Questions tagged «security»

我想引起社区对linux服务器安全性的关注，特别是关于蛮力攻击以及使用fail2ban与自定义iptables。 那里也有一些类似的问题，但是没有一个问题令我满意。简而言之，我正在尝试确定最佳的解决方案，以保护免受互联网攻击的Linux服务器（运行常规服务，ssh，web，邮件）免受暴力攻击。 我对服务器安全性有很好的了解，即通过不允许root用户或密码登录，更改默认端口，确保软件为最新版本，检查日志文件，仅允许某些主机访问服务器并利用安全性来锁定ssh审核工具，例如Lynis（https://cisofy.com/lynis/），用于一般安全合规性，因此尽管总是欢迎您提供意见和建议，但这个问题不一定要与之相关。 我的问题是我应该使用哪种解决方案（fail2ban或iptables），应该如何配置它，还是应该结合使用两者来防止暴力攻击？ 关于该主题有一个有趣的响应（Denyhosts vs fail2ban vs iptables-防止暴力登录的最佳方法？）。就我个人而言，最有趣的答案是（https://serverfault.com/a/128964），并且iptables路由发生在内核中，而不是使用用户模式工具来解析日志文件的fail2ban。Fail2ban当然使用iptables，但是它仍然必须解析日志文件并匹配模式，直到执行操作为止。 那么使用iptables和使用速率限制（https://www.rackaid.com/blog/how-to-block-ssh-brute-force-attacks/）来丢弃来自IP的请求一段时间是否有意义在特定时间段内进行过多连接尝试的时间（无论它尝试连接到哪种协议）？如果是这样，那么对于此处的那些数据包使用丢弃与拒绝有一些有趣的想法（http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject），对此有什么想法吗？ Fail2ban允许以能够为默认配置中可能未解决的服务编写自定义“ 规则 ” 的形式进行自定义配置。它易于安装和设置并且功能强大，但是如果我要实现的全部目的是“ 阻止 ”服务器的IP（如果他们对某项服务/协议进行了两次失败的访问尝试，且访问次数超过x的数量，那么这可能是一个过大的杀伤力）时间？ 此处的目标是打开每日日志监视报告，而不必滚动浏览尝试与服务器建立连接失败的页面。 感谢您抽出宝贵的时间。

10 ssh  security  iptables  fail2ban  brute-force-attacks 

有什么方法可以测试yum-cron配置是否正确？我需要确认它会自动安装安全补丁，并会在安装时通过电子邮件发送给我。 我已经安装了CentOS 7 Web服务器yum-cron。它已经运行了几个月，但我没有收到任何电子邮件，也没有看到任何更新/var/log/yum.log。我认为这是因为实际上没有任何安全更新影响我。运行时，yum --security list updates我收到消息No packages needed for security，并且在centos-announce中看不到任何影响我的近期关键补丁。 我的/etc/yum/yum-cron.conf外观类似于以下内容，但带有真实的电子邮件地址，而不是administrator@example.com： [commands] update_cmd = security update_messages = yes download_updates = yes apply_updates = yes [emitters] emit_via = stdio,email [email] email_from = root@localhost email_to = root,administrator@example.com email_host = localhost

10 security  yum  centos7 

我使用ssh键已有一段时间了。我正在考虑将ssh密钥对升级为更强的加密，并且我不知道在其中注册了密钥的所有设备。 是否可以在本地“弃用” SSH密钥，以便在我使用弃用的SSH密钥进行身份验证时收到警告？

10 security  ssh-keys 

在3个单独的系统中，以下事件在域控制器服务器上被记录多次（根据系统，一天之间在30至4,000次之间）： An account failed to log on. Subject: Security ID: SYSTEM Account Name: %domainControllerHostname%$ Account Domain: %NetBIOSDomainName% Logon ID: 0x3E7 Logon Type: 3 Account For Which Logon Failed: Security ID: NULL SID Account Name: Account Domain: Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d Sub Status: …

