Questions tagged «security»

OpenSSL的“心脏出血”漏洞（CVE-2014-0160）影响服务HTTPS的Web服务器。其他服务也使用OpenSSL。这些服务是否还容易遭受类似流血的数据泄漏？ 我特别在想 sshd 安全SMTP，IMAP等-dovecot，exim和postfix VPN服务器-OpenVPN和朋友 至少在我的系统上，所有这些都链接到OpenSSL库。

65 security  openssl  heartbleed 

您如何授予LocalSystem（NT AUTHORITY \ SYSTEM）帐户对网络资源的访问权限？ 背景 访问网络时，LocalSystem帐户充当网络上的计算机： 本地系统帐户 LocalSystem帐户是服务控制管理器使用的预定义本地帐户。 ...并充当网络上的计算机。 还是再说一遍：LocalSystem帐户充当网络上的计算机： 当服务在域成员计算机上的LocalSystem帐户下运行时，该服务具有授予该计算机帐户或该计算机帐户所属成员的任何组的任何网络访问权限。 如何授予“ 计算机 ”访问共享文件夹和文件的权限？ 注意事项： 计算机帐户通常具有很少的特权，并且不属于组。 因此，我将如何授予计算机访问我的一个共享的权限？考虑到“ 所有人 ”已经可以访问？ 注意：工作组 | Account | Presents credentials | |----------------|----------------------| | LocalSystem | Machine$ | | LocalService | Anonymous | | NetworkService | Machine$ |

65 windows  security  authentication  local-system 

我正在阅读有关Google的新公共DNS服务的一些说明： 绩效收益 安全利益 我在安全性部分注意到了这一段： 在普遍采用标准的全系统DNS漏洞解决方案（例如DNSSEC2协议）之前，开放DNS解析器需要独立采取一些措施来缓解已知威胁。已经提出了许多技术。有关大多数问题的概述，请参见IETF RFC 4542：使DNS对伪造答案更具弹性的措施。在Google公共DNS中，我们已经实现并建议采用以下方法： 过度配置机器资源，以防止对解析程序本身进行直接DoS攻击。由于IP地址对于攻击者来说很容易伪造，因此无法阻止基于IP地址或子网的查询。应对此类攻击的唯一有效方法是简单地吸收负载。 这是一个令人沮丧的认识；即使在堆栈溢出/服务器故障/超级用户中，我们也经常使用IP地址作为各种禁止和阻止的基础。 认为一个“才华横溢”的攻击者可以轻而易举地使用他们想要的任何IP地址，并根据需要合成任意数量的唯一假IP地址，真是太可怕了！ 所以我的问题是： 攻击者在野外伪造IP地址真的那么容易吗？ 如果是这样，可以采取哪些缓解措施？

65 security  domain-name-system  ip-address  spoofing 

最近，我需要购买通配符SSL证书（因为我需要保护多个子域），当我第一次搜索购买地点时，我对选择的数量，营销要求和价格范围不知所措。我创建了一个列表，以帮助我查看通过的营销俩，即大多数证书颁发机构（CA）遍及整个站点。最后，我的个人结论是，唯一重要的事情就是CA网站的价格和愉快程度。 问题：除了价格和一个不错的网站之外，在决定在哪里购买通配符SSL证书时，我是否值得考虑？

63 ssl  certificate-authority  security  ssl-certificate 

我们有一个在Windows Server 2008上运行的Exchange 2007服务器。我们的客户端使用其他供应商的邮件服务器。他们的安全政策要求我们使用强制TLS。直到最近，这一切都很好。 现在，当Exchange尝试将邮件传递到客户端的服务器时，它将记录以下内容： 无法建立连接器“默认外部邮件”上域安全的域“ ourclient.com”的安全连接，因为对ourclient.com的传输层安全性（TLS）证书的验证失败，状态为“ UntrustedRoot”。请与ourclient.com的管理员联系以解决该问题，或从受保护的域列表中删除该域。 从TLSSendDomainSecureList中删除ourclient.com会导致使用机会性TLS成功发送邮件，但这只是暂时的解决方法。 客户是一家规模庞大，对安全敏感的国际公司。我们的IT联系人声称没有意识到其TLS证书的任何更改。我已多次要求他确定生成证书的授权，以便我可以对验证错误进行故障排除，但到目前为止，他一直无法提供答案。据我所知，我们的客户可以用内部证书颁发机构的证书替换其有效的TLS证书。 有谁知道一种手动检查远程SMTP服务器的TLS证书的方法，就像在Web浏览器中处理远程HTTPS服务器的证书一样？确定谁颁发了证书并将该信息与我们的Exchange服务器上的受信任根证书列表进行比较可能非常有帮助。

