Questions tagged «security»

有哪些安全系统和流程可以防止恶意第三方入侵/破坏Debian镜像中代码的安全性，或验证我们获得的软件包实际上是维护者认为的软件包？

8 debian  security  package-management 

set*gid()除极少数情况外，各种系统调用都需要特权来更改组。将主要组更改为进程的补充组之一似乎不是其中之一，这意味着例如newgrp/ sg命令需要提升特权才能切换主要组。 是否有一个原因，为什么setgid()/ setegid()/ setregid()/ setfsgid()不允许没有PRIVS切换到补充组？如果是这样，原因是什么？

8 security  group  system-calls 

假设我有一台机器（这里称为客户机器），只允许一小部分人（称为支持人员）通过SSH（仅支持一个机器）一个帐户（支持访问帐户）进入。 支持人员只能使用密钥登录客户的计算机。此外，支持人员可以发展，因此不允许离开支持人员的任何人登录任何客户计算机。因此，禁止员工阅读用于登录客户机器的私钥。另外，禁止authorized_keys在客户计算机上修改文件。 为了实现该配置，我想到了使用支持人员登录（使用LDAP身份验证，但这是另一个问题）并且包含私钥的SSH代理的想法。 问题是：如何允许支持人员在无法读取SSH私钥的情况下使用它？ 我相信我必须使一个守护程序在代理计算机上以root用户身份运行，该守护程序将接受用户的请求并为他们打开SSH会话，但是我不知道该怎么做。有任何想法吗？

8 ssh  security  key-authentication  privileges 

已关闭。这个问题需要更加集中。它当前不接受答案。 想改善这个问题吗？更新问题，使其仅通过编辑此帖子来关注一个问题。 5年前关闭。 我对Linux内核了解不多，并且有一些疑问。 将内核内存与用户空间内存分开的主要目的是什么？要确保用户应用程序不会对内核造成任何不良影响？ 用户级应用程序有几种方法可以将控制权转移到内核？我能想到的包括（1）调用系统调用，（2）将内存映射到内核（但我认为mmap（）也是系统调用），以及（3）加载内核模块（但我想lsmod还调用一些系统调用）。我对么？还有其他我想念的方式吗？ 有几种攻击内核的方法？我可以简要介绍一下吗？ 如果我获得root特权，是否意味着我完全控制了内核？即，我可以对内核和硬件做任何我想做的事吗？还是我对内核的功能仍然有限？ 如果有人可以帮助我找出这些问题的答案，我将不胜感激。

8 linux  kernel  security  linux-kernel  system-calls 

我想了解如何在cygwin上应用此漏洞的修复程序。 我正在CYGWIN_NT-6.1 MYHOSTNAME 1.7.30(0.272/5/3) 2014-05-23 10:36 x86_64 CygwinWindows 7上运行cygwin。 #bash -version GNU bash, version 4.1.11(2)-release (x86_64-unknown-cygwin) Copyright (C) 2009 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html> $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" env x='() { :;}; …

8 bash  security  cygwin  shellshock 

我运行一台专用服务器，最近在那儿注意到CPU使用率很高，并检查了进程。似乎有人（密克帐户）正在我的服务器上进行挖掘。这怎么可能？该过程如下。我已暂停该帐户。我还需要做什么？ 25516 mick 30 10 778m 6728 1132 S 740.5 0.2 8463:59 /tmp/sh64 -o stratum+tcp://multi1.wemineall.com:80 -u weedee.1 -p x --algo scrypt -B

8 security 

对于具有加密交换的多用户计算机而言，出现了一个问题，即如何允许每个用户休眠并从休眠中恢复而不损害其他用户的安全性。 我正在寻找在每个用户的交换使用专门为其加密的方式，这样，当他们想从休眠中恢复，他们可以进入只有这样做他们的口令/密码。他们不应该能够解密其他用户的交换。必须停止所有用户的进程，直到相应的用户可以提供其密码短语以解密其交换并继续其进程为止。 用户可能希望对他们的某些或所有进程进行加密，以便无论谁恢复计算机都可以继续进行操作。 只要系统进程中没有存储任何个人数据，并且系统不允许用户的密钥进行交换，那么系统的交换就不需要加密，这意味着任何用户都可以在不损害其他用户的情况下恢复系统。 请注意，这可以通过使用存储在BIOS固件（例如Coreboot或LibreBoot）中的密钥对系统进行加密来补充，以使篡改非常困难，但这是一种根本不同的方法，其基于篡改所涉及的硬件（而不是完整硬件）的明显难度。加密方法，以防止人们在篡改的情况下无法读取他人的个人数据。为了获得最佳安全性，可以将这两种机制一起使用，但是在这个问题上，我要求使用完全加密的方法。 从理论上讲，这是有道理的，但在实践中，它可能无法实现。我希望这在Linux中是可能的。

