Questions tagged «security»

我有一个小的SVN服务器，运行debian的旧戴尔optiplex。我对服务器没有很高的要求，因为它只是一台小的SVN服务器...但确实希望它是安全的。 我只是将服务器更新为更新更好的optiplex，然后开始对旧服务器进行研究。遇到问题后，我记下了它。当我检查日志时，它充满了蛮力尝试，并且有人成功进入了我的计算机。这个人用两个目录“ root”和“ swap1”或其他东西创建了一个名为“ knarkgosse”的额外卷。真的不知道为什么以及他们做什么，但是一定要防止这种情况再次发生。我发现这有点奇怪，因为我每隔几个月左右就更改一次密码，并且密码始终是由随机字母和数字组成的……不容易被暴力破解。 我知道我可以阻止root登录，并使用sudoers ...并更改SSH端口，但是我还能做什么？ 所以我有几个问题： X次不正确的尝试后如何防止登录5分钟。还是每次尝试不正确后都慢速尝试？ 服务器可以连接某种中央黑名单吗？跟踪IP地址“不安全”且永远不应被授予访问权限的黑名单？ 我还可以做些什么来确保服务器安全？ 就像我之前说的，我正在用Apache（www-data用户问题？），svn，mysql，php，phpmyadmin，hudson运行Debian 5。它位于家庭网络上，端口转发位于80、443、8080、8180、23和22。

14 ssh  security  brute-force-attacks 

我想设置一个证书颁发机构，然后可以将其导入到公司的所有浏览器和系统中，以消除使用HTTPS或SSL时出现的所有讨厌的客户端警告。

14 linux  security  ssl-certificate  openssl  rsa 

我知道WIFI的任何用户都可以“嗅探” WEP流量。 我知道WPA / WPA2通信使用每个用户使用不同的链接密钥进行加密，因此他们无法嗅探通信...除非他们捕获了初始握手。如果您使用的是PSK（预共享密钥）架构，则可以从此初始握手中轻松恢复链接密钥。 如果您不了解PSK，则可以捕获握手并尝试通过蛮力离线破解PSK。 到目前为止，我的理解正确吗？ 我知道WPA2具有AES模式，并且可以使用X.509证书等“安全”令牌，并且据说可以防止嗅探，因为捕获握手无济于事。 那么，WPA2 + AES是否安全（到目前为止）可以防止嗅探，以及它如何真正起作用？也就是说，如何协商（随机）链接密钥？使用X.509证书或（私人和个人）密码短语时。 除了WPA2 + AES，WPA / WPA2是否还有其他嗅探器安全模式？ 如果每个WIFI用户都有不同的链接密钥，如何管理所有WIFI用户接收的广播流量？ 提前致谢！:)。

14 security  wifi  packet-sniffer 

已关闭。这个问题需要更加集中。它当前不接受答案。 想改善这个问题吗？更新问题，使其仅通过编辑此帖子来关注一个问题。 2年前关闭。 我必须设置一台应该尽可能安全的服务器。您将使用哪种安全性增强功能？为什么使用SELinux，AppArmor或grsecurity？您能给我这三个方面的提示，提示和优点/缺点吗？ 据我所知： SELinux：功能最强大但最复杂 AppArmor：比SELinux更简单的配置/管理 grsecurity：通过自动培训进行简单配置，不仅具有访问控制功能，还具有更多功能

14 linux  security  hardening 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 7年前关闭。 有谁知道具有2个NIC的低功耗服务器/ PC，因此可以将其用于（OpenBSD）防火墙？ 桑德拉

14 security  firewall  hardware  bsd 

我不知道SELinux在哪里使用过，以及它从攻击者那里节省了多少。我浏览了SELinux网站并阅读了基本知识，但仍然对SELinux毫无头绪。对于提供SSH Shell，Apache前端，基于角色的Web应用程序，MySQL DB，memcached的Linux系统，几乎所有系统都受密码保护，那么为什么需要SELinux？

14 linux  selinux  security 

我发现，在几种情况下，强制用户定期更改其密码对维护的压力更大，而不是对安全的帮助。另外，我看到用户写下了他们的新密码，因为他们要么没有足够的时间来记住自己的密码，而且也不必为重新学习另一个密码而烦恼。 强制更改密码有什么安全好处？

14 security  password 

第三方安全专家建议我们在Web服务器（全部托管在DMZ中）之前运行反向代理，以作为最佳实践安全措施。 我知道这是一种典型的推荐体系结构，因为它在Web应用程序之前提供了另一种安全级别，可以防止黑客入侵。 但是，由于反向代理很乐意在用户和内部Web服务器之间来回穿梭HTTP，因此它无法提供任何防止Web服务器本身被黑客攻击的措施。换句话说，如果您的Web应用存在安全漏洞，则代理将无法提供任何有意义的安全性。 鉴于攻击Web应用程序的风险远比攻击代理的风险高得多，在中间添加一个额外的框真的能带来很多收益吗？我们不会使用反向代理的任何缓存功能-只是一个笨拙的工具来回传送数据包。 我还有其他想念的地方吗？反向代理HTTP数据包检查的性能是否如此出色，可以检测到有意义的攻击而没有主要的性能瓶颈，或者这仅仅是Security Theater的另一个示例？ 反向代理是MS ISA的缺点。

