Questions tagged «security»

我想配置securetty以限制root直接访问。现在我很清楚是否添加： auth required pam_securetty.so 进入/etc/pam.d/system-auth，并仅在/ etc / securetty中保留“控制台”，ssh登录也将被禁止。如果我添加： auth required pam_securetty.so 进入/etc/pam.d/login，并仅在/ etc / securetty中保留“控制台”，则不会禁止ssh登录。 现在，我不太清楚/etc/pam.d/login和/etc/pam.d/system-auth之间的区别。谁能给我一些参考或指导？非常感谢！ PS /etc/pam.d/login与./etc/pam.d/system-auth相比 ，它也提供了一些信息，但是我想获得更多信息，以使我更加清楚。

11 linux  security  rhel5  pam 

我实质上是在Active Directory的任何OctetString属性中存储一个私钥（Hash）。 我的问题是，默认情况下哪个属性是安全的，并且在其中保留私有数据有意义？该值应被视为类似于密码，即使当前的AD密码，即使是管理员也无法访问（如果可能）。 这是Windows 2008R2 + Exchange 2010域上默认启用的属性列表的开头。 更新： 有人知道八位字节字符串属性默认情况下不会向域中的所有用户公开“读取”权限吗？我不想公开存储我的哈希，不希望有人基于哈希构建彩虹表。

11 security  active-directory  schema 

在相对较大的NTFS分区上有一个庞大而复杂的目录结构。有人设法将非常差的安全性特权赋予了它–有随机授予/拒绝特权的目录，等等。我已经多次遇到了许可错误，并且多次发现不安全的许可设置（例如，为“所有人”写许可） ，或错误的所有者）。 我没有时间手动检查所有内容（很大）。 但幸运的是，我的愿望很简单。最常见的：对我来说，对任何东西都可以读/写/执行，甚至对每个人都可以读。 有可能以某种方式 从目录中删除所有安全数据 并给出我（简单的）愿望来覆盖那里的所有内容？ 在Unix上，我用了chown -R ...，chmod -R ...命令序列。在Windows上相当于什么？

11 windows  security 

我正在学习Linux密码安全性（好奇心超过了所有有用的方法），而且我知道实际密码是经过哈希处理并存储在影子密码文件中的。我不确定并且在简短的Google搜寻中找不到的是使用哪种编码来编码哈希值（和盐的值）。它显然不是十六进制，而且显然是文本，不包括:字符。有人可以告诉我这种编码是什么吗？ 编辑：我了解哈希（MD5，SHA-X），盐和哈希说明符。我正在寻找的是将哈希结果（字节数组（byte []））转换为我在文件中看到的字符序列的方法，即：编码。

11 linux  security  password 

我们有堡垒服务器B。我们需要使用私钥从A到B到C进行SSH。 有什么更好的选择： 将私密SSH密钥放在服务器 B 上。我们了解到，在生产环境中执行此操作不是一个好主意。 从这里： 切勿将SSH私钥放在堡垒实例上。而是使用SSH代理转发来首先连接到该堡垒，然后再从那里连接到私有子网中的其他实例。这样，您就可以仅在计算机上保留SSH私钥。 使用SSH代理转发。为了设置代理转发，我需要允许TCP转发。设置代理转发时，将在转发主机上创建一个套接字文件，这是将密钥转发到目标的机制。在AWS的堡垒设置中： TCP转发：将此值设置为true将启用TCP转发（SSH隧道）。这可能非常有用，但同时也存在安全风险，因此我们建议您保留默认（禁用）设置，除非需要 也从这里： SSH代理转发被认为是有害的 什么是更好的？第二个链接的替代方法是什么：ProxyCommand，我知道它可以解决套接字文件问题，但是我仍然认为我必须启用TCP转发，这样是否足够安全？

10 linux  ssh  security  private-key  bastion 

在HKLM \ SYSTEM \ CurrentControlSet \ Services \ MY-SERVICE-NAME中，有Object Name一个包含用户名的密钥，但是我找不到密码。 我试图了解DP API如何与Windows服务管理以及服务流程本身进行交互。 谢谢！

10 windows  security  windows-registry 

我运行的MTA包括标准的Postfix，SpamAssassin，ClamAV，SPF / DKIM检查等。此MTA仅用于入站电子邮件，不托管任何帐户，并且将通过检查的邮件转发给共享的Web主机。 我知道，当尝试将邮件传递到我的服务器时，一些电子邮件服务开始在纯文本之前尝试TLS连接。 我意识到并不是所有的服务都支持TLS，但是我想知道它的普及程度如何，这样我才能满足大脑的OCD安全性要求（是的，我知道SSL并不像我们曾经认为的那样安全。 ...）。 该后缀的文档的smtpd_tls_security_level规定，RFC 2487规定所有的公开引用（即MX）邮件服务器不强迫TLS： 根据RFC 2487，在公开引用的SMTP服务器的情况下，不得使用此方法。因此，此选项默认为关闭。 因此：文档（或与此相关的15年历史的RFC）的适用性/相关性如何？我是否可以在不锁定全球一半ISP的情况下安全地在所有入站SMTP连接上强制使用TLS？

