Questions tagged «security»

安全不是产品,而是过程。


17
在硬盘驱动器上钻孔是否足以使其数据无法恢复?
公司中有很多PC,没有人愿意擦除大量硬盘。我们也有很多学徒工具制造者,他们确实想破坏事物。因此,每隔几个月,我们的学徒就会收到两个沉重的硬盘驱动器篮以进行钻探。 我的一些同事认为这绝对是过大的。但是,我相信,在钻取驱动器之前不擦除驱动器可能会使一些数据可恢复。 根据此问题,使用DBAN进行擦除将使数据完全不可恢复。 DBAN很好。这是肮脏的小秘密-覆盖驱动器每个字节的任何程序都将永久擦除所有内容。您无需使用不同的写模式进行多次传递,等等。 钻个孔怎么样?


8
Heartbleed:如何可靠且可移植地检查OpenSSL版本?
我一直在寻找一种可靠且可移植的方法来检查GNU / Linux和其他系统上的OpenSSL版本,因此用户可以轻松地发现由于Heartbleed错误而应该升级自己的SSL。 我以为这很容易,但是我很快在Ubuntu 12.04 LTS上遇到了最新的OpenSSL 1.0.1g问题: openssl版本-a 我原本希望看到完整版本,但我得到了: OpenSSL 1.0.1 2012年3月14日 建立于:2013年6月4日星期二07:26:06 平台:[...] 令我不愉快的是,没有显示版本字母。没有f,没有g,只有“ 1.0.1”就这样。列出的日期也无助于发现(非)漏洞版本。 1.0.1(af)和1.0.1g之间的差异至关重要。 问题: 检查版本(最好是跨发行版)的可靠方法是什么? 为什么没有显示版本号?除了Ubuntu 12.04 LTS之外,我无法在其他任何产品上进行测试。 其他人也报告了此行为。一些例子: https://twitter.com/orblivion/status/453323034955223040 https://twitter.com/axiomsofchoice/status/453309436816535554 一些(特定于发行版的)建议在其中推出: Ubuntu和Debian:apt-cache policy openssl和apt-cache policy libssl1.0.0。在此处将版本号与软件包进行比较:http : //www.ubuntu.com/usn/usn-2165-1/ Fedora 20 :(yum info openssl感谢@znmeb在Twitter上)和yum info openssl-libs 检查旧版本的OpenSSL是否仍然存在: 它并不完全可靠,但是您可以尝试lsof -n | grep ssl | grep DEL。请参阅Heartbleed:如何可靠且可移植地检查OpenSSL版本?为什么这可能对您不起作用。 事实证明,在Ubuntu和Debian上更新OpenSSL软件包并不总是足够的。您还应该更新libssl1.0.0软件包,然后-then-检查是否openssl …

11
应对HTTP w00tw00t攻击
我有一台装有apache的服务器,最近安装了mod_security2,因为我受到了很多攻击: 我的apache版本是apache v2.2.3,我使用的是mod_security2.c 这是错误日志中的条目: [Wed Mar 24 02:35:41 2010] [error] [client 88.191.109.38] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:) [Wed Mar 24 02:47:31 2010] [error] [client 202.75.211.90] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:) [Wed Mar 24 02:47:49 2010] [error] [client 95.228.153.177] …



5
如何保护我的公司免受IT人员的侵害?[关闭]
我将聘请一名IT人员来帮助管理办公室的计算机和网络。我们是一家小商店,所以他将是唯一一家从事IT业务的商店。 当然,我会仔细面试,检查参考资料,并进行背景调查。但是你永远不知道事情会如何发展。 如果我雇用的那个人是邪恶的,我如何限制我公司的曝光率?我如何避免使他成为组织中最有权力的人?

7
OpenVPN与IPsec-优点和缺点,使用什么?
有趣的是,当我搜索“ OpenVPN vs IPsec”时,没有找到任何好的搜索结果。所以这是我的问题: 我需要在不受信任的网络上建立专用LAN。据我所知,这两种方法似乎都是有效的。但是我不知道哪个更好。 如果您能列出两种方法的优缺点,以及您对使用哪种方法的建议和经验,我将非常感谢。 更新(关于评论/问题): 在我的具体情况下,目标是使任意数量的服务器(具有静态IP)彼此透明连接。但是,一小部分动态客户端(如“公路勇士”(具有动态IP))也应该能够连接。但是,主要目标是在不受信任的网络之上运行“透明安全网络”。我是一个新手,所以我不知道如何正确解释“ 1:1点对点连接” =>该解决方案应支持广播和所有此类内容,因此它是一个功能齐全的网络。
76 security  openvpn  vlan  ipsec 


