Questions tagged «security»

安全不是产品,而是过程。

2
以root身份将文件写入非root拥有的目录为什么会很糟糕?
这是对另一个问题的评论,如果有人可以向我解释其原因,我将非常乐意。 我建议让Apache将给定VHost的错误记录到用户的主目录中。这是因为不安全而被拒绝的。为什么? 我在回复评论中要求澄清,但我得到的是,将root写入不属于root的文件夹中是不安全的。同样,有人可以解释吗? 谢谢, 巴特

4
允许linux root用户mysql root访问而无需密码
在cPanel上,当我以root用户身份登录并键入“ mysql”而没有主机名和密码时,它使我可以直接访问mysql root用户。 我想对我的一台非面板服务器执行此操作,在该服务器中,Linux根用户以与cPanel上相同的方式获得较少的密码登录mysql根用户。 这可能吗 ?

4
服务器虚拟化是否意味着要修补和更新另一个OS层,更多的工作和更大的风险?
我进行了搜索,但未找到解决补丁程序和系统更新的任何问题。我有指导原则,说服务器需要具有必要的补丁。如果我有一台VM主机,那么即使使用裸机虚拟机管理程序,该层是否也需要修补和更新?而不是拥有金属服务器?(即,按照我的指南进行更多的工作,测试和记录)。 类型1 /裸机管理程序多久更新一次?有关系吗 它是一个额外的软件层这一事实是否会带来更多的复杂性和风险(安全性和可靠性)?(例如,99%无漏洞的软件x 99%无漏洞的软件= 98%无漏洞的系统)? (我的实际经验是使用VMWare工作站和服务器以及VirtualBox。)


9
在完全交换的网络上对数据包进行嗅探是否真的需要担心?
我管理许多需要用户进行telnet访问的linux服务器。当前,用户的凭据存储在每台服务器的本地,并且密码通常非常弱,因此不需要更改它们。登录将很快与Active Directory集成在一起,这是一个受到更严格保护的身份。 考虑到我们拥有完全交换的网络,是否真的会担心从LAN嗅探用户的密码,因此任何黑客都需要在用户的计算机和服务器之间进行物理插入?

7
Windows是否可以使用fail2ban吗?
谁能为Windows操作系统推荐类似fail2ban的工具?我有几个Windows Media服务器,它们在蛮力验证尝试中受到重创。我想将这些身份验证失败插入某种阻止工具中。
27 windows  security 

10
实时查看其他用户执行的Linux Shell命令?
Linux中的root用户是否可以实时(或接近实时)查看由另一个通过终端或SSH登录的用户正在运行的shell命令?显然,它们存储在.bash_history中,但是仅在用户注销时才保存,也可以将其禁用。 编辑:理想情况下,可以轻松打开和关闭的内容。
27 linux  security  shell 

8
伪造的OpenID提供者有危险吗?
我一直在想。由于任何人都可以启动OpenID提供程序,并且由于没有中央机构可以批准OpenID提供程序,所以为什么不伪造OpenID提供程序会成为问题? 例如,垃圾邮件发送者可以通过后门启动OpenID提供程序,以使自己像其他被欺骗在其网站上注册的用户一样进行身份验证。这可能吗?提供者的声誉是阻止这种情况的唯一方法吗?将来我们会看到OpenID提供程序黑名单和OpenID提供程序审核站点吗? 可能我对OpenID完全不了解。请赐教我:)
27 security  openid 

8
如何负责任地处置备份磁带?
我们的旧磁带驱动器发生故障,并且我们不再使用磁带进行备份。我们还有一堆带备份的DLT磁带,其中可能包含敏感信息,例如信用卡号,社会保险号等。 如何负责任地处置这些备份磁带? 如果我有一个正常工作的驱动器,那么我很想从/ dev / urandom dd到磁带设备,但是驱动器出现了故障。如果驱动器仍在工作,这将是一个好方法吗?鉴于我没有可用的驱动器,对于这些磁带,您建议我怎么做?
27 security  cleanup 

6
我如何说服我的公司在IT(领域,安全性等)上进行投资?
我为一家中小型零售商工作,该零售商有六家大街商店和一个网站。 当前,IT状况处于非常基本的状态。作为“ IT负责人”只是我工作描述的一小部分,而清单上的最后一个我却没有花太多时间。 我们的网络上大约有50台计算机和14个Windows终端机(总部内部30台,外部商店20家,仓库和笔记本电脑)。这些都是建立在工作组网络上的,所有站点都通过非常基本的路由器级VPN设置(每个商店的子网)连接在一起。 因此,我无法进行任何管理,检查计算机的安全性,进行任何审核,确保已安装更新,管理来宾设备的Wi-Fi或进行任何检查。 我确实想要一个域名,但是在告诉我的老板之后,他说这不值得,因为: 我们已经与一个工作组应对多年,没有任何问题 员工可以信赖 如果发生故障时我离开了或者不在家,那么没人会理解它是如何工作的 新硬件的安装成本和域的许可费用很高。(我们目前只购买预制的OEM Windows PC,然后再购买零散的Office许可证) 由于域是集中管理的,因此如果发生重大问题,可能会导致所有计算机无法正常工作。(与工作组不同,在工作组中,如果只有一台计算机死机,那么其他一切都很好,并且不会影响其他任何人的工作。) 我不知道该如何强调安全性,因为我们没有领域。连接到我们的Wi-Fi的任何人都可以访问内容,由于用户未安装密码,任何人都可以从任何PC上访问内容,任何人都可以查看共享文件夹并删除共享文件夹,而无需显示或备份日志。我不确定我们是否符合PCI规范,或者我们是否符合审计师规范。有人告诉我忽略这一点,不要担心。 由于我的职位描述中包含“内部IT基础架构负责人”的信息,所以我也不想被追究责任,如果我们遇到数据泄露或法律诉讼不利于我们。 如何证明事情需要改变,我的时间和额外的钱需要花在这上面?对于我们这样规模的公司,可能需要专职网络管理员。还是我想得太多,对我真正想要的东西非常自私,工作组就可以了? 更新:听起来我也许会保留领域的想法,然后尝试一些更小的事情。例如,确保打开更新,病毒扫描和防火墙,确保在单个PC上启用密码,在每台计算机上启用备份,在装有服务器的房间中启用物理锁。我不确定如何处理网络范围的文件共享和Wi -Fi,但这是另一个问题!