63 windows-server-2008  security  exchange-2007  certificate  tls 

我们在服务器上运行着一套Windows服务，它们相互独立执行一堆自动化任务，但一个服务负责其他服务。 如果其中一项服务无法响应或挂起，则该服务将尝试重新启动服务，如果在尝试过程中引发异常，则将电子邮件发送给支持团队，以便他们可以自己重新启动服务。 经过一些研究，我遇到了一些“解决方案”，从KB907460中提到的解决方法到提供服务运行管理员权限的帐户。 我对这两种方法都不满意-我不了解Microsoft知识库文章中概述的第一种方法的后果，但我绝对不希望授予管理员访问运行该服务的帐户的权限。 我快速浏览了“本地安全策略”，除了定义帐户是否可以作为服务登录的策略之外，我看不到其他任何类似于服务的内容。 我们正在Server 2003和Server 2008上运行此程序，因此任何想法或指针都将受到欢迎！ 澄清：我不想授予给定用户或组启动/停止/重新启动所有服务的功能-我希望授予给定用户或组仅对特定服务的执行权限。 进一步说明：我需要授予这些权限的服务器不属于域-它们是两个面向Internet的服务器，它们接收文件，对其进行处理并将它们发送给第三方，以及为几个网站提供服务，因此Active Directory组策略是不可能的。抱歉，我没有说清楚。

61 windows  permissions  group-policy  security  windows-service 

我为我工作的公司管理一些基于云（VPS）的服务器。 服务器是最少的ubuntu安装，可运行LAMP堆栈/入站数据收集（rsync）的位。数据很大，但不是个人，财务或类似的东西（即不那么有趣） 显然，在这里人们总是问有关配置防火墙之类的问题。 我使用多种方法来保护服务器的安全，例如（但不限于） 在非标准端口上使用ssh；没有密码输入，仅来自已知ips的已知ssh密钥进行登录等 https和受限制的shell（rssh）通常仅来自已知的密钥/ ips 服务器数量最少，最新且定期修补 使用rkhunter，cfengine，lynis denyhosts等工具进行监视 我对unix sys admin有丰富的经验。我有信心知道自己在设置中正在做什么。我配置/ etc文件。我从来没有迫切需要安装诸如防火墙之类的东西：iptables等。 暂时搁置VPS的物理安全性问题。 Q？我无法决定我是天真的还是fw可能提供的增量保护值得学习/安装以及服务器上额外的复杂性（程序包，配置文件，可能的支持等）。 到目前为止（接触木头），我在安全方面从未遇到过任何问题，但我也不对此感到沾沾自喜。

59 security  firewall  configuration  vps 

显然，在这里我们看到有多少是系统管理员类型的人员，我们在许多系统和帐户中都有很多密码。其中一些优先级较低，其他一些一旦发现可能会对公司造成严重损害（您不只是喜欢权力吗？）。 简单，易于记忆的密码是不可接受的。唯一的选择是复杂，难以记住（和键入）的密码。那么，您使用什么来跟踪密码？您是使用程序为您加密它们（依次又需要另一个密码），还是执行一些不太复杂的事情，例如在您的个人身上保存一张纸，还是在这些选项之间？

59 security  password 

我喜欢通过按键访问服务器的想法，所以我没有在我的密码，我每次都输入ssh到一个盒子里，我甚至锁住我的用户（不root）密码（passwd -l username），所以它不可能登录无需钥匙。 但是，如果要求我输入sudo命令密码，则所有这些操作都会中断。因此，我很想设置无密码sudo以使事情与无密码登录保持一致。 但是，我一直感到自己可能会以某种意想不到的方式适得其反，这似乎有点不安全。这样的设置有什么警告吗？您是否建议/不建议对服务器上的用户帐户执行此操作？ 澄清说明 我在这里谈论的是sudo在交互式用户会话中的使用，而不是用于服务或管理脚本 我正在谈论使用云服务器（因此我对计算机没有物理本地访问权限，只能远程登录） 我知道sudo有一个超时，在此期间我不必重新输入密码。但是我的演唱会并不是真的在浪费额外的时间来实际输入密码。但我的想法是根本不必处理密码，因为我认为： 如果我必须记住它，它很可能太短而无法安全或重复使用 如果我为远程帐户生成了一个长而唯一的密码，则必须将其存储在某个地方（本地密码管理器程序或云服务），并在每次使用时都获取它sudo。我希望我能避免这种情况。 因此，对于这个问题，我想更好地了解一种可能的配置相对于其他可能的配置所面临的风险，警告和折衷。 跟进1 所有答案都表明，无密码sudo是不安全的，因为如果我的个人用户帐户遭到破坏，它可以“轻松”地升级特权。我明白那个。但是另一方面，如果我使用密码，则密码会带来所有经典风险（太短或通用的字符串，在不同的服务之间重复等等）。但是我猜想，如果我禁用密码身份验证，/etc/ssh/sshd_config以便仍然需要登录密钥，那么我可以使用更简单的密码sudo吗？那是有效的策略吗？ 跟进2 如果我也有一个root通过ssh 登录的密钥，如果有人可以访问我的计算机并窃取我的密钥（尽管它们仍然受到操作系统的密钥环密码的保护！），他们也可能会直接访问该root帐户。 ，绕过sudo路径。那么访问该root帐户应该有什么政策？

