Questions tagged «security»

安全不是产品,而是过程。

2
鱿鱼中的安全用户身份验证的故事
曾几何时,南美洲有一个美丽温暖的虚拟丛林,一个乌贼服务器就住在那里。这是网络的感知图像: <the Internet> | | A | B Users <---------> [squid-Server] <---> [LDAP-Server] 当Users请求访问Internet时,squid询问他们的姓名和护照,并通过LDAPldap 对其进行身份验证,如果ldap批准了它们,则他授予了它们。 每个人都很高兴,直到一些嗅探者在用户和鱿鱼之间的路径中偷走了护照[路径A]。发生这场灾难是因为鱿鱼使用了Basic-Authentication方法。 丛林人民聚集起来解决问题。一些兔子提供使用NTLM方法。蛇者优先Digest-Authentication,同时Kerberos建议由树木。 毕竟,丛林人提供的许多解决方案令所有人感到困惑!狮子决定结束这种情况。他大喊解决方案的规则: 解决方案是否安全! 解决方案应适用于大多数浏览器和软件(例如下载软件)吗 解决方案应该简单并且不需要其他大型子系统(例如Samba服务器) 该方法不应依赖于特殊领域。(例如Active Directory) 然后,猴子提供了一个非常合理,全面而明智的解决方案,使他成为了丛林中的新国王! 你能猜出解决方案是什么? 提示:squid和 之间的路径LDAP受到狮子的保护,因此解决方案不必保护它。 注意:如果故事很无聊且混乱,很抱歉,但是大多数故事都是真实的!=) /~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( (""""") )///) (\\\( …

7
发送加密电子邮件的最简单方法?
为了遵守马萨诸塞州的新个人信息保护法,我公司(除其他事项外)需要确保通过电子邮件发送个人信息时,该信息都是经过加密的。最简单的方法是什么?基本上,我正在寻找收件人需要最少工作量的东西。如果可能的话,我真的想避免他们必须下载程序或执行任何步骤来生成密钥对,等等。因此,命令行GPG类型的东西不是一种选择。我们使用Exchange Server和Outlook 2007作为我们的电子邮件系统。 是否有一个程序可以用来轻松加密电子邮件,然后通过传真或密钥给收件人打电话?(或者我们的电子邮件中可以包含指向我们网站的链接,其中包含我们的公共密钥,收件人可以下载该链接以解密该邮件吗?)我们不必发送许多此类加密的电子邮件,但是将要发送的人会不是特别技术,所以我希望它尽可能简单。好的程序的任何记录都会很棒。谢谢。

8
在运行FastCGI / PHP-FPM(以“ nobody”用户身份)时,要在PHP Sessions文件夹上设置哪些权限/所有权?
我无法运行许多脚本,因为PHP-FPM无法写入我的会话文件夹: “” 2009/10/01 23:54:07 [错误] 17830#0:* 24在stderr中发送的FastCGI:“ PHP警告: 未知:打开(/ var / lib / php / session / sess_cskfq4godj4ka2a637i5lq41o5,O_RDWR) 失败:第0行上的“未知”权限被拒绝(13) PHP警告:未知:无法写入会话数据(文件)。请确认 当前session.save_path的设置是正确的 (/ var / lib / php / session)在第0行的“未知”中,同时读取上游“ 显然,这是一个权限问题;我的会话文件夹的所有者/组是Web服务器的用户NGINX。PHP-FPM就像运行一样nobody,因此将其添加到nginx组并不是一件容易的事。 暂时的解决方案是将的权限设置/var/lib/php/session为777-虽然我觉得这不是“最佳实践”。 需要为文件夹分配守护程序写访问权但运行方式为的最佳实践是nobody什么?
17 linux  security  php  centos 



6
将整个linux服务器置于源代码管理(git)下
我正在考虑使用git将我的整个linux服务器置于版本控制下。其背后的原因是,这可能是检测恶意修改/ rootkit的最简单方法。我天真的认为检查系统完整性是必要的:每周大约使用救援系统挂载linux分区,检查git存储库是否仍未调温,然后发出git status来检测对系统所做的任何更改。 除了明显浪费磁盘空间外,还有其他负面影响吗? 这是一个完全疯狂的主意吗? 因为我最有可能必须至少排除/ dev和/ proc,所以它甚至是一种安全的检查rootkit的方法吗?
17 linux  security  git  rootkit 

6
如何配置vsftpd以允许root登录?
我正在使用SLES 10.1,并尝试配置vsftpd以允许root登录。有谁知道如何做到这一点? 到目前为止,我有这个: local_enable=YES chroot_local_user=NO userlist_enable=YES userlist_deny=NO userlist_file=/etc/vsftpd.users 而且我已经将root添加到/etc/vsftpd.users。当我尝试登录时,会得到以下信息: $ ftp susebox 已连接到susebox.example.com。 220-FTP服务器(用户'me@example.com') 220 用户(susebox.example.com :(无)):根 331-密码: 331 密码: 连接被远程主机关闭。 C:\> 顺便说一句,如果您不知道答案,请不要为我不该允许root登录而烦恼。我知道我在做什么,并且我对可能造成的时空连续性破裂承担全部责任。
17 security  login  root  ftp  sles 

