Questions tagged «security»

安全不是产品,而是过程。

19
IT经理即将离开-我该如何锁定?
IT经理可能要离开了,分开的方式可能并不完全是民意的。我真的不希望有任何恶意,但是以防万一,我应该检查,更改或锁定什么? 例子: 管理员密码 无线密码 VPN访问规则 路由器/防火墙设置
51 security 
3
Nginx + PHP-FPM的PHP选项'cgi.fix_pathinfo'真的很危险吗?
已经有一个 很大 的 谈论关于相对于一个安全问题cgi.fix_pathinfo与Nginx的(通常是PHP-FPM,快速CGI)使用PHP选项。 结果,默认的nginx配置文件用来表示: # NOTE: You should have "cgi.fix_pathinfo = 0;" in php.ini 但是,现在,“官方” Nginx Wiki 指出可以在不禁用上述PHP选项的情况下正确处理PATH_INFO。所以呢? 问题 您能清楚地解释cgi.fix_pathinfo做什么吗?(官方文档只是说:“有关PATH_INFO的更多信息,请参见CGI规范”) PHP将如何真正处理这些变量PATH_INFO和SCRIPT_FILENAME变量? 为什么使用Nginx以及如何会有危险?(详细示例) 在这些程序的最新版本中是否仍然存在该问题? Apache容易受到攻击吗? 我试图在每个步骤中了解问题。例如,我不明白为什么使用php-fpm Unix套接字可以避免此问题。
8
压缩的EXE文件对Linux服务器无害吗?
我在自己的网站上运行了一个恶意软件扫描程序,并将一堆压缩的EXE文件标记为潜在风险文件(这些文件由用户上传)。由于我能够在Mac上解压缩文件,因此我认为这些文件是真实的ZIP文件,而不仅仅是重命名的PHP文件。 因此,ZIP文件对我的Web服务器不应该有任何风险,对吗?
14
防止暴力攻击ssh?
您使用什么工具或技术来防止对ssh端口的暴力攻击。我在安全日志中注意到,我有数百万次尝试通过ssh以各种用户身份登录。 它在FreeBSD上,但是我想它会在任何地方都适用。
1
fstab中的nodev和nosuid的说明
当有人描述如何安装tmpfs或ramfs时,我经常在网上看到这两个选项。通常也与noexec一起使用,但是我对nodev和nosuid特别感兴趣。我基本上讨厌在没有真正理解的情况下盲目重复别人的建议。而且由于我在网上仅看到有关此内容的复制/粘贴说明,因此请在此处提出。 这来自文档: nodev-不要解释文件系统上的块特殊设备。 nosuid-阻止suid和sgid位的操作。 但是,我想提出一个实用的解释,如果我不考虑这两个因素,将会发生什么。假设我已经配置了tmpfs或ramfs(没有设置这两个选项),系统上的特定(非root)用户可以访问(读+写)。该用户可以采取什么措施来损害系统?排除在使用ramfs时消耗所有可用系统内存的情况
44 linux  security  fstab 
9
如何隐藏作为命令行参数传递的密码?
我正在运行一个软件守护程序,该守护程序需要某些操作才能输入密码来解锁某些功能,例如: $ darkcoind masternode start <mypassphrase> 现在,我的无头Debian服务器上出现了一些安全问题。 每当我使用例如搜索bash历史记录时,Ctrl+R都可以看到此超级强密码。现在,我想象我的服务器已损坏,并且某些入侵者具有外壳访问权限,并且可以简单地Ctrl+R在历史记录中找到我的密码短语。 有没有一种方法来输入密码,没有它在bash的历史显示,ps,/proc或其他地方? 更新1:不向守护程序传递密码会引发错误。这是没有选择的。 更新2:不要告诉我删除软件或其他有用的提示,例如挂起开发人员。我知道这不是最佳实践的示例,但是该软件基于比特币,并且所有基于比特币的客户端都是某种json rpc服务器,它会监听这些命令,并且仍在讨论一个已知的安全问题(a,b,c) 。 更新3:守护程序已经启动并通过以下命令运行 $ darkcoind -daemon “执行” ps仅显示启动命令。 $ ps aux | grep darkcoin user 12337 0.0 0.0 10916 1084 pts/4 S+ 09:19 0:00 grep darkcoin user 21626 0.6 0.3 1849716 130292 ? SLl May02 6:48 darkcoind -daemon 因此,使用密码短语传递命令不会ps或根本不会显示/proc。 …
4
我更新了CentOS 7系统。为什么融化/鬼影只能部分缓解?