58 linux  security  password  sudo 

在阅读了有关服务器受损的问题之后，我开始怀疑为什么人们似乎仍然相信他们可以使用检测/清除工具或仅通过修复用于破坏系统的漏洞来恢复受损的系统。 考虑到所有各种根工具包技术以及黑客可以做的其他事情，大多数专家建议您应该重新安装操作系统。 我希望能得到一个更好的主意，为什么越来越多的人不只是起飞和核弹从轨道系统。 我想谈谈以下几点。 是否存在格式/重新安装无法清除系统的情况？ 您认为在什么类型的条件下可以清洗系统，以及何时必须完全重新安装？ 您反对完全重新安装有什么理由？ 如果您选择不重新安装，那么您将使用哪种方法来确信自己已清洗并防止再次发生任何进一步的损坏。

58 hacking  security 

在我的网站上，我有一个“隐藏”页面，其中显示了最近访问者的列表。单个PHP页面根本没有链接，从理论上讲，只有我知道它的存在。我每天检查很多次，看看我有什么新唱片。 但是，大约每周一次，我从这个可能隐藏的页面上的208.80.194。*地址中获得了一次点击（它记录了自己的点击）。奇怪的是：这个神秘的人/机器人没有访问我网站上的任何其他页面。不是公共的PHP页面，而是仅此打印访问者的隐藏页面。它始终是单个匹配，并且HTTP_REFERER为空白。其他数据始终是 Mozilla / 4.0（兼容; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b） ...但有时MSIE 6.0不是7，而是其他各种插件。浏览器每次都不同，地址的最低位也是如此。 就是这样。每周左右点击一次，到那一页。这位神秘的访客绝对没有触及其他页面。 whois在该IP地址上做一个显示，它来自纽约地区和“ Websense” ISP。地址的最低8位有所不同，但它们始终来自208.80.194.0 / 24子网。 在我用来访问网站的大多数计算机中，traceroute对我的服务器执行IP 208.80。*的任何地方都没有路由器。我想，这可以排除任何HTTP嗅探。 这是怎么发生的，为什么呢？看起来完全是良性的，但无法解释且有点令人毛骨悚然。

56 security  forensics 

我想允许某些用户使用另一个用户帐户，而不必知道该帐户的密码，但不允许访问任何其他用户帐户（即root）。 例如，我想允许Tom DBA su到oracle用户，而不是tomcat用户或root。 我想这可以通过/ etc / sudoers文件来完成-有可能吗？如果是这样，怎么办？

53 linux  security  sudo 

我想我在CentOS 5.3系统上几乎已经完成了iptables设置。这是我的剧本... # Establish a clean slate iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -F # Flush all rules iptables -X # Delete all chains # Disable routing. Drop packets if they reach the end of the chain. iptables -P FORWARD DROP # Drop …

53 linux  security  firewall  iptables  icmp 

“我们强烈建议您不要授予对S3存储桶的任何公共访问权限。” 我为用于托管网站的一个存储桶设置了非常精细的公共策略（s3：GetObject）。Route53为此明确支持别名存储桶。这个警告仅仅是多余的，还是我做错了什么？

52 security  amazon-web-services  amazon-s3  amazon-route53 

我时不时地收到奇怪的请求，要求在Linux系统上提供远程支持，故障排除和/或性能调整。 大型公司通常已经建立了完善的程序来提供对供应商/供应商的远程访问，而我只需要遵守这些程序即可。（不论结果好坏。） 另一方面，小公司和个人总是向我求教，以指导他们建立我所需要做的事情。通常，它们的服务器直接连接到Internet，现有的安全措施包括Linux发行版的默认设置。 几乎总是需要root级访问权限，而为我设置访问权限的人都不是专家级的sysadmin。我不希望他们的root密码，而且我也很确定我的行为不会是恶意的，但是我应该给什么合理的简单指示： 设置一个帐户并安全地交换凭证 设置root（sudo）访问 限制访问我的帐户 提供审核跟踪 （是的，我知道并且总是警告那些客户，一旦我具有管理员访问权限，则隐藏任何恶意操作都是微不足道的，但是让我们假设我没有什么可隐藏的，可以积极参与创建审计跟踪。） 以下步骤可以改善什么？ 我当前的指令集： 设置一个帐户并安全地交换凭证 我提供了一个密码哈希，并要求我使用该加密密码来设置我的帐户，因此我们无需传输明文密码，我将是唯一知道该密码的人，并且我们不会以可预测的弱密码。 sudo useradd -p '$1$********' hbruijn 我提供了一个公共密钥SSH（每个客户端特定的密钥对），并要求他们使用该密钥设置我的帐户： sudo su - hbruijn mkdir -p ~/.ssh chmod 0700 ~/.ssh echo 'from="10.80.0.0/14,192.168.1.2" ssh-rsa AAAAB3NzaC1y***...***== hbruijn@serverfault' >> ~/.ssh/authorized_keys chmod 0600 ~/.ssh/authorized_keys 设置root（sudo）访问 我要求客户端使用sudo sudoedit或使用他们最喜欢的编辑器为我设置sudo并附加到/etc/sudoers： hbruijn ALL=(ALL) ALL 限制访问我的帐户 通常，客户端仍然允许基于密码的登录，我要求他们添加以下两行以/etc/ssh/sshd_config至少将我的帐户仅限制为SSH密钥： Match user hbruijn …

51 linux  security  sudo  root  audit