Questions tagged «security»

与计算机安全性有关的内容,即与策略,机制等有关的内容,可确保数据在任何情况下均不会泄漏或损坏,并且服务可用。

1
ssh-agent是否存储我的密码?
是否可以确定添加到的私钥的密码短语ssh-agent? 我正在考虑一个具有root特权的人,试图在添加密钥后找出我的密码短语(因此,我的意思不是在键入密码时输入键盘记录)。
10 ssh  security  password 
2
dm加密设备的I / O开销?
在Linux台式机(Ubuntu)上使用dm-crypt(LUKS)作为完整磁盘加密(包括根分区)时,读/写开销是多少?我打算这样堆叠它:LUKS> LVM> ext4系统上使用的CPU是Core2 Duo 2.1 GHz,具有4GB RAM。 这样的系统加密会产生很大的/明显的开销吗? 网上是否有最新基准?您的个人经历是什么? 我可以进行任何设置以提高性能吗? 谢谢您的帮助。
1
GNOME网络管理器在哪里存储密码?
在网络管理器的“身份”选项卡下,我可以输入用于OpenVPN连接的用户名和密码。我也可以输入“用户私钥”的密码。 这两个密码字段均具有以下选项: 仅存储该用户的密码 存储所有用户的密码 每次都要求输入密码 不需要密码 如果我选择将密码(“此用户”或“所有用户”)存储在哪里?
1
百胜安装http-这样安全吗?
我对使用yum安装软件包不是很熟悉。在以前的生活中,我曾使用过apt。 目前,我正在查看一些运行说明 # yum install http://example.com/package.rpm 它显然将订阅特定的存储库,可以从中下载其他软件包。这是安全的事吗? 为了进行比较,我知道apt软件包具有gpg签名,这意味着通过http下载不是问题。如此处所述。使用apt在主存储库之外下载软件包时,您可以手动添加一个gpg密钥以使其易于接受,以确保所有非标准软件包都具有相同的受信任源。 如果我运行上面的命令,yum会问我是否在开始安装之前先接受gpg密钥,还是可以安装任何东西? 如果相关,我的/etc/yum.conf文件将包含gpgcheck=1在[main]部分中。
8
Helo命令被拒绝:需要标准主机名错误
我的邮件服务器被列入垃圾邮件黑名单。我重新配置后缀。然后,我的客户收到此错误,他们无法发送电子邮件。 404 4.5.2 <PLLAMNAZIFE>: Helo command rejected: need fully-qualified hostname 在Mail.log中: postfix/smtpd[9853]: NOQUEUE: reject: RCPT from unknown[xx.xx.xx.xx]: 404 4.5.2 <PLLAMNAZIFE>: Helo command rejected: need fully-qualified hostname; from=<info@domain.com> to=<mail@mail.com> proto=ESMTP helo=<PLLAMNAZIFE> 在我的main.cf中: # rules restrictions smtpd_client_restrictions = permit_sasl_authenticated smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, permit smtpd_sender_restrictions = smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_pipelining, reject_non_fqdn_recipient, …
10 security  postfix  smtp  ssl 
1
“ ALL ALL =(ALL)NOPASSWD:ALL”已自动添加到我的/ etc / sudoers文件中。这是安全漏洞吗?
ALL ALL=(ALL) NOPASSWD:ALL行在文件末尾自动添加了两次/etc/sudoers。 每当我运行sudo命令时,我的Linux突然停止要求输入密码。这使我调查了这个问题。 即使在运行sudo -k后重置宽限时间,它也不会要求我输入密码。 我弄清楚了该行的含义,并注释了两行以解决该问题,然后一切恢复正常。 但是根据我的搜索,sudoers文件只能手动编辑,而我无法向所有用户授予对所有命令的NOPASSWD权限。 这是否意味着我执行的脚本更改了sudoers文件?这是引起关注的原因吗? 操作系统:Linux Mint 18.3 Cinnamon
9 security  sudo 
1
如何确定计算机是否具有TPM(受信任的平台模块)
想要使用Trusted Platform Module的东西,我安装了TrouSerS并尝试启动tcsd,但是出现了这个错误: TCSD TDDL ERROR: Could not find a device to open! 但是,我的内核加载了多个TPM模块: # lsmod | grep tpm tpm_crb 16384 0 tpm_tis 16384 0 tpm_tis_core 20480 1 tpm_tis tpm 40960 3 tpm_tis,tpm_crb,tpm_tis_core 那么,如何确定我的计算机是否缺少TPM与TrouSerS是否存在错误? 无论是dmidecode也不是cpuid关于“TPM”或“信任”输出任何东西。在中/var/log/messages,一方面,我看到了rngd: /dev/tpm0: No such file or directory,但另一方面,我看到了,kernel: Initialise system trusted keyrings并且根据该内核文档,可信密钥使用TPM。 编辑:我的计算机的BIOS设置菜单没有提及TPM。 另外,请看/proc/keys: # cat /proc/keys …
9 linux  security  tpm 
2
是否为iptables中的所有来源接受RELATED,ESTABLISHED是否被视为“过于开放”?
