Questions tagged «security»

与计算机安全性有关的内容,即与策略,机制等有关的内容,可确保数据在任何情况下均不会泄漏或损坏,并且服务可用。

8
如何防止进程写入文件
我想以无法创建或打开任何要写入的文件的方式在Linux上运行命令。它仍然应该能够正常读取文件(因此不能选择空的chroot),并且仍然能够写入已经打开的文件(尤其是stdout)。 如果仍然可以将文件写入某些目录(即当前目录),则可以获得加分。 我正在寻找一种本地解决方案,即不涉及为整个系统配置AppArmor或SELinux之类的东西,也不涉及root特权。不过,这可能涉及安装其内核模块。 我正在研究功能,如果有创建文件的功能,这些功能将很容易实现。如果ulimit涵盖了此用例,则它是另一种方便的方法。
2
是什么设置fs:[0x28](堆栈金丝雀)?
从这篇文章中可以看出,这FS:[0x28]是一个堆栈-canary。我正在使用此功能的GCC生成相同的代码, void foo () { char a[500] = {}; printf("%s", a); } 具体来说,我正在开会。 0x000006b5 64488b042528. mov rax, qword fs:[0x28] ; [0x28:8]=0x1978 ; '(' ; "x\x19" 0x000006be 488945f8 mov qword [local_8h], rax ...stuff... 0x00000700 488b45f8 mov rax, qword [local_8h] 0x00000704 644833042528. xor rax, qword fs:[0x28] 0x0000070d 7405 je 0x714 0x0000070f e85cfeffff …
13 linux  security  gcc  stack 
2
Linux上的特权用户是否可以看到环境变量?
我试图确定在Linux中,其他(非root)用户是否可以观察到进程的环境变量。 立即使用的情况是将机密放入环境变量中。整个网络上很多地方都在讨论这是不安全的,但是我无法将Linux的确切暴露点归零。 请注意,我并不是在谈论将明文秘密放入文件中。另请注意,我并不是在谈论暴露于root帐户(我认为试图以root为首发身份隐藏来自对手的秘密)。 这个问题似乎是在解决我的问题,并提出了将环境变量分类为完全不具有安全性或仅被混淆的注释,但是人们如何访问它们呢? 在我的测试中,一个没有特权的用户无法通过进程表('ps auxwwe')观察另一位用户的环境变量。设置环境变量(例如,导出)的命令是shell内置程序,它们不会使其进入进程表,并且扩展名不在/ proc / $ pid / cmdline中。/ proc / $ pid / environ仅可由进程所有者的UID读取。 也许混淆是在不同的操作系统或版本之间。网络上的各种(最新)资源都在谴责环境变量的不安全性,但是我对不同的Linux版本进行抽查似乎表明,这种情况至少可以追溯到2007年(可能更进一步,但我没有发现问题)进行测试)。 在Linux中,非特权用户如何观察另一个进程的环境变量?
3
提示用户拒绝Linux安全
当应用程序想要访问分类文件或文件夹(数字签名,SSH密钥,信用卡信息和其他敏感内容)时,是否可以使Linux安全模块(例如AppArmor,SELinux等)提示用户拒绝应用程序可能需要的操作(例如,电子邮件客户端希望根据用户的请求签名电子邮件)。 为易受攻击的应用程序(尤其是Web浏览器和电子邮件客户端)设置严格的默认安全策略,并让用户决定是否需要执行给定的操作,这样可以避免系统的脆弱性,而又不会使用户的状况恶化,这将是有益的。友善。
5
在多台计算机上使用相同的SSH密钥对的好习惯?
我最近有一台新的笔记本电脑用于工作,我想知道是否继续使用与旧笔记本电脑上相同的RSA密钥对是否是一个好习惯。我真的很想不必创建另一个密钥对来跟踪。 一般来说,这是可接受的做法吗?由于密钥对确实具有密码短语,因此只要我的物理计算机是安全的,它就应该是相当安全的,对吗?
12 ssh  security 
7
如何在服务器上加密git?
这是我得到的最接近的东西:我/Private使用将该文件夹安装了gitolite ecryptfs-utils (sudo apt-get install ecryptfs-utils adduser git ecryptfs-setup-private然后其余的使用root安装程序配置了gitolite)。 只要有人git使用密码以用户身份登录(su git使用root无效),它就可以正常工作。由于专用文件夹是通过使用密码登录激活的,并且gitolite使用RSA密钥(必需),因此专用文件夹是隐藏的,因此会发生错误。 重新启动后,是否可以通过某种方式登录到服务器,输入密码并使git用户专用文件夹可用,直到下次计算机重新启动为止? 或者,也许有一种简单的方法来加密git存储库的文件夹?