3
/ sbin / nologin和/ bin / false之间有什么区别?
我经常听到它建议通过将其shell设置为来禁用用户帐户/bin/false。但是,在我现有的Linux系统上,我看到大量的现有帐户(所有这些帐户都是服务帐户)使用的是Shell /sbin/nologin。 我从手册页看到,该页/sbin/nologin面向用户显示一条消息,指出该帐户已被禁用,然后退出。大概/bin/false不会打印任何东西。 我还看到/sbin/nologin列出了/etc/shells,而/bin/false没有列出。 手册页说,FTP将禁止外壳未在其中列出的用户访问,/etc/shells并暗示其他程序也可以这样做。这是否意味着某人可以使用具有/sbin/nologin外壳程序的帐户登录FTP ? 这里有什么区别?我应该使用其中哪一个来禁用用户帐户,在什么情况下?商家信息/etc/shells有什么其他影响?
69 linux  security  login 

11
更改默认端口号是否真的可以提高安全性?
我已经看到建议说,对于私有应用程序,您应该使用不同的端口号(例如,内部网,私有数据库,没有任何外部人会使用的端口)。 我并不完全相信可以提高安全性,因为 存在端口扫描器 如果某个应用程序容易受到攻击,则无论其端口号如何,它都将继续存在。 我错过了什么还是我回答了自己的问题?


13
Linux:无root的高效sysadmin(确保知识产权)?
有没有办法使经验丰富的Linux syadmin富有成效,而又没有给予他完全的root访问权限? 这个问题来自保护知识产权(IP)的角度,在我看来,它完全是代码和/或配置文件(即易于复制的小型数字文件)。我们的秘密调味料使我们比小巧的建议更成功。同样,我们曾经被一些曾经窃取知识产权的不道德的员工(不是系统管理员)一度咬伤,羞怯两次。最高管理者的立场基本上是:“我们信任人们,但是出于个人利益,不能承受给任何人提供超出其绝对需要的工作机会的风险。” 在开发人员方面,划分工作流和访问级别相对容易,这样人们可以提高工作效率,但只看到他们需要看的东西。只有高层人士(实际的公司所有者)才有能力组合所有成分并创造出特殊的酱汁。 但是我还没有找到在Linux管理员方面维护IP保密性的好方法。我们广泛使用GPG编写代码和敏感文本文件...但是,如何阻止管理员(例如)向用户起诉并跳到他们的tmux或GNU Screen会话,看看他们在做什么? (我们在所有可能会接触敏感信息的地方都禁用了Internet访问。但是,没有什么是完美的,而且聪明的系统管理员或网络管理员方面的错误也可能存在漏洞。甚至是老式的USB。当然还有许多其他措施,但是这些措施不在本问题的范围之内。) 我能想到的最好的方法是基本上使用带有sudo的个性化帐户,类似于在多个Linux系统管理员中以root用户身份进行的描述。具体来说:除公司所有者外,没有人可以直接访问root。其他管理员将拥有一个个性化的帐户,并拥有sudo root 的能力。此外,将建立远程日志记录,并将日志记录到只有公司所有者可以访问的服务器上。看到日志记录已关闭将引发某种警报。 聪明的系统管理员可能仍会在此方案中发现一些漏洞。除此之外,它仍然是被动的而不是主动的。我们IP的问题在于,竞争对手可能很快使用它,并在很短的时间内造成很多损害。 因此,最好的办法是限制管理员可以执行的操作。但我承认,这是一个微妙的平衡(尤其是在故障诊断和修复需要的生产问题的角度来解决现在)。 我不禁想知道其他拥有非常敏感数据的组织如何解决此问题?例如,军事系统管理员:他们如何在不能够看到机密信息的情况下管理服务器和数据? 编辑:在最初的发布中,我的意思是抢先解决开始浮出水面的“招聘惯例”评论。第一,这应该是一个技术问题,而IMO的聘用做法更倾向于社会问题。但是,有两个,我要这样说:我相信我们会做一切合理的聘用工作:面试多个公司的人;背景和参考检查;所有员工都签署了许多法律文件,其中包括说他们已经阅读并理解了我们的手册,其中详细介绍了知识产权问题。现在,它不在此问题/站点的范围内,但是,如果有人可以提出“完美”的招聘做法来过滤掉100%的不良行为者,我将不知所措。事实是:(1)我认为没有如此完美的招聘流程;(2)人们改变-今天的天使可能是明天的魔鬼;(3)在这个行业中,尝试进行代码盗窃似乎有些常规。
66 linux  security  root 

8
您如何采取措施保护Debian服务器的安全?[关闭]
我正在安装直接连接到Internet的Debian服务器。显然,我想使其尽可能安全。我希望你们/大家添加一些想法来确保它的安全以及使用什么程序。 我希望这个问题的一部分涵盖您用作防火墙的什么?只是手动配置iptables还是使用某种软件来帮助您?最好的方法是什么?阻止一切,只允许需要什么?是否有针对该主题的初学者的好教程? 您是否更改SSH端口?您是否使用Fail2Ban之类的软件来防止暴力破解?

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.