,密码历史记录,SSH密钥和远程文件日志。这些事情不仅在技术上是不可能的,而且能够提供此信息不仅违反PCI标准,而且违反了数据保护法。 要引用PCI要求, 8.4使用强密码技术在所有系统组件上传输和存储期间使所有密码不可读。 我可以为您提供在我们的系统上使用的用户名和哈希密码的列表,SSH公钥和授权主机文件的副本(这将为您提供足够的信息,以确定可以连接到我们服务器的唯一用户数以及加密所使用的方法),有关我们的密码安全要求和LDAP服务器的信息,但此信息可能不会在现场获取。我强烈建议您检查您的审核要求,因为在保持PCI和《数据保护法案》合规性的同时,我们目前无法通过该审核。 问候, [我] 我将在该公司的CTO和我们的客户经理中担任CC'ing,希望CTO可以确认此信息不可用。我还将与PCI安全标准委员会联系,以解释他对我们的要求。 更新3(26日) 这是我们交换的一些电子邮件; RE:我的第一封电子邮件; 如所解释的,任何合格的管理员都应可以在任何维护良好的系统上轻松获得此信息。您无法提供此信息使我相信您已经意识到系统中的安全漏洞,并且不准备透露它们。我们的要求符合PCI准则,并且都可以满足。强大的加密技术仅意味着在用户输入密码时必须对密码进行加密,但随后应将其移动为可恢复的格式以备后用。 我认为这些请求没有数据保护问题,数据保护仅适用于消费者而不是企业,因此此信息应该没有问题。 只是,我什至不能... “强大的加密技术仅意味着在用户输入密码时必须对密码进行加密,但随后应将其移动为可恢复的格式以备后用。” 我将其框起来并放在墙上。 我厌倦了外交,并指示他进入这个话题,向他展示我的回应: 直接提供此信息与PCI准则的若干要求相矛盾。我引用的部分甚至说了storage (暗示我们在磁盘上存储数据的位置)。我在ServerFault.com(系统管理员专业人员的在线社区)上开始了讨论,该讨论引起了巨大反响,所有讨论都表明无法提供此信息。随意通读 https://serverfault.com/questions/293217/ 我们已经完成了将系统转移到新平台的工作,并将在第二天左右取消您的帐户,但是我希望您意识到这些请求是多么荒谬,而且没有一家公司正确或正确地实施PCI准则,能够提供此信息。我强烈建议您重新考虑您的安全性要求,因为您的所有客户都不应该符合此要求。 (我实际上已经忘记了我称呼他为标题中的白痴,但是如上所述,我们已经离开了他们的平台,所以没有真正的损失。) 在他的回应中,他指出,显然没有人知道您在说什么: …
2306 security  pci-dss 