8 security  encryption  swap  multiuser 

我使用Iceweasel作为浏览器运行Debian wheezy，并安装了类似于此描述的Flash插件。今天，我读不仅限Flash在Windows和Mac也的Adobe Flash Player 11.2.202.350及更早版本的Linux很容易受到剥削。在Iceweasel>工具>附件中检查我的版本时，即使我使用进行了所有升级，我也惊讶地发现它是一个较旧的版本apt-get。 Debian完全不提供Iceweasel插件Flash的更新吗？是否不会自动提供？我是否总是需要手动更新插件？

8 debian  security  adobe-flash  plugin  iceweasel 

我了解这一点，/dev/kmem并/dev/mem提供对系统内存（即原始RAM）的访问。我也知道，/dev/kmem可以在内核中完全禁用它，并且可以限制对的访问/dev/mem。 在我看来，对内存的原始访问对开发人员和黑客来说很有用，但是为什么我需要通过访问内存/dev/mem。AFAIK不能在内核中禁用它（不同于/dev/kmem）。在我看来，访问可能被滥用/利用的原始内存似乎只是在自找麻烦。 有实际用途吗？是否有任何用户程序要求它正常工作？

8 linux  kernel  security  memory 

关于这个问题： 在观察宽容行为时，我注意到一些与我有关的事情。这是命令“ fatrace | grep konsole”的输出的前几行 konsole(4112): O /etc/passwd konsole(4112): CO /etc/passwd konsole(4112): C /etc/passwd konsole(4112): O /etc/passwd konsole(4112): C /etc/passwd konsole(4112): O /etc/passwd konsole(4112): C /etc/passwd konsole(4112): O /etc/passwd konsole(4112): C /etc/passwd konsole(4112): O /etc/passwd konsole(4112): C /etc/passwd konsole(4112): O /etc/passwd konsole(4112): C /etc/passwd konsole(4112): O /etc/passwd konsole(4112): C …

8 security  users  konsole 

这是陷阱吗？我在FreeBSD 10中做了以下步骤： 1）禁止以root身份使用ssh 2）以用户身份登录 3）su作为根 4）以root chsh将用户“ user”的名称更改为“ luser” 5）从根目录退出 从这一刻起，我无法阻止root用户，因为luser不在wheel组中，并且我不能在/ etc / group中更改组，因为我没有这样做的特权。 以root身份登录该怎么办？

8 security  authentication  freebsd  login  rescue 

在此VPS上，有三个用户：root，another_one，none。所有网络服务器文件，配置和＆c。由拥有root。但是，我对运行事物有什么怀疑。如果我将root用户用于Web服务器，则可能会使系统暴露在安全漏洞中，而如果我尝试登录到nobody该服务器，则会询问我从未设置且不知道的密码。我应该再创建一个用户吗？ 现在，我仅对nginx感到确定：我以root身份运行它，并且以没有人的身份生成进程。但是，Web服务器和其他服务（如db和redis）又如何呢？ 注意：我应该提到another_user可以sudo，所以它与root没什么不同。

8 security  users  webserver 

OpenBSD的手册页afterboot（8）建议：“在安装X时，您可能希望通过编辑/ etc / fbtab来加强安全性。” 怎么可能呢？添加到哪些/etc/fbtab行将有助于保护X Windows？

8 security  x11  openbsd 

Debian带有多个harden软件包，旨在使计算机更安全。我的需求非常简单：文字处理和Web浏览。我没有运行任何特殊的服务器，也不使用SSH，telnet等。据我所知，应该使用Internet的唯一软件是iceweasel和apt。 有没有办法确保只有这两个软件才能访问Internet？ 有没有harden适合这些需求的软件包？

8 debian  security 

我所有的分区都已加密（/和/home），但是该/boot分区必须保持未加密状态，并且可以进行操作。我正在考虑在启动时对内核进行哈希处理，并根据存储的值（在编译时生成，保存在我的加密驱动器上）检查结果，以查看是否有人以某种方式操纵了自上次启动以来的内核（甚至可能是物理方式）。编写这样的脚本是否有问题？是否已经有执行此操作的程序？

8 kernel  security  encryption