Questions tagged «security»

与计算机安全性有关的内容,即与策略,机制等有关的内容,可确保数据在任何情况下均不会泄漏或损坏,并且服务可用。

1
有没有办法在我的机器上停用缓冲区溢出保护?
我想对各种虚拟机上的缓冲区溢出进行一些实验,包括(但不限于)Debian 6,Ubuntu 12.04,Fedora 16,但是每次我尝试执行缓冲区溢出漏洞时,都会收到以下消息: stack smashing detected (core dumped) 经过研究,我读到它是在编译器中实现的称为缓冲区溢出保护的功能。GCC例如使用GCC堆栈溢出保护(ProPolice) ,锵/ LLVM使用两个缓冲溢出探测器,SafeCode和AddressSanitizer。 我的问题是:由于我真的想检查我机器上的缓冲区溢出攻击,是否有办法(编译器标志,也许是Linux配置文件?)停用缓冲区溢出保护?
11 linux  security  gcc 
1
如何创建自定义SELinux标签
我编写了一个服务/单个二进制应用程序,试图在Fedora 24上运行,它使用systemd运行,二进制文件已部署到 /srv/bot 我编写的此服务/应用程序需要在该目录中创建/打开/读取和重命名文件。 我首先开始基于SELinux创建新策略:允许进程在特定目录中创建任何文件 但是当我的应用需要重命名时,输出将显示警告: #!!!! WARNING: 'var_t' is a base type. allow init_t var_t:file rename; 我四处搜寻,发现我应该使用比基本类型更具体的SELinux标签,但是所有在线示例都向您展示了httpd / nginx / etc中的现有标签。 有没有一种方法可以仅为我自己的应用程序创建自定义标签? 我的想法是创建类似myapp_var_t的东西,使用 semanage fcontext -a -t my_app_var_t '/srv/bot(/.*)?' restorecon -R -v /srv/bot 和.pp将使用此自定义类型的自定义文件 如果有更好的解决方法,那也可以。 谢谢 更新资料 经过更多搜索之后,我认为我要执行的操作的正确术语是创建新词types,这使我进入了 https://docs.fedoraproject.org/en-US/Fedora/13/html/SELinux_FAQ/index.html#id3036916 基本上说,运行 sepolgen /path/to/binary 而且我能够得到一个模板,然后将其编译成pp文件并加载,仍然会出现一些错误,但是看起来我已经接近要执行的操作了。 如果我可以使用,我会更新这篇文章
1
如何检查端口转发功能是否开启?
我刚刚为自己的网络设置了DNS服务器,许多在线指南建议确保未启用端口53上的端口转发。 我不清楚的是:我应该在路由器级别还是在防火墙级别配置它?如果应该在防火墙上执行此操作,该如何在Ubuntu Server 12.04上执行此操作? 我的家庭网络有几个客户端,一个ESXi服务器和一个家庭路由器。ESXi内的VM之一是DNS服务器(在Ubuntu Server 12.04上运行),该服务器用于处理本地DNS请求,但也配置为将对外部IP的请求转发到Google的DNS服务器。
2
FreeBSD软件包回购-如何进行手动签名验证?