13
如何处理受到感染的服务器?
这是关于服务器安全性的规范问题 -响应违规事件(黑客攻击), 另请参见: 保护LAMP服务器的提示 彻底破坏根源后重新安装? 规范版本 我怀疑我的一台或多台服务器受到黑客,病毒或其他机制的破坏: 我的第一步是什么?当我到达现场时,应该断开服务器的连接,保留“证据”,还有其他初始注意事项吗? 如何使服务恢复在线? 如何防止同一件事再次发生? 是否有最佳实践或方法可用于从此事件中学习? 如果我想将突发事件响应计划放在一起,该从哪里开始呢?这应该是我的灾难恢复或业务连续性计划的一部分吗? 原始版本 2011.01.02-我周日晚上9.30上班,因为我们的服务器已经受到某种程度的破坏,并导致对我们的提供程序的 DOS攻击。服务器对Internet的访问已关闭,这意味着我们有超过5-600个客户站点已关闭。现在,这可能是FTP hack或某个地方的代码弱点。我不确定直到到达那里。 如何快速追踪?如果我不尽快备份服务器,我们将进行大量诉讼。任何帮助表示赞赏。我们正在运行Open SU​​SE 11.0。 2011.01.03-感谢大家的帮助。幸运的是,我不是唯一负责此服务器的人员,最近的人。我们设法解决了这个问题,尽管它可能不适用于其他情况下的许多其他问题。我将详细说明我们的工作。 我们从网络上拔掉了服务器。它正在对印度尼西亚的另一台服务器进行(试图执行)拒绝服务攻击,并且有罪的一方也在那里。 考虑到我们服务器上有500多个站点,我们首先尝试确定这是从哪里来的服务器,我们希望在一段时间内会变得越来越亮。但是,在仍然使用SSH访问的情况下,我们运行了一条命令,以查找攻击开始时编辑或创建的所有文件。幸运的是,有问题的文件是在寒假期间创建的,这意味着当时在服务器上没有创建太多其他文件。 然后,我们可以识别出有问题的文件,该文件位于ZenCart网站的上载图像文件夹中。 短暂抽烟后,我们得出结论,由于文件的位置,该文​​件必须已通过不适当保护的文件上传工具进行了上传。经过一番谷歌搜索后,我们发现存在一个安全漏洞,该漏洞允许在ZenCart管理面板中上传文件以录制唱片公司的照片。(它从未真正使用过的部分),发布此表单只是上传了任何文件,它没有检查文件的扩展名,甚至没有检查用户是否已登录。 这意味着可以上传任何文件,包括用于攻击的PHP文件。我们在受感染的站点上使用ZenCart修复了该漏洞,并删除了有问题的文件。 这项工作完成了,我早上2点回到家 道德问题 –始终为此应用ZenCart或任何其他CMS系统的安全补丁。在发布安全更新时,全世界都已意识到该漏洞。-始终进行备份,并备份您的备份。-雇用或安排在这样的时间出现的人。为了防止任何人依赖于Server Fault上的紧急情况。
601 hacking  security 

21
您如何从上一个IT人员那里搜索后门?
我们都知道它发生了。一位痛苦的老IT 员工将后门留给了系统和网络,以便与新员工一起玩耍,并向公司展示没有他的情况是多么糟糕。 我从来没有亲身经历过。我经历过的最多的是一个在离开前就偷东西偷东西的人。不过,我敢肯定会发生这种情况。 因此,当接管一个不太值得信任的网络时,应采取什么步骤来确保一切安全。
358 security 

6
我的网站文件/文件夹在Linux Web服务器上应具有什么权限?
这是关于Linux Web服务器上文件权限的规范问题。 我有一台运行Apache2的Linux Web服务器,该服务器承载多个网站。每个网站在/ var / www /中都有自己的文件夹。 /var/www/contoso.com/ /var/www/contoso.net/ /var/www/fabrikam.com/ 基本目录/ var / www /由root:root拥有。Apache作为www-data:www-data运行。Fabrikam网站由两个开发人员Alice和Bob维护。这两个Contoso网站均由一名开发人员Eve维护。所有网站都允许用户上传图像。如果网站遭到入侵,则影响应尽可能有限。 我想知道设置权限的最佳方法,以便Apache可以提供内容,使网站免受攻击,并且开发人员仍可以进行更改。其中一个网站的结构如下: /var/www/fabrikam.com /cache /modules /styles /uploads /index.php 应如何在这些目录和文件上设置权限?我读过某个地方,您永远不应在网站上使用777权限,但我不明白这可能会导致什么问题。在繁忙时段,网站会自动缓存某些页面并将结果存储在缓存文件夹中。网站访问者提交的所有内容均保存到上载文件夹中。

9
伤心欲绝:它是什么,有什么缓解方法?
这是有关了解和修复Heartbleed安全问题的规范问题。 CVE-2014-0160又称为“ Heartbleed”是什么?原因是什么,哪些操作系统和OpenSSL版本容易受到攻击,症状是什么,是否有任何方法可以检测到成功的利用? 如何检查我的系统是否受到影响?如何缓解此漏洞?我是否应该担心自己的密钥或其他私人数据遭到破坏?我还要关注其他哪些副作用?