14 security  proxy  reverse-proxy  isa-server 

我注意到，将Stack Overflow播客的第52集中概述的reg设置更改为pool.ntp.org之后，我的盒子继续从gordo.foofus.net请求时间。那个盒子上托管的网站很奇怪。这是有效的时间服务器吗？

14 ntp  security 

我很好奇，是否有一个标准的预期行为，是否在Linux / Unix上创建多个具有相同UID的帐户时被认为是不好的做法。我已经在RHEL5上进行了一些测试，它的表现符合我的预期，但是我不知道我是否正在使用这种技巧来吸引命运。 例如，假设我有两个具有相同ID的帐户： a1:$1$4zIl1:5000:5000::/home/a1:/bin/bash a2:$1$bmh92:5000:5000::/home/a2:/bin/bash 这意味着： 我可以使用自己的密码登录每个帐户。 我创建的文件将具有相同的UID。 诸如“ ls -l”之类的工具会将UID列为文件中的第一个条目（在本例中为a1）。 我避免了两个帐户之间的任何权限或所有权问题，因为它们实际上是同一用户。 我为每个帐户进行登录审核，因此可以更好地跟踪系统上发生的情况。 所以我的问题是： 这个能力是设计出来的还是仅仅是它发生的方式？ 这在* nix变体中会保持一致吗？ 这是公认的做法吗？ 这种做法会产生意想不到的后果吗？ 注意，这里的想法是将其用于系统帐户，而不是普通用户帐户。

14 linux  security  unix 

我刚刚购买了SSL证书，这是我得到的所有证书文件： Root CA Certificate - xxCARoot.crt Intermediate CA Certificate - x1.crt Intermediate CA Certificate - x2.crt Intermediate CA Certificate - x3.crt Your EssentialSSL Wildcard Certificate - mydomain.crt 现在在apache上安装我的证书： 我是否需要公开根CA证书？ 由于apache只允许1个SSLCertificateChainFile指令，我是否应该创建中间CA的捆绑文件？ 如果是这样的话。捆绑文件中的证书顺序将被颠倒为： 猫x3.crt x2.crt x1.crt> myca.bunndle 如果必须添加根证书，它是捆绑包中的最后一个（z1之后）还是第一个（x3之前）（假设顺序正确）？

14 apache-2.2  security  ssl  ssl-certificate 

我已经使用Nginx的Auth_Basic模块保护了Web文件夹。问题是，我们可以尝试使用多个密码直到它起作用（强力攻击）。有没有办法限制重试失败的次数？

14 security  nginx 

我正在寻找一个类似于Domain Admin的帐户，但是不能访问域控制器。换句话说，此帐户将对域中的任何客户端计算机具有完全的管理员权限，能够将计算机添加到域中，但对服务器的用户权限有限。 最终用户技术支持人员将使用此帐户。他们应该对客户端计算机具有完全的访问权限，以安装驱动程序，应用程序等...但是我不希望它们在服务器上。 虽然我可能可以通过政策自己解决问题，但可能会很混乱，所以我想问：解决这个问题的正确方法是什么？

14 security  active-directory 

我了解了针对TLS压缩的CRIME攻击（CVE-2012-4929，CRIME是针对ssl＆tls的BEAST攻击的继承者），并且我想通过禁用SSL压缩来保护我的Web服务器免受此攻击，该SSL压缩已添加到Apache 2.2.22（请参见Bug 53219）。 我正在运行httpd-2.2.15附带的Scientific Linux 6.3。httpd 2.2上游版本的安全修补程序应反向移植到该版本。 # rpm -q httpd httpd-2.2.15-15.sl6.1.x86_64 # httpd -V Server version: Apache/2.2.15 (Unix) Server built: Feb 14 2012 09:47:14 Server's Module Magic Number: 20051115:24 Server loaded: APR 1.3.9, APR-Util 1.3.9 Compiled using: APR 1.3.9, APR-Util 1.3.9 我在配置中尝试关闭SSLCompression，但是导致出现以下错误消息： # /etc/init.d/httpd restart Stopping httpd: [ OK …

14 apache-2.2  security  tls  mod-ssl 

如何不仅通过用户名/密码，而且通过客户端证书来限制（RDP）对Windows Server的访问？ 想象一下创建一个证书并将其复制到我希望能够从中访问服务器的所有计算机上。 这不会像基于IP的规则那样受限制，但另一方面，由于不是每台计算机/笔记本电脑都在某个域或固定ip范围内，因此它会增加一定的灵活性。

13 security  authentication  rdp  certificate