像我们许多人一样,我昨天花了很多时间来更新整个系统,以缓解Meltdown和Spectre攻击。据我了解,有必要安装两个软件包并重新启动: kernel-3.10.0-693.11.6.el7.x86_64 microcode_ctl-2.1-22.2.el7.x86_64 我有两个安装了这些软件包并重新引导的CentOS 7系统。 根据Red Hat,我可以通过检查这些sysctls并确保它们全部为1来检查缓解状态。但是,在这些系统上,它们并非全部为1: # cat /sys/kernel/debug/x86/pti_enabled 1 # cat /sys/kernel/debug/x86/ibpb_enabled 0 # cat /sys/kernel/debug/x86/ibrs_enabled 0 而且我也不能将它们设置为1: # echo 1 > /sys/kernel/debug/x86/ibpb_enabled -bash: echo: write error: No such device # echo 1 > /sys/kernel/debug/x86/ibrs_enabled -bash: echo: write error: No such device 我确认英特尔微码似乎已在启动时加载: # systemctl status microcode -l …
6
安装生产服务器是否安全?
在设置虚拟服务器实例期间,我需要使用构建一些应用程序make。安装后是否存在任何安全隐患make?还是应该在部署实例之前清理它? 我还拥有gcc服务器上的编译器,可用于在部署之前构建应用程序。
42 security  make  gcc 
8
在团队中管理SSH密钥的最佳实践是什么?
我与具有以下特征的小型团队(少于10个)的开发人员和管理员合作: 团队的大多数成员都拥有> 1台个人计算机,其中大多数是便携式的 团队成员通常可以使用sudo访问10-50台服务器 我认为这对于大多数初创公司和中小型企业IT团队来说都是很典型的。 在这样的团队中管理SSH密钥的最佳实践是什么? 您是否应该为整个团队共享一个密钥? 每个人都应该在共享帐户(每台服务器上的“ ubuntu”)上拥有自己的密钥吗? 单独的帐户? 每个团队成员是否应该为自己的每台笔记本电脑或台式机都保留一个单独的密钥?
42 security  ssh  keys 
6
如何删除SSH中严格的RSA密钥检查,这是什么问题?
我有一台Linux服务器,无论何时连接它,它都会显示更改SSH主机密钥的消息: $ ssh root @ host1 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@ @警告:远程主机标识已更改!@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@可能有人在做某些NASTY!可能有人正在偷听您(中间​​人攻击)!RSA主机密钥也可能刚被更改。远程主机发送的RSA密钥的指纹为93:a2:1b:1c:5f:3e:68:47:bf:79:56:52:f0:ec:03:6b。请与系统管理员联系。在/home/emerson/.ssh/known_hosts中添加正确的主机密钥以摆脱此消息。/home/emerson/.ssh/known_hosts中的冒犯密钥:377 host1的RSA主机密钥已更改,您已请求严格检查。主机密钥验证失败。 它使我保持几秒钟的登录状态,然后关闭了连接。 host1:〜/ .ssh#从远程主机host1读取:对等方重置连接与host1的连接已关闭。 有谁知道发生了什么事以及我可以做些什么来解决这个问题?
3
Amazon EC2实例之间进行通信的最佳实践是什么?