5
我在DDoS下。我能做什么?
这是关于缓解DoS和DDoS 的规范问题。 我在今天托管的网站上发现大量流量激增;我每秒获得数千个连接,我发现我正在使用所有100Mbps的可用带宽。因为所有请求都超时,所以没有人可以访问我的站点,而且由于SSH也超时,我什至无法登录服务器!这种情况以前发生过两次,每次持续几个小时并自行消失。 有时,我的网站还有另一个明显但相关的问题:我的服务器的平均负载(通常约为.25)猛增到20或更多,并且没有人能像其他情况一样访问我的网站。几个小时后它也会消失。 重新启动服务器没有帮助;我该怎么做才能再次访问我的网站,这是怎么回事? 相关地,我发现一两天,每次我启动服务时,它都从特定的IP地址获得了连接,然后崩溃了。一旦我再次启动它,这又发生了,又崩溃了。那有什么相似之处,我该怎么办?
179 security  ddos 

3
可以更改密钥对中的电子邮件地址吗?
我创建了用于SSH的RSA密钥对,其中包括我的电子邮件地址。(在公共密钥的末尾。) 我现在已经更改了我的电子邮件地址。 是否可以更改密钥上的电子邮件地址,或者它是密钥的一部分,我必须重新创建一个?
133 security  rsa 

7
CTRL-ALT-DEL如何使Windows登录更安全?
登录Windows时,该页面上会显示CTRL-ALT-DEL某种方式使Windows更安全。我从来没有想到过一种机制,在这种机制下,必须先登录某些特定的组合键才能使系统更安全。我从未遇到过让您按任意键登录的VMS,UNIX或相关系统-除了较旧的基于终端的UNIX,您可以按该键ENTER获得登录提示。 CTRL-ALT-DEL登录前必须按下如何使Windows更安全?
120 windows  security 

5
如何处理Docker容器中的安全更新?
在将应用程序部署到服务器上时,应用程序本身与捆绑在一起的东西与平台(操作系统和已安装的程序包)期望提供的东西之间通常存在分隔。其中一点是,平台可以独立于应用程序进行更新。例如,当需要紧急将安全更新应用到平台提供的软件包而不重建整个应用程序时,这很有用。 传统上,仅通过执行程序包管理器命令来应用安全更新,以在操作系统上安装程序包的更新版本(例如RHEL上的“ yum更新”)。但是随着诸如Docker之类的容器技术的出现,容器映像实际上将应用程序和平台都捆绑在一起,如何使具有容器的系统保持最新状态?主机和容器都有各自独立的软件包集,需要在主机上进行更新和更新不会更新容器内的任何软件包。随着RHEL 7的发布,尤其是Docker容器成为特色,很高兴听到Redhat推荐的处理容器安全性更新的方法是什么。 关于以下几种选择的想法: 让软件包管理器更新主机上的软件包将不会更新容器内的软件包。 必须重新生成所有容器映像以应用更新似乎打破了应用程序与平台之间的分隔(更新平台需要访问生成Docker映像的应用程序构建过程)。 在每个正在运行的容器中运行手动命令似乎很麻烦,并且在下次从应用程序发布工件更新容器时,更改有被覆盖的风险。 因此,这些方法似乎都不令人满意。

6
如何使用每台主机密码安全地实施ansible?
我想使用ansible管理一组现有服务器。我已经创建了一个ansible_hosts文件,并-K使用仅针对单个主机的命令进行了成功测试(使用该选项) ansible -i ansible_hosts host1 --sudo -K # + commands ... 我现在的问题是每个主机上的用户密码都不同,但是我无法在Ansible中找到处理此密码的方法。 使用-K,只会提示我预先输入一个sudo密码,然后似乎对所有后续主机都尝试了该密码,而不会提示: host1 | ... host2 | FAILED => Incorrect sudo password host3 | FAILED => Incorrect sudo password host4 | FAILED => Incorrect sudo password host5 | FAILED => Incorrect sudo password 到目前为止的研究: 一个StackOverflow问题,其中有一个错误的答案(“ use -K”)和一个作者说“发现我需要无密码的sudo”的响应 Ansible docs,其中说:“使用无密码sudo使事情更容易自动化,但这不是必需的。” …
108 security  sudo  ansible 


