Questions tagged «security»

安全不是产品,而是过程。


9
如何增加SSH的安全性?我可以同时要求输入密钥和密码吗?
我的服务器网络很小,我想提高总体安全性。我没有足够的时间/金钱/偏执狂来建立VPN-我可以提高系统安全性的基本方法是什么? 一件事可能是要求用户既发送密钥又输入密码。Google很难做到这一点,因为有关“ ssh key password”的所有内容都是关于没有密码的sshing。:-) 我一直想使用的一种方案是要求传入连接仅来自dyndns ip地址的白名单。我知道一些安全负责人会想到这个主意,但是事实是,利用一个盒子会增加非常大的复杂性。 你怎么看?还有什么呢?
16 security  ssh 

3
我的站点似乎被劫持了……但是只有当从另一个站点访问时……如何?
如果您直接在浏览器中输入我的网站,则为altoonadesign.com,它将带您进入正确的网站。但是,如果您搜索“ altoona design”并单击指向我的网站的链接,则您将被重定向到恶意网站。 我在chrome上的google和IE上的bing中尝试了此方法。在不同的计算机上始终具有相同的结果。键入url直接将您带到我的真实站点,单击搜索结果中的链接会将您重定向到恶意站点。 我不确定这种情况如何发生,如何撤消或将来如何预防? 更新 单击此处的链接也会将您也带到恶意站点,因此单击链接似乎是它的作用,但是直接键入链接不会重定向您...这是怎么回事?
16 web  security 

9
设置邮件服务器有多困难?
我想要一个安全的邮件解决方案,因为我希望远离Google和其他调查我私人数据的各方。 设置我自己的邮件服务器需要多少PITA?我应该去找一个拥有良好隐私政策和加密数据的外部提供商吗? 我有一个运行Debian的VPS(带有专用的IP +反向DNS),并且我是一个相当有能力的Linux管理员,已经安装了几个Web服务器,家庭网络,并在工作中看着sysadmins。 我目前在VPS上的安全性仅限于iptables和安装/运行我所需要的最低限度的安全性(目前基本上是irssi和lighttpd)。 设置邮件服务器时,是否要考虑很多因素?如果我不采用多种解决方案,我的外发邮件是否会在其他服务器上标记为垃圾邮件?是否将难以设置可靠的垃圾邮件过滤?我可以轻松加密存储的邮件吗?

2
使用加密文件系统自动引导和保护Linux服务器
我正在设置一些新的Ubuntu服务器,并希望保护其中的数据免遭盗窃。威胁模型是攻击者想要硬件,或者天真的攻击者想要数据。 请注意本节。 威胁模型并没有包括智能攻击者希望的数据; 我认为他们将执行以下一项或多项操作: 将UPS连接到电源线中,以保持机器连续运行。 在计算机和网络终结点之间插入一对以太网桥,这将桥接范围足以使主机保持网络连接的无线网络上的流量。 打开包装盒,然后使用内存总线上的探针抓取有趣的东西。 使用TEMPEST设备来探测主机正在做什么。 使用法律手段(例如法院命令)强迫我披露数据 等等 因此,我想要的是在加密分区上的磁盘上存储部分或全部数据,并提供在某种外部介质上访问数据所必需的密钥材料。我可以想到的两种存储密钥材料的方法是: 将其存储在可通过网络访问的远程主机上,并配置足够的网络以在引导过程中对其进行检索。仅允许检索分配给安全主机的IP地址(如果在另一个网络连接上引导,则不允许访问加密数据),如果发现机器被盗,则管理员可以禁用该检索。 将其存储在USB存储设备上,这种存储在某种程度上比主机本身更难于窃取。将其放置在远离主机的位置,例如,一条五米长的USB电缆的末端引到房间的另一个角落,甚至到另一个房间,都可能会大大降低攻击者使用它的机会。以某种方式保护它,例如将其链接到不动的东西上,或者甚至将其放入保险箱中,效果会更好。 那么我有什么设置方法呢?如前所述,我希望对所有内容(除了可能不包含/ etc的小型启动分区进行加密)进行加密,这样我就不必担心我将文件放置在何处或存放在何处了。重新意外降落。 如果有什么不同,我们正在运行Ubuntu 9.04。

9
封锁来自特定国家/地区的所有流量的相对简单的方法?
我有一个Web应用程序,在菲律宾没有用户,但是不断受到垃圾邮件制造者,梳理服务员测试卡以及那里其他不良活动的轰炸。我在日志中看到他们在菲律宾拥有IP,并且最初是通过google.ph或其他.ph网站找到我的网站。 我已经准备好了不错的过滤器和安全检查,因此它们并不会造成太大的损害,但是尽管如此,我真的已经厌倦了它。他们用尽带宽,用垃圾填满我的数据库,滥用日志和安全日志,浪费我的时间来命名帐户等。 尽管绝大多数菲律宾公民不是垃圾邮件发送者,而且我不能只阻止每个困扰我的国家,但在这一点上,我认为解决方案只是阻止从菲律宾到我的Web应用程序的所有流量。(我知道封锁整个国家的IP封锁不是一个好习惯,并且有很多问题,但是对于这个国家,我想例外。) (我知道他们可以欺骗他们的IP地址,但至少我可以让他们为它工作。) 我知道那里有一些Geoip服务。有谁知道免费或便宜的服务吗?还是采用其他方法来过滤来自特定国家/地区的流量? 如果重要的话,我正在Apache 2上运行PHP。
16 security  spam  geoip  abuse 