我经常看到该规则-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT适用。虽然我不是专家,但该行涉及到我。很明显,该规则允许所有流量,唯一的例外是必须已建立连接或与已建立的连接相关。 情境 我将允许22从子网中的服务器LAN 192.168.0.0/16或其他任何端口连接到默认的SSH端口。 SuperInsecureApp®在port上暴露一些东西1337,我将其添加到INPUT链中。 我添加了从所有来源conntrack接受ESTABLISHED和接受的规则RELATED 连锁政策是 DROP 因此,基本上该配置应该只允许来自LAN的SSH连接,同时允许来自世界的端口1337上的入站流量。 这就是我困惑的地方。请问conntrack以任何方式暴露出安全漏洞,将允许人们得到一个已建立的连接上1337(因为它是世界开放的),然后使用该连接来访问SSH端口(或任何其他港口为此事)?
9 security  iptables  ip  tcp 
2
如何保护我的系统免受Linux中的Off-path TCP攻击?
根据cve.mitre.org的说法,4.7之前的Linux内核容易受到“偏离路径” TCP漏洞的攻击 描述 4.7之前的Linux内核中的net / ipv4 / tcp_input.c不能正确确定质询ACK段的速率,这使得中间人攻击者更容易通过盲目窗口内攻击来劫持TCP会话。 该漏洞被认为是危险的,因为攻击者仅需要IP地址即可执行攻击。 将Linux内核升级到最新的稳定版本是否4.7.1成为保护我的系统的唯一方法?
1
ssh-agent缺少类似于sudo的不活动/空闲超时功能是否有技术原因?
ssh-agent -t在[1]上对现有功能进行了简短的讨论,早在2001年就有一篇关于debian-devel [2]的帖子,希望提供不活动超时功能。SE [3]上针对选美也有类似的讨论。 我想知道地球上的其他地方如何保护ssh密钥-我是否错过了一些明显的东西,而这对于我来说却是一个痛苦点,而且显然没有其他人吗?具体来说,我在考虑脚本化的ssh交互,例如与ansible的交互。今天看来,您的选择是: 例如,将代理中密钥的有效期设置为令人担忧的长时间。1h或您的脚本的最大运行时间可能是(我怀疑很多人都允许他们的sudo re-auth超时延长这么长的时间!)-但是seahorse/ gnome-keyring-daemon几乎不支持这么多[4] 长时间运行脚本,并每5/10/15分钟重新输入一次密码:现在您可以轻松地看到每天输入20次密码 破解您自己的自制解决方案以模仿此缺少的功能,也许与您的Shell的TMOUTShell var 结合使用(感谢freenode #openssh IRC上的人员的建议) 根本没有设置密钥生存期,即您的代理会永久加载您的密钥,或者直到您杀死/重新启动它为止 如果您对身份验证所使用的每种角色使用简短的ssh代理超时,强密码短语和不同的密钥文件,那么这一天会非常令人沮丧! 我已经尝试了gpgkey2ssh和智能卡,但这并不能真正解决这个特定问题:我仍然想要ssh-agent功能,并且我不想每隔5分钟重新进行身份验证只是为了防止我的私钥暴露我的计算机空闲时在内存中存储。 我做错了吗? [1] 配置SSH代理的默认超时 [2] https://lists.debian.org/debian-devel/2001/09/msg00851.html [3] /server/518312/putty-pageant-forget-keys-after-period-of-inactivity [4] https://bugs.launchpad.net/ubuntu/+source/gnome-keyring/+bug/129231
2
为什么在环境变量中定义功能的能力本身不是安全风险?
据我了解,通常认为让任何人提供将存储在环境变量中的信息都是安全的。shellshock漏洞在这里是一个问题,因为这意味着当新的bash实例启动并且您显然不希望任何人在您的服务器上运行他们喜欢的任何代码时,将在环境变量中的函数定义末尾执行代码。尽管函数定义本身显然没有安全风险,但允许使用,因为必须明确调用它们才能执行代码。 我的问题是,为什么恶意用户不能简单地定义一个函数,将其恶意代码作为通用命令包含在其中ls,然后希望脚本(或正在运行的任何东西)在某个时候使用该命令? 我想到的一个例子: $ export ls='() { echo "doing bad things..."; }' $ bash -c ls doing bad things...
1
为什么环境变量的位置变化如此大?
阅读乔恩·埃里克森(Jon Erickson)的《黑客:利用的艺术》一书,我正在尝试估算环境变量的地址SHELLCODE以利用程序。 每次我跑到getenv("SHELLCODE");位置时,结果都是完全不同的。 从我的外壳中提取: > for i in $(seq 10); do ./a.out SHELLCODE; done SHELLCODE is at 0xff9ab3a3 SHELLCODE is at 0xffcdb3a3 SHELLCODE is at 0xffb9a3a3 SHELLCODE is at 0xffa743a3 SHELLCODE is at 0xffdb43a3 SHELLCODE is at 0xfff683a3 SHELLCODE is at 0xffef03a3 SHELLCODE is at 0xffc1c3a3 SHELLCODE is at 0xff85a3a3 …
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.