我正在尝试在FreeBSD软件包网站上验证软件包的签名。 wget http://pkg.freebsd.org/FreeBSD:11:amd64/latest/digests.txz tar xf digests.txz 这给了三个文件:digests,digests.pub digests.sig 我认为digests.sig是该文件的签名digests用digests.pub的公钥。但是我试图确认: openssl dgst -verify digests.pub -signature digests.sig digests 得到消息 Verification Failure 我认为我出了点问题-谁能告诉我我所缺少的吗? 编辑:基于对源代码的搜寻,我认为重要的功能是在这里找到的,称为openssl库中的rsa_verify_cert_cb调用RSA_verify。但是我还没有弄清楚到底是什么,或者是否可以使用openssl命令行工具来调用该函数。
1
输入错误的密码后,使用笔记本电脑网络摄像头拍照
我想设置笔记本电脑,以便在锁定屏幕时输入错误的密码,然后使用笔记本电脑的网络摄像头拍照。我检查了xlock(从xlockmore软件包中获取),但是当输入错误的密码时,没有选择来运行自定义操作。 在SuperUser上也有类似的问题,但仅针对Windows:输入错误的密码后拍照。 (对于那些喜欢逗猫照片的人:我的笔记本电脑已设置为在3次错误的密码尝试后拍照。)
2
阻止对IPv6的SSH蛮力攻击
最近,我不得不与一些具有IPv6连接的服务器一起工作,但我惊讶地发现fail2ban不支持IPv6,denyhosts也没有。在Google上搜索时,我发现人们通常建议: 通过IPv6停用SSH登录(对我而言不是解决方案) 仅在服务器上使用私钥/公钥身份验证,而没有密码身份验证(可行,但是很多攻击可能会耗费服务器大量的处理能力,或者甚至可能由于DDoS使其无法使用) 使用ip6tables阻止来自同一IP的连续攻击 使用具有IPv6支持的sshguard 从目前为止我收集到的信息来看,IPv6中的地址禁止与IPv4上的有所不同,因为ISP不会为用户提供单个地址(/ 128),而是为整个子网提供一个地址(我目前拥有/ 48)。因此,禁止单个IPv6地址将无法有效抵抗攻击。我已经在攻击检测方面对ip6tables和sshguard阻止子网进行了严格的搜索,但是我没有找到任何信息。 有谁知道sshguard是否禁止子网进行IPv6攻击? 有谁知道如何制作ip6tables配置来禁止子网进行IPv6攻击? 还是有人知道比我已经发现的更好的缓解攻击的方法? PS:我在系统上使用CentOS 7。
10 ssh  security  sshd  ipv6  ip6tables 
1
内核如何防止恶意程序读取所有物理RAM?
如果我编写了一个尝试在每个可能的地址读取内存的程序,并且在“完整”的Unix上运行该程序,则它将无法访问所有物理RAM。但是操作系统如何阻止它呢? 我对小型CPU体系结构比较熟悉,在该体系结构中,任何汇编代码都可以访问所有内容。我不了解程序(内核)如何检测到此类恶意操作。
10 kernel  security 
4
每周工作一天?
我是我老板的自愿者,是我们生产Redhat服务器的系统管理员。他要求我加强安全措施,以避免rm -f *不久前发生的不幸事件。 目前,我们有53位用户在机器上打气,这是审核的噩梦。我想知道是否可能只允许用户在一周的特定日期访问。 例如,是否可以让用户“ Joe”仅在星期二和星期四登录,而仅允许“ Jane”在星期日登录?可以etc/sudoers定制以允许这样做吗? 有没有比使用sudoers更好的方法?
2
我如何创建一个难以终止的过程
我想创建一个一旦启动(具有root特权)就很难停止的程序(即使对于管理员而言)。一旦启动,该过程应在启动时继续自行启动,直到要求停止为止。停止过程应花费一些时间(即应该很昂贵)。 我知道这听起来像是恶意软件,但出于真正的原因,我想要它。我想在我的笔记本电脑(我是管理员)上运行站点阻止程序。我想让我自己很难阻止他们。 我想到的解决方案如下: 每次运行时,进程都应使用不同的名称运行,这样我就无法预测进程名称并杀死它。 进程在关闭时将自身保存在/etc/rc5.d中 该过程将在某个已知位置使用密码来加密其名称。停止过程将必须使用bruteforce来恢复程序名称并杀死它。 我想为此任务找到一个好的解决方案。
10 security  process  kill 
2
ssh-agent:不要转发整个密钥环的身份验证
我有两个ssh私钥: 一个访问我的个人机器, 一个在我工作时访问服务器。 我使用将这两个键添加到ssh-agent中ssh-add。 现在,当我这样做时,我ssh -A root@jobsrv只想转发我的工作密钥(我用来连接的密钥)的代理身份验证jobsrv。 我想要这样做是因为具有root访问权限的任何人都jobsrv可以使用我的代理对我的个人计算机进行身份验证。 有没有办法实现这种隔离?
2
如何防止程序嗅探到su / gksu的击键?
我在这里已经读到,使用X服务器的任何应用程序都可以嗅探击键到也使用X服务器的任何其他应用程序,包括su(在终端上)或gksu。我听说过像Xephyr这样的几种使X服务器安全的方法,但是我不确定要使用哪种方法。我只想防止xinput在终端或中输入密码时像任何应用程序那样轻易嗅探按键gksu。我当前正在使用Debian sid。
10 debian  security  x11 
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.