11
有没有向非数学家证明密码安全性的标准方法?
我的客户端有一台服务器正在遭受来自僵尸网络的暴力登录尝试。由于服务器和客户端的客户端多变,我们无法通过防火墙,端口更改或登录帐户名称更改轻松阻止尝试。 已经决定让它容易受到攻击,但是找到了一种确保密码安全的方法。管理层和其他一些顾问确定,最好的办法是安装密码轮换软件,以每十分钟轮换一次密码,并将新密码提供给需要登录的用户。 暴力尝试每秒发生两次。 我需要证明使用12至15个字符来实现强密码是一种更容易且免费的解决方案。我知道如何用数学来证明这一点,但我只是在写类似“我们的密码可能有x种可能的排列,攻击者每天只能尝试n次尝试,因此我们希望它们进行x /次。他们猜测我们的密码平均需要2n天。” 有更标准的“证明”吗?

5
您作为系统管理员必须面对的最偷偷摸摸的事情是什么?
已锁定。该问题及其答案被锁定,因为该问题是题外话,但具有历史意义。它目前不接受新的答案或互动。 用户必须完成的最狡猾的事情是什么?显然,我们都从不友好的用户那里看到了很多恶意,但是所谓的友好用户又如何呢? 以我为例,我认为它必须是ping隧道:使用传出的ICMP数据包携带SSH隧道来绕过防火墙。[完全公开:我为该工具的Windows端口贡献了力量;)] (重新打开为社区Wiki)
16 security 

7
存储很少使用的单用途密码
根据密码的使用方式,您如何处理无法期望管理员记住的密码的存储?如: 所有人使用自己的具有管理员权限的帐户登录时的管理员/ root密码 仅在配置期间设置的服务帐户密码,例如SqlServerAgent,SharePointSearchService等。 整个公司的网络注册,例如Google网站管理员工具,GoDaddy / VeriSign,MSDN等。 我当然不想在多个不同领域重复使用一个密码。我们考虑过的选项: 网络共享上的加密文件 共享的KeePass数据库 受密码保护的维基 单一基本密码,每个区域都进行了少量修改 当我尝试在家中安装密码保护的PFX文件时,会使用一次使用的密码存储在我锁定的办公桌上的笔记本中,这是我想到的。


14
RSA SecurID的替代品?[关闭]
关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗? 更新问题,以使其成为服务器故障的主题。 7年前关闭。 您是否已经使用并建议使用RSA SecurID的替代方法进行两因素身份验证?


1
Elastic Beanstalk的环境变量是否适合存储秘密值?
我已将Django应用程序部署到Elastic Beanstalk,目的是使用其环境变量配置界面来存储我的API密钥,而不是将其存储在我的源代码中(如此处/programming//a/17878600所述)。 完成此操作后,我发现Beanstalk所谓的环境变量实际上并不是shell环境变量(如此处/programming//a/24564832/378638所述),并存储在实例中的配置文件中(如在此处描述/programming//a/24566283/378638)。 对我来说,这似乎是一个安全问题。这是否违反了将秘密密钥保留在源头之外的目的?我了解它们已不在存储库中,但仍可在实例上访问。 我会误会风险吗?我是继承人,所以是sysadmin,所以请在这里原谅我的无知。我是否应该仅通过配置文件将Beanstalk变量作为外壳环境变量加载并继续运行,因为该文件只能通过root用户访问,还是我的关注点有效?谢谢。

1
什么是开放式DNS解析器,如何保护我的服务器免遭黑客滥用?
我在计算机安全方面没有最强大的背景,但是昨天我的一台公司服务器被我们的主机关闭了。 这是一台分配了公共IP的服务器,在其中托管了多个Web服务应用程序,包括网站和API。有人告诉我我的服务器“正在运行一个开放的dns解析器,该解析器用于将拒绝服务攻击中继到外部实体。” 这是什么意思?这种攻击如何起作用?以及如何保护我的系统免受此类滥用? 在我的特定情况下,该服务器位于Windows Server 2012上,并且正在为Active Directory域提供DNS。

2
如何从非root用户帐户执行root用户操作?
我希望能够从php脚本重新启动服务。以www-user帐户运行。 执行这些操作的首选方式是什么? 我确定我可以使用que'd命令放置一个文件,由CRON读取,但是解决方案发痒。 我在想的是一个微型服务,它在root下运行,允许预定义的“方法”,因此无法执行任意root操作。 那里有什么工具吗?

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.