Questions tagged «security»

我有一台运行Debian 6.0且安装了logcheck的服务器。昨天，我收到此消息： Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4). 我不知道这是谁，我怀疑他是偶然在那儿的。 现在，我该怎么办？ 我要做的第一件事是禁用ssh密码身份验证，并切换到公用/专用密钥。我还检查了authorized_keys文件，只看到了我的公钥 接下来是什么？ 我怎么知道其他人在我的机器上做了什么？

11 linux  security  ssh  debian  ssh-keys 

目的是防止用户在终端服务器上运行不需要的程序。 我已经阅读了许多来自Microsoft和其他公司的文章，它们说新的Applocker功能比旧的软件限制策略好100％，建议将其替换为旧的软件限制策略。 除了内核模式执行之外，我不确定要了解Applocker的真正优势。它的大多数功能都可以通过软件限制政策进行复制。 同时，它还有一个BIG缺点，使它变得毫无用处：它不可扩展，并且您不能添加要限制的自定义文件扩展名。 与SRP相比，Applocker有哪些优势？对于软件控制，您有何建议？

11 windows-server-2008  security  group-policy 

据我了解，在无线网络中实施时，EAP-TTLS和PEAP具有相同的安全级别。两者都仅通过证书提供服务器端身份验证。 EAP-TTLS的缺点可能是Microsoft Windows中的非本机支持，因此每个用户都必须安装其他软件。 EAP-TTLS的好处是可以支持不太安全的身份验证机制（PAP，CHAP，MS-CHAP），但是为什么在现代且适当安全的无线系统中需要它们？ 您对此有何看法？为什么我应该实施EAP-TTLS而不是PEAP？假设我有大多数Windows用户，中型Linux用户以及最少的iOS，OSX用户。

11 security  wifi  radius  peap 

我有时会echo "secret" | mysql -u root -p ...。现在，我在这里讨论安全性：列出所有进程的人可以看到密码吗？ 为了进行检查，我尝试了echo "test" | sleep 1000该命令，并且在“ ps aux”的输出中看不到带有密码的echo命令。因此，我认为它是安全的-但是安全专家可以确认吗？:)

11 security  shell 

我有一个网络服务器，可以为我托管各种网站。外部可以访问的两个服务是SSH和Apache2。它们分别在非标准和标准端口上运行。所有其他端口都通过arno-iptables-firewall明确关闭。主机正在运行Debian测试。 我注意到使用nmap扫描主机会从不同的PC产生不同的结果。从我的家庭网络中的笔记本电脑（BT Homehub的后面），我得到以下信息： Not shown: 996 filtered ports PORT STATE SERVICE 80/tcp open http 554/tcp open rtsp 7070/tcp open realserver 9000/tcp open cslistener 而从具有nmap 5.00的美国服务器和在挪威运行nmap 5.21的Linux机器进行扫描时，我得到以下信息： Not shown: 998 filtered ports PORT STATE SERVICE 80/tcp open http 9000/tcp open cslistener 所以我希望是我的内部网络或ISP正在发挥作用，但我不确定。 运行a netstat -l | grep 7070不会产生任何结果。对于端口554同样如此。 谁能解释我所看到的特点？

11 security  debian  port 

我的问题是：在Debian 6.0（Squeeze）中默认启用了哪些缓冲区溢出/堆栈粉碎防御（如果有）？ Ubuntu有一个方便的摘要表，显示每个Server版本的主要安全功能，但是我还没有找到Debian的类似信息。Ubuntu提到： 堆栈保护器（gcc的-fstack-protector） 堆保护器（GNU C库堆保护器） 指针混淆（混淆存储在glibc中的某些指针） 地址空间布局随机化（ASLR）（堆栈ASLR；库/ mmap ASLR； Exec ASLR； brk ASLR； VDSO ASLR） 内置为位置独立可执行文件（PIE）的几个守护程序 使用Fortify源代码“ -D_FORTIFY_SOURCE = 2”构建的某些守护程序（？） Debian 6.0在何种程度上使用了类似的技术（默认情况下）？

11 security  debian  debian-squeeze 

我正在处理受保护的电子健康信息（ePHI或PHI），HIPAA法规要求只有授权用户才能访问ePHI。列级加密对于某些数据可能很有价值，但是我需要能够对某些PHI字段（例如名称）进行类似的搜索。 透明数据加密（TDE）是SQL Server 2008的一项功能，用于加密数据库和日志文件。据我了解，这可以防止获得MDF，LDF或备份文件访问权限的人对文件进行任何处理，因为它们是经过加密的。TDE仅在企业版和SQL Server的开发人员版本上使用，而企业版在我的特定情况下成本高昂。如何在SQL Server Standard上获得类似的保护？有没有办法加密数据库和备份文件（有没有第三方工具）？还是一样好，如果将磁盘连接到另一台计算机（Linux或Windows），是否有办法防止文件被使用？ 管理员可以从同一台计算机访问文件，但是我只是想防止任何问题，如果磁盘被删除并连接到另一台计算机上。目前有哪些解决方案？