3
缓存的Windows凭据如何存储在本地计算机上?
如何将缓存的Active Directory域凭据存储在Windows客户端上?它们是否存储在本地SAM数据库中,从而使它们容易受到本地用户帐户容易受到的相同彩虹表攻击,或者它们存储的方式不同?请注意,我确实意识到它们是经过加密和散列的,以便不以纯文本格式存储,但是它们是否以与本地帐户相同的方式进行散列,并且存储在相同的位置? 我意识到他们至少会受到蛮力攻击,但是比机器被盗时容易受到彩虹桌攻击的情况要好得多。

8
对于“行为异常”的用户我该怎么办?
已锁定。该问题及其答案被锁定,因为该问题是题外话,但具有历史意义。它目前不接受新的答案或互动。 我应该如何处理该用户?用户是: 下载色情 尝试未经授权的访问 运行黑客软件 发送不请自来的电子邮件 安装软件/篡改系统 等等 这旨在作为员工行为问题的通用答案,例如,您可以帮助我解决软件许可问题吗? 我可以看到可接受的使用问题超出了SF的范围,但这是大多数系统管理员会遇到的问题之一。我不想继续重写类似的答案。
26 security  users 

8
适用于Linux的安全网络文件系统:人们在做什么?
NFSv3已经广泛使用,但是默认的安全模型是... quaint。CIFS可以使用Kerberos身份验证,但是如果没有POSIX语义,它就不是启动器。AFS从来没有对网络上的流量进行加密,它是krb4-基本上是一个无效的项目。新奇的实验性文件系统从未实现过,或者专注于速度(如果幸运的话,数据可靠性)—例如,Lustre使用与NFSv3相同的客户端信任模型。对于家庭使用,sshfs很漂亮,但是肯定不能扩展。 然后当然是NFSv4,其sec = krb5p。从理论上讲很棒,但是十年后,它似乎在现实世界中令人难以使用。Linux客户端刚刚删除了实验标签。如果您看一下EMC Celerra,Isilon等,它们全都是NFSv3。(Celerra支持NFSv4,但是它确实被埋藏在文档中。Isilon显然致力于将RPCGSS支持添加到FreeBSD中,所以也许它即将推出,但是现在不存在。)我什至不能将此帖子标记为“ nfsv4”,因为我这里是新的,那将是一个新标签。 所以,真的。你们都在做什么

7
人偶安全和网络拓扑
背景: 我终于留出一些时间来参加21世纪,看看Puppet。 到目前为止,我们对办公室内部存储库中的所有服务器配置进行版本控制。需要进行更新时,将更改重新签到存储库中,然后手动将其推送到有问题的计算机上。这通常意味着将SFTP移至远程计算机,然后将具有相关权限的文件从Shell移到适当位置。 因此,我希望Puppet将成为我们现有内容的简单而又令人惊奇的扩展。 现在,我考虑我们目前必须相当安全的过程。假设我们的内部网络将始终比数据中心中的公共网络更加安全。 该过程始终是一种方式。变更从安全的环境遍历到不安全的环境,反之亦然。 总店位于最安全的地方。通过窃取配置或发出恶意修改而造成危害的风险大大降低了。 题: 根据我对Puppet服务器/客户端模型的了解,客户端直接从服务器轮询并提取更新。流量是用SSL包装的,因此无法被拦截或欺骗。但这与我们目前的做法有所不同,因为Puppet服务器需要托管在公共位置。可以集中管理,也可以每个中心维护一个。 所以我想知道: 我是否对从推到拉的变化感到不必要的偏执? 我是否对将所有这些信息集中存储在公共网络上感到不必要的偏执? 其他人如何维护多个网络-每个站点使用单独的服务器? 更新30/07/09: 我猜想我的另一个大问题是必须信任一台机器。人偶管理员将被防火墙保护,固定等。但是即使如此,任何具有侦听服务的公共计算机都具有一定规模的攻击面。 据推测,如果主服务器有权更新任何一个clients客户端上的任何文件,那么这种妥协最终将导致其所有客户端的妥协。可以说是“王国之王”。 这个假设正确吗? 有什么办法可以减轻它?

5
用户执行mysqldump的最低权限?
我想开始计划远程mysqldump crons,我更愿意为此目的使用一个特殊帐户。我想授予该用户获得完整转储的最低权限,但是我不确定实现此目标的最佳方法。 简单吗 grant SELECT on *.* to '$username'@'backuphost' identified by 'password'; 还是我错过了更好的方法?

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.