6
保护SuperMicro IPMI BMC
我最近购买了SuperMicro X8DTU-F主板,该主板具有内置的BMC,基本上可以运行IPMI系统。事实证明,这是一个运行在ARM处理器上的小型Linux系统。 不幸的是,它正在运行大量软件,而我不需要很多软件,而且我也没有能力将其置于防火墙之后。但是,我确实需要IPMI功能。使用这些工具之一的人是否对如何保护该物品有一些具体建议?它从本质上是ROM文件系统启动,甚至似乎没有任何挂钩可以关闭它运行的各种服务器。 我还对如何验证可用于通过所有各种服务访问系统的名称和密码列表感兴趣。默认值为ADMIN/ ADMIN,但/ conf或/ etc中的文件均未包含“ ADMIN”,这让我很担心。有/conf/shadow和/conf/webshadow文件,其中包含神秘的“测试” ID,这也不会让我感到特别自在。

4
在Windows 10上删除易受攻击的密码会破坏传出的RDP
由于运行RDP的Windows 10计算机,TrustWave的漏洞扫描程序无法通过扫描: 具有64位块大小(例如DES和3DES)的生日攻击的块密码算法,称为Sweet32(CVE-2016-2183) 注意:在运行RDP(远程桌面协议)的Windows 7/10系统上,应禁用的易受攻击的密码标记为“ TLS_RSA_WITH_3DES_EDE_CBC_SHA”。 使用Nartac的IIS Crypto,我尝试应用“最佳实践”模板以及PCI 3.1模板,但是它们都包含不安全的密码(TLS_RSA_WITH_3DES_EDE_CBC_SHA): 如果禁用此密码,则从此计算机到许多Windows工作站的RDP 将停止工作(它仍可用于某些2008 R2和2012 R2服务器)。RDP客户端仅给出“发生内部错误”和事件日志: 创建TLS客户端凭据时发生致命错误。内部错误状态为10013。 我检查了其中一台服务器的服务器事件日志,并看到这两条消息 从远程客户端应用程序收到了TLS 1.2连接请求,但是服务器不支持客户端应用程序支持的所有密码套件。SSL连接请求失败。 生成以下致命警报:40.内部错误状态为1205。 如何在不破坏传出RDP的情况下修复安全漏洞? 或者,如果上述操作不可行,那么在无法再连接到该RDP主机上的每个RDP主机上是否可以做些什么呢? --- 更新#1 --- 在Windows 10计算机上禁用TLS_RSA_WITH_3DES_EDE_CBC_SHA之后,我尝试连接到多个RDP主机(其中一半失败,并显示“内部错误...”)。所以,我比较了这些主机中的一个,我可以连接到一个打击,我无法连接。两者都是2008 R2。两者都具有相同的RDP版本(6.3.9600,支持RDP协议8.1)。 我使用IIS加密对TLS协议和密码进行了比较,以对它们的当前设置执行“保存模板”,以便可以比较模板文件。他们是一样的!因此,无论出现什么问题,似乎都不是主机上缺少Chipher套件的问题。这是文件“超越比较”的屏幕截图: 导致此问题的两个RDP主机之间可能有何不同以及如何解决?
16 windows  security  ssl  rdp 

4
擦拭非常慢。熵太少了吗?
我必须交出包括硬盘的笔记本电脑。由于未加密,因此我想至少迅速擦除它。我知道这在SSD上不是最佳选择,但我认为比普通可读性更好。 现在,我正在擦拭活动的USB记忆棒,而且速度很慢。我不知道这是为什么。当然,除了擦除该设备外,计算机上几乎没有发生任何事情,因此我认为熵可能很低(entropy_avail说是在1220年)。打电话也一样好 dd if=/dev/random of=/dev/sda1 bs=1k 四次?还是有一种我可以打电话的方式来增加随机性?还是瓶颈完全不同?

5
加密的异地备份-在哪里存储加密密钥?
除了常规的现场备份(保存在防火保险箱中)之外,我们还每月将磁带外发一次,并使用AES加密。因此,如果我们的站点一天被外来热气气化,则至少应该有一个最近的备份可以恢复。 除了128位加密密钥仅在现场存储。因此,在真正的灾难情况下,实际上我们将只剩下一个加密的备份,而无法解密。 问题:在异地存储加密密钥的最佳策略是什么? 无论选择哪种方法,都需要通过安全审核,因此“在家保留副本”是不够的,而“用异地磁带保存”显然会破坏首先加密它们的目的!我们正在考虑的选择包括: 银行保险箱 以密码保护的形式(例如,使用Keepass或Password Safe这样的软件)存储在云中或地理上独立的网络中 当然,第二种选择提出了另一个问题:我们如何保持该密码的安全。

5
Git提交审核
我有一个运行在ssh上的git服务器,每个用户在系统上都有一个unix帐户。 鉴于有两个用户可以访问存储库,所以我如何确定哪个用户执行了哪个提交,因为提交用户名和电子邮件是由git客户端提交和控制的。 我担心一个用户可能会假冒另一个用户,即使他们具有相同的授权权限。
16 git  security  audit 


9
如何保护面向公众的远程桌面服务器?
我正在寻找需要公开我的远程桌面服务器(终端服务)以从网络外部进行访问的功能。目前,只能从我们的网络内部进行访问。 我知道打开防火墙并转发端口很容易。 但是,我该如何保护机器本身,以及最佳做法是什么?我担心的是,黑客能否进行破解。 任何最佳实践准则/建议将不胜感激。 编辑: 有关我发现的产品的问题: 按IP,MAC地址,计算机名称等过滤传入的RDP连接 有人可以对此发表评论吗?看起来我也可以用它来限制机器名称/ mac的访问?有人用过吗?

3
记录从root执行的每个命令
我想让外部系统管理员可以访问我的根服务器,但是我想确保再次检查他对我的服务器所做的事情,例如,复制我不希望他们做的数据等等。我还想跟踪访问的任何文件,即使是只读文件也不能编辑。 我怎样才能做到这一点?
16 security  freebsd 

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.