10 security  windows-server-2012-r2  windows-event-log  windows-sbs-2011  audit 

如何将AWS凭证安全地存储在个人计算机上？ 详细： 我们团队中的每个人都需要AWS安全凭证才能执行管理任务（凭证按角色分开）。这些凭据通常以明文形式存储在磁盘上的某些配置文件中。我认为这是非常不安全的，尤其是考虑到凭据是在团队成员之间分发，最终在备份中等等。 我更希望以加密形式存储这些凭据（例如，类似于ssh密钥）。是否有一些自动化的方法？还是我需要破解一些使用例如openssl来加密数据的bash脚本？ Web上有很多有关如何保护EC2实例上的凭据的信息。甚至还有Amazon IAM角色功能，但它也仅适用于EC2。

10 linux  security  amazon-web-services  credentials 

我对此有些困惑。 我在AD中创建了一个名为“特殊数据用户”的安全组，并将自己添加到其中。 然后，我在服务器上创建了一个共享，并赋予该AD安全组对该共享的完全访问权限。 如果我尝试访问共享，我将无法获得权限拒绝错误。 如果我直接将我的用户帐户添加到共享中，或者添加了我已经加入了多年的其他安全组，那么它可以正常工作。 任何有关该新小组为何无法正常工作的提示或建议，将不胜感激。我一直都处于高低状态，无法弄清为什么创建的任何新安全组都不起作用... 谢谢！

10 security  directory  share  groups 

我想知道我是否可以仅将4096位RSA密钥用于DKIM（在DNS TXT记录中）。 有没有缺点（忽略计算工作）？ 也许有些邮件服务器无法处理这么大的密钥？ 另外：是否有使用2048位以上RSA密钥的大型邮件提供商？Google，Yahoo和Microsoft似乎都使用2048位密钥。

10 security  email  dkim  dmarc 

我安装了fail2ban以禁止对ssh密码进行暴力破解尝试。对于禁止在此计算机上禁用密码身份验证，存在一些业务要求。 使用同一厨师食谱安装了fail2ban，该厨师食谱有效地禁止了对其他计算机的ssh攻击。有一个配置的ssh监狱： # service fail2ban status fail2ban-server (pid 5480) is running... WARNING 'pidfile' not defined in 'Definition'. Using default one: '/var/run/fail2ban/fail2ban.pid' Status |- Number of jail: 1 `- Jail list: ssh 手动禁止用户的作品： # fail2ban-client set ssh banip 103.41.124.46 但这似乎并没有自动禁止任何人： # cat /var/log/fail2ban.log 2014-11-20 18:23:47,069 fail2ban.server [67569]: INFO Exiting Fail2ban 2014-11-20 …

10 ssh  security  firewall  fail2ban 

我们有一个盒子，我们怀疑它已经扎根在工作中。问题是我们如何找到它？我不是系统管理员，但是我被带到团队来解决问题，我很好奇在哪里寻找问题之类的好地方？ 我们怀疑这一点的原因是，我们注意到来自高（看起来是随机的）端口的计算机上的网络利用率高于正常水平。 我们如何找到有问题的孩子？将来我们可以做些什么来保护自己呢？是否可以进行监控以使我们将来知道这一点？（除了网络监视之外，我们已经在密切关注。） 预先感谢，如果需要，我可以提供更多详细信息。感谢您的时间。

10 linux  security  process  hidden 

昨天，我们的Digital Ocean服务器遇到了类似攻击的事件。出站流量突然增加到700Mbps，而入站流量保持在0.1Mbps左右，甚至一次都没有增加。流量持续了几分钟，直到Digital Ocean假设我们正在执行DoS（这是合理的），将服务器从网络上断开为止。 我有两个假设：有人入侵了我们的服务器（在攻击之后，我意识到我的同事启用了使用密码的SSH登录），或者有某种我不知道的攻击。 谁能为我解决这种情况？如果确实有一种DoS流量看起来像这样，请教育我。

9 security  denial-of-service 

我们的域包含大约60台计算机。我的任务是确保Windows 10工作站无法相互通信。我的经理要求我创建静态路由，以便计算机只能与网络打印机，文件服务器，DC通信并访问Internet。 由于所有这些计算机都在同一网络上，所以我不认为静态路由会阻止这些计算机互相看到。允许域中的计算机使用网络资源但不直接相互通信的最佳方法是什么？