我一直在为即将到来的项目设置Amazon EC2实例。它们都是微型实例,运行Ubuntu Server 64位。到目前为止,这是我设置的内容: Web服务器 -Apache 数据库服务器 -MySQL 开发服务器 -Apache和MySQL 文件服务器 -SVN和Bacula(已备份到S3存储桶) 当前,只有一台Web服务器,但最终会有更多。 我的第一个问题是,Amazon EC2实例之间相互通信的最佳,最安全的方法是什么?目前,我正在使用SSH,这是最好的方法吗? 根据Amazon的说法,使用其弹性IP地址在其之间进行通信的实例将收取数据传输费。但是,实例使用其专用IP地址进行通信可以免费这样做。不幸的是,如果实例停止并重新启动,则私有IP似乎会更改。 这是我的第二个问题,如果Amazon实例的私有IP不是静态的,那么如何利用它们呢? 我知道实例可能不会非常频繁地停止和启动,但是仍然,如果IP地址在各种配置文件中,则必须仔细检查所有实例并进行更改会很痛苦。 我主要关心的是Web服务器,它们需要访问数据库服务器和文件服务器,而在执行备份时它们需要访问所有实例。 注意: 我以前从未使用过Bacula,也没有设置它,但是我假设它需要客户端的IP地址来备份它们。
11
被黑了。想了解如何
有人第二次向我帮助运行的网站添加了一段JavaScript。该javascript劫持了Google adsense,插入了自己的帐号,并在各处粘贴广告。 该代码始终附加在一个特定目录(第三方广告程序使用的一个目录)中,会影响该广告目录(大约20个左右)内多个目录中的多个文件,并在大致相同的夜晚插入时间。adsense帐户属于一个中文网站(位于下个月不到一个小时的小镇上。也许我应该半信半疑……开玩笑之类的),顺便说一下……这是有关信息该站点:http : //serversiders.com/fhr.com.cn 那么,他们如何将文本追加到这些文件?它与在文件上设置的权限有关(从755到644)?对于网络服务器用户(它位于MediaTemple上,因此应该是安全的,是吗?)?我的意思是,如果您有一个权限设置为777的文件,我仍然不能随便添加代码...他们可能会怎么做? 这是为您带来观看乐趣的实际代码示例(而且您可以看到……不多。真正的窍门是他们如何将代码插入其中): <script type="text/javascript"><!-- google_ad_client = "pub-5465156513898836"; /* 728x90_as */ google_ad_slot = "4840387765"; google_ad_width = 728; google_ad_height = 90; //--> </script> <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script> 既然有很多人提到过,这就是我检查过的内容(通过检查,我的意思是我环顾了文件修改时是否出现怪异现象,并且对文件进行了POST语句和目录遍历: access_log(除了正常(即过多)的MSN机器人流量之外,几乎没有其他时间) error_log(除了普通文件不存在外,无害文件的错误) ssl_log(仅此而已) messages_log(除了我之外,这里没有FTP访问权限) *更新:**好,解决了。来自中国的黑客实际上已经在我们的网站上放置了一个文件,使他们可以进行各种管理工作(数据库访问,删除和创建文件及目录,您可以命名,他们可以访问)。我们很幸运,他们没有做更具破坏性的事情。普通的Apache日志文件中没有任何内容,但是我在Web服务器日志分析器中找到了另一组日志文件,并且证据在那里。他们使用自己的管理员用户名和密码访问该文件,然后在服务器上编辑所需的内容。他们的文件已将“ apache”设置为用户,而我们网站上的所有其他文件均具有不同的用户名。现在,我需要弄清楚他们是如何将该文件实际添加到我们的系统中的。我怀疑这最终将归咎于我们的网络托管商(媒体圣殿),
40 security  php  hacking 
2
为什么我可以在没有root的情况下删除主目录中root拥有的文件?
因此,我今天早些时候在服务器上进行了一些维护,发现我能够删除主目录中root拥有的文件。 我能够复制一个样本: [cbennett@nova ~/temp]$ ls -al total 8 drwxrwxr-x. 2 cbennett cbennett 4096 Oct 5 20:59 . drwxr-xr-x. 22 cbennett cbennett 4096 Oct 5 20:58 .. -rw-rw-r--. 1 cbennett cbennett 0 Oct 5 20:58 my-own-file [cbennett@nova ~/temp]$ sudo touch file-owned-by-root [cbennett@nova ~/temp]$ ls -al total 8 drwxrwxr-x. 2 cbennett cbennett …
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.