10 security  email  postfix  tls 

我知道RFC 5702记录了DNSSEC中SHA-2的使用，并且RFC 6944将RSA / SHA-256定义为“建议实施”。我不知道的是SHA-256在验证解析器方面的实现程度。 .org使用SHA-256 对Internet区域（我最感兴趣的是域）进行签名是否可行，还是使我的区域无法被可识别DNSSEC的大量Internet所验证？ 作为后续措施，密钥计划可以随哈希值更改而变化，以保持相同的安全级别（例如，我可以通过缩短密钥计划来解决SHA-1的问题）吗？

10 security  dnssec 

一台ubuntu服务器在单独的域上托管3个应用程序。 每个应用都有自己的开发人员。 应用开发人员属于linux“ sftp”组。 chroot允许每个应用程序开发人员访问密码sftp。 /home/app1/prod /home/app2/prod /home/app3/prod 在sshd_config中 Match Group sftp PasswordAuthentication yes ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no 我们关注的是一个应用程序中的编程漏洞，导致其他两个应用程序中的问题。 我们应该使用lxc容器而不是chroot吗？为什么？对lxc容器的更改对应用程序开发人员是否透明？

10 ubuntu  security  sftp  chroot  lxc 

我需要了解正在运行的系统当前规则下与selinux类型相关的所有信息： 允许，允许审核，不审核规则。 使用类型标记了上下文的文件。 过渡。 ...以及其他任何信息。 是否可以使用任何命令查询该信息，还是应该下载所有与selinux相关的“ src”软件包，过滤掉未使用的模块，并对该信息的每个文件进行grep？必须有一种更简单的方法来做到这一点。

10 linux  security  selinux 

使用mod_ssl时是否可以禁用Apache 2.2.x中的SSL / TLS压缩？ 如果不是，人们在做什么以减轻旧浏览器中的CRIME / BEAST的影响？ 相关链接： https://issues.apache.org/bugzilla/show_bug.cgi?id=53219 https://threatpost.com/zh_CN/blogs/new-attack-uses-ssltls-information-leak-hijack-https-sessions-090512 /security/19911/crime-how-to-beat-the-beast-successor

10 apache-2.2  security  ssl  tls  mod-ssl 

我最近为正在运营的小型公司设置了虚拟化服务器。该服务器运行的虚拟机很少用于开发，测试等。 我的业务伙伴在远程位置工作，因此我还在虚拟化主机上安装了vpn服务器，以使他可以安全地访问公司服务。此外，再次在虚拟化主机上，我安装了bacula以执行数据备份。 这样做是明智的/良好的做法，还是应该再创建一个虚拟机来进行备份和VPN？在主机本身上运行这些服务不是一个好主意吗？如果是，为什么？

10 ubuntu  security  backup  vpn  virtualization 

在工作中，我有一堆使用纯http或自签名证书的Web界面（负载均衡器管理界面，内部Wiki，仙人掌等）。 从外部特定VLAN /网络无法访问。 对于家庭使用，我使用cacert SSL证书。 我想知道我是否应该建议我的雇主使用cacert SSL证书代替自签名证书和纯http。有人在生产中使用cacert ssl吗？优点/缺点是什么？它会提高安全性吗？更容易管理吗？有什么意外的吗？它会影响准扫描吗？我该如何说服他们？ 当然，公共网站的付费证书将保持不变。 编辑： （很好奇）公司提供的免费ssl证书似乎不是3类。我必须出示护照，并亲自出示才能从cacerts获得3类。浏览器中是否没有针对每个1类的警告？ 无论如何，我对任何免费的CA都会有同样的问题：这比使用自签名纯HTTP 好吗？为什么？ 我会这样做是为了简化服务器端的管理。我错过了什么吗？ 免责声明：我不是cacert协会成员，甚至不是Assurer，只是普通的快乐用户。

10 security  ssl 

我曾经在许多服务器上使用Ubuntu 10.04模板。自从更改为12.04以来，我遇到了一些孤立的问题。 / dev / urandom设备只能由root用户访问。 至少在PHP中，这导致SSL引擎失败，例如file_get_contents（https：//...。 它也破坏了redmine。 在chmod 644之后，它可以正常工作，但是重新启动后不会消失。 所以我的问题。 为什么是这样？我认为没有安全风险，因为...我的意思是..想窃取一些随机数据吗？ 我该如何“修复”它？服务器被隔离并且仅由一个应用程序使用，这就是为什么我使用openvz的原因。我考虑过类似运行级脚本之类的东西...但是如何有效地做到这一点？Maby用dpkg还是apt？ / dev / shm也是如此。在这种情况下，我完全理解为什么它不可访问，但是我想我可以用相同的方法“修复”它来修复/ dev / urandom

10 linux  ubuntu  security  permissions  filesystems 

我想更好地保护集中管理的计算机，并且自动部署Java运行时非常困难，但这是另一个问题。 我发现Java的安全性是灾难性的，即使它已被完全修补：看起来，如果用户对无害问题“您是否信任此证书”说“是”，那么Java可以做任何它想做的事情。Java Webstart似乎也是恶意软件作者的通用入口点。 通常，我不关心我的用户玩浏览器游戏等。Javaapplet似乎已经灭绝了。 但是仅剩一页（Ingramm Micro购物系统）依赖于Java。 有谁知道通过组策略配置IE或Java的简单方法，以仅允许在某些预配置站点上使用Java插件？ 谢谢！

10 security  group-policy  java  internet-explorer