9 networking  security  domain  static-routes 

我想阻止其他人看到我的端口在nmap标准扫描中过滤（无特权）。假设我打开了以下端口：22、3306、995和配置如下的防火墙： -A INPUT -p tcp -m tcp --dport 22 -j DROP -A INPUT -p tcp -m tcp --dport 3306 -j DROP -A INPUT -p tcp -m tcp --dport 995 -j DROP 这是nmap扫描的结果： [+] Nmap scan report for X.X.X.X Host is up (0.040s latency). Not shown: 90 closed ports PORT STATE …

9 linux  security  iptables  tcp  tcpip 

我们到目前为止还没有成功，但我们仍然是非专家，我们尝试更新Web服务器（JBoss-5.1.0.GA）设置以满足Diffie-Hellman标准。在https://weakdh.org/sysadmin.html上运行测试之后，我们被告知需要“生成新的2048位Diffie-Hellman参数”。过去，我们是使用Java keytool生成密钥的，但是我们找不到有关使用Java keytool生成新的2048位Diffie-Hellman参数的信息。有谁知道该怎么做，或者可以为我们指明正确的方向？谢谢！

9 security  ssl  java  keys  keytool 

我在Apache日志中看到如下所示的条目 178.216.185.210 - - [24/Feb/2014:11:46:40 -0500] "COOK /freesearch.php?portal=0a9&... HTTP/1.0" 303 589 "-" "Mozilla/4.0 (compatible; Synapse)" 用COOK代替通常的GET或POST。 我尝试了各种搜索字词，但找不到任何可能的信息。我还搜索了用户代理字符串，发现它很可能是使用Ararat Synapse构建的脚本。从使用该用户代理字符串发出的其他请求来看，这是一个毫无用处的人。 那么这仅仅是一些组合的请求方法吗？ Apache如何处理未知的请求方法？所有COOK请求的响应状态代码都记录为303。那么Apache是​​否说See Other并仅提供相同的URI？我看不到来自同一IP的其他点击，因此我假设响应只是被记录或忽略了。他们可能稍后会从另一个IP返回。 所以我的脚本永远不会运行，对吗？

9 apache-2.2  security  http 

我遇到了一个问题，无法弄清楚如何处理。我在Windows 2008 R2服务器上有一个SQL Server。此SQL Server 2005用于从Internet上其他位置的另一个SQL Server接收数据库订阅。我已经通过防火墙打开了sql server端口，但是在范围内，我输入了其他SQL Server的IP。这样做是希望通过该端口的连接请求不会到达SQL Server，除非该请求来自其他SQL Server（其IP在防火墙规则的作用域中列出）。但是，当我看到日志时，有数百个“登录失败的用户sa”条目（并且它们每秒钟传来一次）。看来有些黑客正试图用蛮力猜测用户的密码。但是问题是，为什么Windows允许这些请求到达SQL Server，即使它们不是来自防火墙作用域中列出的IP地址也是如此？什么是保护此SQL Server的正确方法。除了其他SQL Server的IP，没有其他IP需要连接到该sql服务器。 编辑-更多信息： 我在不同机器上的sql服务器端口上运行了telnet。Telnet失败，除非从防火墙范围中特别提到的计算机运行。因此，看来防火墙阻止了sql server端口正常。但是，为什么我会从SQL Server日志中的不同IP地址看到对用户“ sa”的失败登录请求？黑客是否有可能通过端口80进入计算机，然后以某种方式尝试连接到sql server？端口80和443向所有人开放。除sql server端口（仅对一个特定IP打开）以外，所有其他端口均关闭。Web服务器上端口80上没有任何运行的程序可能会导致访客访问SQL Server。实际上，Web服务器中只有一个index.html（与SQL无连接的纯HTML）文件。这只是正在设置供将来使用的测试服务器。仅在SQL Server中测试数据。 编辑： 我启用了防火墙跟踪，以同时包括丢弃连接和成功连接。现在它正在跟踪所有内容。然后，转到SQL Server日志，在其中可以看到来自中国不同IP地址的这些失败的登录尝试。但是，防火墙日志中没有这些IP地址的条目。这怎么可能？他们可以完全绕过防火墙到达SQL Server吗？如果假设某些防火墙端口已打开，可以通过它们进入，则防火墙日志应显示该IP地址的条目。我完全不知所措。

9 sql-server  security