12 security  git 
3
在bash上使用户键入的密码成为程序的stdin的最安全和最简单的方法是什么?
我正在寻找(1)最安全和(2)最简单的方法,让用户在bash shell提示符下键入密码,并使该密码成为程序stdin的一部分。 这是stdin需要的样子:{"username":"myname","password":"<my-password>"},在<my-password>shell提示中键入的内容在哪里。如果我可以控制stdin程序,则可以对其进行修改以安全地提示输入密码并将其放置到位,但是下游命令是标准的通用命令。 我已经考虑并拒绝了使用以下方法: 用户在命令行中输入密码的密码:该密码将显示在屏幕上,并且也将通过“ ps”显示给所有用户 shell变量插值到外部程序的参数中(例如...$PASSWORD...):通过“ ps”,所有用户仍然可以看到密码 环境变量(如果它们留在环境中):密码对所有子进程都是可见的;如果可信赖的进程在诊断中转储核心或转储环境变量,它们甚至可能会暴露密码。 密码在文件中放置的时间过长,甚至是权限很严格的文件:用户可能会意外泄露密码,而root用户可能会意外看到密码 我在下面将我当前的解决方案作为答案,但是如果有人提出一个答案,我会很乐意选择一个更好的答案。我认为应该有一些简单的方法,或者可能有人看到我错过的安全问题。
12 bash  security  password  curl 
2
如何使用用户名和密码保护纯文本凭证文件?
我正在尝试设置自动安装的网络驱动器。网络驱动器需要用户/密码。在“ mount.cifs”的手册页中,有两种提供用户名/密码的方法。 [不推荐]将用户/密码放在/ etc / fstab中 创建一个单独的凭证文件并将用户/密码放入凭证文件 “ [选项2]优于在共享文件(例如/ etc / fstab)中使用纯文本格式的密码。请确保正确保护任何凭据文件。 ” 我的背景是:软件开发人员,许多Linux软件开发(安装开发库,安装Eclipse或Java之类的应用程序)。我不是IT或系统管理员的人。 这是我自己的开发机器 考虑到我缺乏IT / sysadmin背景知识,建议的“适当保护任何凭据文件”的标准方法是什么? (我也将不胜感激,如果有多种方法来保护凭据文件,请按照从最常见到最小的顺序列出并描述取舍方法。)
4
文件权限仅执行
我如何将文件设置为仅对其他用户可执行,而对其他用户不可读/可写,这是因为我正在使用用户名执行某些操作,但又不想透露密码。我试过了 : chmod 777 testfile chmod a=x chmod ugo+x 当以其他用户身份执行时,我仍然获得拒绝权限。
5
是否有不使用X11的Linux图形用户界面?
是否有不使用X11的Linux图形用户界面? 由于X的安全性很差:O 例如:Ubuntu,Fedora-还有什么? 目标:拥有一个不带X的桌面环境-解决方案是什么?(例如:不使用基于文本的网络浏览器,使用Google Chrome浏览器观看Flash,使用LibreOffice编辑文档等) 也许有帧缓冲?但是如何?:O
12 linux  security  x11 
4
写入文件而不进行重定向?
我正在编写一个常规的已编译应用程序,该应用程序需要创建一个特殊文件并向其中写入魔术cookie。我无法直接从应用程序写入文件,系统安全模型要求我启动具有提升权限的帮助程序工具来完成此操作。我可以为助手工具提供任意数量的参数。现在,我想选择一些非常简单的系统命令作为辅助工具,并为我创建文件。像这样: /bin/sh -c "/bin/echo -n 'magic' > /some/where/file" touch因为我需要将cookie写入文件,所以Simple 不能将其剪切,echo没有shell包装器的Simple 不能正常工作,因为它需要重定向才能写入文件。我不愿意以root权限调用shell来完成这样的琐碎任务。我可以调用一些真正简单,受约束的系统命令来为我编写文件吗?
1
如何阻止用户切换到根用户
我已禁用了Sshd.conf文件中的root用户登录名,因此,即使他们知道密码SOMEHOW,也没有人可以使用root用户登录。 现在我在服务器ROOT,EMERG和ORACLE中有3个用户。我想允许通过使用su切换到仅EMERG用户的ROOT权限,而不是ORACLE用户。 因为通常,如果用户知道ROOT密码,则可以使用su-切换到root用户。我希望此功能仅适用于EMERG用户。 这个怎么做 提前致谢......
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.