Questions tagged «security»

输入特定密码后，如何配置系统以销毁所有个人数据？背后的动机是NSA的东西。 我想象有三个主要的用例。 登录时，输入预定密码会触发用户数据破坏。 在系统唤醒。输入预定密码会触发个人数据破坏。 使用预定的密码输入任何特权命令都会触发个人数据的破坏。 我知道像 dd if=/dev/urandom of=/dev/$HOME 应该足以销毁数据。但是，我不知道如何通过某个密码来触发该密码。 如果在删除数据时允许登录，则奖励积分。

46 security  password 

伴随着NSA启示和所有其他一切带来的偏执，我想知道为什么debian软件包安装机制不支持HTTPS进行传输，更不用说默认使用它了。 我知道debian软件包使用GPG进行了某种签名验证，但是考虑到这在安全性方面有多重要，我仍然不认为使用HTTPS传输而不是HTTP会太困难。 编辑：我主要是想保护自己免受MitM攻击（包括只是流量嗅探），而不是Debian镜像管理员。如果有人窥探我去debian镜像的流量，HTTP资料库会将整个系统设置放在桌面上。

45 debian  security  apt  https 

我的一些Linux和FreeBSD系统有数十个用户。员工将使用这些“ ssh网关”节点通过SSH进入其他内部服务器。 我们担心其中一些人使用未加密的私钥SSH密钥（没有密码的密钥。这很糟糕，因为如果破解者获得了在此计算机上的帐户的访问权限，他们可能会窃取私钥并现在可以访问出于安全原因，我们要求所有用户使用密码对自己的SSH私钥进行加密。 如何确定私钥是否未加密（例如，不包含密码）？是否有不同的方法可以对ASCII铠装密钥和非ASCII铠装密钥进行此操作？ 更新： 为了明确起见，假设我在计算机上具有超级用户访问权限，并且可以读取每个人的私钥。

44 security  ssh  users 

这是我的/etc/sysconfig/iptables： 它有两个端口，分别为80 apache和22 ssh。 # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A …

42 ssh  security  iptables 

我只是旋转了一个Ubuntu 11.10盒子，然后跑去apt-get install apache2 php5在盒子上安装apache2和PHP 5。现在它正在充当“ Web服务器”，并加载“ It Works！”。页。现在，我正在尝试加强安全性，并且我对linux Web服务器存在以下问题： apache应该以谁的身份运行？ 该用户应属于哪个组？ 哪些软件包可以使PHP（和Apache？）作为文件的所有者运行？（例如在共享的虚拟主机上）我应该使用这些软件包吗？在小型系统上维护是否容易/可行？ 使用apache运行时向网络提供文件和文件夹的默认权限应该是什么www-data？对于以用户身份运行的apache / php？ 在检查默认设置时，我已经做了以下事情： 档案结构 当我cd /和做ls -al的内容列表，我看到/var： drwxr-xr-x 13 root root 4096 2012-02-04 20:47 var/ 如果我cd进入var并ls -al看到： drwxr-xr-x 2 root root 4096 2012-02-04 20:47 www/ 最后，在内部/var/www看到： drwxr-xr-x 2 root root 4096 2012-02-04 20:47 ./ drwxr-xr-x 13 …

41 linux  security  users  php  apache-httpd 

假设我sha1pass用来在命令行上生成一些敏感密码的哈希。我可以sha1pass mysecret用来生成的哈希，mysecret但这具有mysecretbash历史中现在存在的缺点。有没有一种方法可以完成此命令的最终目标，同时又可以避免mysecret使用passwd-style提示符显示纯文本格式？ 我也对将敏感数据传递到任何命令的通用方法感兴趣。当敏感数据作为参数（例如in中sha1pass）或在STDIN上传递给某些命令时，该方法将更改。 有没有办法做到这一点？ 编辑：这个问题引起了很多关注，下面提供了几个很好的答案。摘要是： 按照@Kusalananda的回答，理想情况下，永远不必将密码或机密信息作为实用程序的命令行参数提供。正如他所描述的那样，这很容易受到攻击，并且应该使用一种设计更好的实用程序，该实用程序能够接收STDIN上的秘密输入。 @vfbsilva的答案描述了如何防止事物存储在bash历史记录中 @Jonathan的答案描述了一种非常好的方法，只要程序可以在STDIN上获取其秘密数据即可。因此，我决定接受这个答案。sha1pass在我的OP中只是一个例子，但是讨论确定存在更好的工具，它们确实可以在STDIN上获取数据。 正如@R ..在他的答案中指出的那样，对变量使用命令扩展并不安全。 因此，总而言之，我接受@Jonathan的回答，因为鉴于您有一个设计良好且行为良好的程序，它是最好的解决方案。尽管从根本上将密码或机密作为命令行参数传递是不安全的，但其他答案提供了缓解简单安全性问题的方法。