20
为什么要使用防火墙服务器?
请注意:我对将其变成火焰战争不感兴趣!我了解许多人对此主题抱有坚定的信念,这在很大程度上是因为他们在防火墙解决方案上付出了很多努力,而且还因为他们被灌输了对他们的必要性的信念。 但是,我正在寻找安全专家的答案。我认为这是一个重要的问题,答案不仅会给我自己和我工作的公司带来更多好处。我运行服务器网络已经有好几年了,没有任何妥协,也没有任何防火墙。防火墙无法阻止我们曾经遇到过的安全威胁。 我想我在这里工作了太久了,因为当我说“服务器”时,我总是指“向公众提供的服务”,而不是“秘密内部计费数据库”。因此,我们的任何规则将在任何防火墙必须允许访问整个互联网。此外,我们的公共访问服务器都位于与办公室分开的专用数据中心中。 有人问了类似的问题,我的回答被投票为负数。这使我相信,要么投票否决的人并不真正理解我的答案,要么我不了解安全性,无法做我当前正在做的事情。 这是我的服务器安全性方法: 将服务器连接到Internet 之前,请遵循操作系统的安全准则 。 使用TCP包装程序将对SSH(和其他管理服务)的访问限制为少数IP地址。 使用Munin监视此服务器的状态。并以默认配置修复Munin节点固有的严重安全问题。 Nmap我的新服务器(也在将服务器连接到Internet之前)。如果要对这台服务器进行防火墙保护,则这应该是应该限制传入连接的确切端口集。 将服务器安装在服务器机房中,并为其提供公共IP地址。 使用我的操作系统的安全更新功能来确保系统安全。 我的理念(以及该问题的基础)是,基于主机的强大安全性消除了防火墙的必要性。总体安全性原则认为,即使您具有防火墙,也仍然需要基于主机的强大安全性(请参阅安全性指南)。其原因是,将公共服务转发到服务器的防火墙使攻击者几乎没有防火墙。服务本身是易受攻击的,并且由于向整个Internet提供该服务是其操作的要求,因此限制访问它不是重点。 如果服务器上有可用的端口不需要整个Internet进行访问,则需要在步骤1中关闭该软件,并在步骤4中进行验证。如果攻击者通过易受攻击的软件成功闯入服务器,并自己打开一个端口,攻击者可以(并且这样做)通过在随机端口上建立出站连接来轻松击败任何防火墙。安全性不是要在成功的攻击后为自己辩护-这已经被证明是不可能的-首先是将攻击者拒之门外。 有人建议,除开放港口外,还有其他安全方面的考虑-但对我来说,这听起来像是捍卫自己的信仰。基于端口直接转发到该操作系统/ TCP堆栈这一事实,无论是否存在防火墙,任何操作系统/ TCP堆栈漏洞都应同样容易受到攻击。同样,在服务器本身上运行防火墙而不是在路由器上运行防火墙(或者更糟糕的是在两个地方)都似乎增加了不必要的复杂性。我理解“安全性是成层的”这一理念,但有一点要像建立一个屋顶,方法是将X层胶合板彼此堆叠,然后在所有层上钻一个洞。另一层胶合板不会阻止您通过该孔泄漏 坦白地说,我看到防火墙可用于服务器的唯一方法是,它是否具有动态规则来阻止来自已知攻击者的所有服务器的所有连接-例如垃圾邮件的RBL(巧合的是,这几乎是我们的邮件服务器所做的) 。不幸的是,我找不到能做到这一点的防火墙。其次,最好的是一台IDS服务器,但前提是假定攻击者没有先攻击您的真实服务器,并且攻击者在进行攻击之前不费吹灰之力地探测整个网络。此外,已知这些会产生大量的误报。
104 security  firewall 


5
/ var / log / secure中的“可能的闯入尝试!”-这是什么意思?
我有一个在VPS平台上运行的CentOS 5.x盒子。我的VPS主机误解了我对连接的支持查询,并有效地刷新了一些iptables规则。这导致ssh在标准端口上侦听并确认端口连接测试。烦死了 好消息是我需要SSH授权密钥。据我所知,我认为没有成功的突破。我仍然非常担心在/ var / log / secure中看到的内容: Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT! Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139 Apr 10 06:39:31 echo …
96 linux  security  ssh  centos 

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.