11 sql-server  security  windows-server-2008-r2  hipaa 

我只是在浏览该网站时发现以下问题：我的服务器已被紧急攻击。基本上问题是：我的服务器已被黑客入侵。我该怎么办？ 在最好的答案是优秀的，但它在我脑海中提出的一些问题。建议的步骤之一是： 检查“受攻击的”系统，以了解攻击如何成功破坏了您的安全性。尽一切努力找出攻击的“发源地”，以便您了解要解决的问题，以确保将来系统安全。 我没有完成系统管理员的工作，所以我不知道如何开始这样做。第一步是什么？我知道您可以查看服务器日志文件，但是作为攻击者，我要做的第一件事就是擦除日志文件。 您如何“理解”攻击的成功方式？

11 security 

当服务器扎根时（例如，类似这样的情况），您可能要决定做的第一件事就是遏制。一些安全专家建议不要立即进行补救，并在完成取证之前使服务器保持在线。这些建议通常是针对APT的。如果您偶尔遇到脚本小子违规情况，则情况有所不同，因此您可以决定尽早进行补救（修复问题）。补救步骤之一是控制服务器。引用罗伯特·莫尔（Robert Moir）的答案 -“断开受害者与抢劫者的联系”。 可以通过拉动网络电缆或电源电缆来容纳服务器。 哪种方法更好？ 考虑到以下需求： 保护受害者免受进一步损害 执行成功的取证 （可能）保护服务器上的重要数据 编辑：5个假设 假设： 您检测得很早：24小时。 您想早日恢复：1名系统管理员需要3天的工作时间（取证和恢复）。 该服务器不是虚拟机或能够拍摄快照以捕获服务器内存内容的容器。 您决定不尝试起诉。 您怀疑攻击者可能正在使用某种形式的软件（可能是复杂的），并且该软件仍在服务器上运行。

11 rootkit  security 

最近（但这也是一个经常性的问题），我们看到了有关黑客和安全性的3个有趣的线索： 如何处理受到感染的服务器？。 查找被黑服务器被黑的方式 文件权限问题 最后一个与之没有直接关系，但是它强调了搞乱Web服务器管理是多么容易。 由于可以做的事情很多，因此在不良事件发生之前，我想就如何限制攻击的负面影响以及如何在可悲的情况下做出反应的良好做法向您提出建议。 这不仅是保护服务器和代码安全的问题，而且还涉及审计，日志记录和对策。 您是否有任何良好做法清单，还是希望依靠持续分析Web服务器的软件或专家（或根本不分析）？ 如果是，可以分享您的清单和想法/意见吗？ 更新 我收到了一些很好的有趣的反馈。 我希望有一个简单的列表，以便IT安全管理员可以方便地使用，也可以使用Web Factotum管理员。 即使每个人都给出了正确正确的答案，此刻，我还是更喜欢Robert，因为它是最简单，清晰和简洁的；而我更喜欢sysadmin1138，因为它是最完整，最精确的。 但是没有人考虑用户的观点和看法，我认为这是必须首先考虑的。 用户将在什么时候访问我的被黑网站时会想到什么，如果您拥有关于它们的敏感数据，则更重要。这不仅关系到在何处存储数据，还关系到如何使生气的用户平静下来。 数据，媒体，权威机构和竞争对手呢？

11 security  logging  hacking 

我有一台运行桌面ubuntu发行版的家庭服务器。我在crontab中找到了这个 * * * * * /home/username/ /.access.log/y2kupdate >/dev/null 2>&1 当在该目录中查找时（用户名/之后的空格是目录名称），我发现很多脚本显然在做他们不应该做的事情。 在擦除那台计算机并重新安装东西之前，我想找出导致此安全漏洞的原因以及完成的时间。因此，我不再打开同一孔。 我应该查看哪些日志文件？我知道计算机上正在运行的唯一服务器是sshd和lighttpd。 我应该怎么做才能检测出这种情况是否再次发生？

11 linux  ubuntu  security  hacking  forensic-analysis 

我想创建一个将执行以下操作的帐户： 将计算机加入域（不限于10个域，就像普通用户一样） 检查广告中的计算机帐户 从AD删除计算机 在OU之间移动计算机 我不想让它做任何其他事情，所以不要域管理员帐户。 有人可以在权限方面引导我正确的方向吗？不知道我是否应该使用控制委派向导？ 干杯， 本

11 security  active-directory  permissions 

我们需要在内部网络上将SSL用于一些敏感的应用程序，并且我需要知道自签名证书与我们设置的Windows Server CA签名证书之间是否有区别？我们需要设置CA吗？

11 security  ssl-certificate 

如果您的网站被黑客入侵，您将首先做什么？从网络上获取网站？或回滚备份？不是真的吗？您是否以此方式进行过体验？

11 security  website  web 

对于“拨号” VPN，PPTP或IPSEC VPN是否比其他VPN更安全？为什么？

11 security  vpn  ipsec  pptp