40 shell  security  password 

我试图使用Capistrano设置部署脚本。 在一步，cap deploy:setup脚本正在连接到我的服务器，并试图运行用于创建目录的命令。然后我看到一个错误：msudo: sorry, you must have a tty to run sudo 有一个建议的解决方案可以在我的服务器上禁用requiretty。https://unix.stackexchange.com/a/49078/26271 我想知道这样做是否安全？

39 security  sudo  tty 

最近，我听说过很多有关创建暗网站点的信息。我也经常使用Tor浏览器。 该tor服务正在我的Debian服务器上运行，并安装了： sudo apt-get install tor 我有一个想法Tor网络是如何工作的，还可以使用的torify在一段时间一次，在Linux和MacOS，做一些测试与ssh和wget通过Tor网络。 我注意到其中的线 /etc/tor/torrc #HiddenServiceDir /var/lib/tor/hidden_service/ #HiddenServicePort 80 127.0.0.1:80 但是，如何从那里走呢？.onion网站/名称是如何创建的？ 在Linux中设置此类服务的基础知识是什么？

38 debian  security  tor 

我最近了解到（至少在Fedora和Red Hat Enterprise Linux上），编译为位置独立可执行文件（PIE）的可执行程序将获得更强大的地址空间随机化（ASLR）保护。 因此：如何在Linux上测试特定的可执行文件是否被编译为位置独立可执行文件？

38 linux  security  fedora  executable 

在共享的UNIX主机上，如果我有文件sensitive-data.txt并发出： chmod 600 sensitive-data.txt root用户仍然可以读取我的文件吗？具体来说，我想知道将密码存储在Mercurial hgrc文件中是否安全。 更新 决定使用Mercurial密钥环扩展名，因为它超级容易设置： pip install mercurial_keyring 然后添加到hgrc： [extensions] mercurial_keyring = 但是，我仍然对这个问题的答案感兴趣。

35 permissions  security  root 

我进去了/sbin，我看到shutdown有权限rwxr-xr-x。这是否意味着任何人都可以执行它？

34 permissions  security  shutdown 

我想知道UNIX信号的安全性。 SIGKILL会杀死进程。那么，当非root用户的进程向root用户的进程发送信号时会发生什么呢？该过程是否仍执行信号处理程序？ 我遵循公认的答案（古卢姆语言），然后输入man capabilites，我发现了很多有关Linux内核的知识。来自man capabilities： NAME capabilities - overview of Linux capabilities DESCRIPTION For the purpose of performing permission checks, traditional UNIX implementations distinguish two categories of processes: privileged processes (whose effective user ID is 0, referred to as superuser or root), and unprivileged processes (whose effective UID is nonzero). …

33 security  signals 

人们为什么害怕在命令行中写密码？ 历史记录文件位于中~/.history，因此它仅对执行命令（和root）的用户可用。

33 bash  command-line  security  password  command-history 

我正在写一个程序来测试学生编写的程序。恐怕我不能信任他们，我需要确保它不会因运行它的计算机而严重损坏。 我当时正在考虑让一些崩溃测试用户只能有限地访问系统资源并以该用户身份运行程序，但是从到目前为止在网上发现的情况来看，制作虚拟系统将是最安全的选择... 有人可以帮助我选择正确的方法吗？安全是我最大的担忧。另一方面，我不想要一个过分的解决方案，并且浪费大量时间尝试学习我真正不需要的东西。

33 linux  security  executable 

我对系统管理界来说还很陌生。我最近一直在研究一个应用程序，当我检查应用程序服务器日志时，我不断得到各种IP地址，试图通过蛮力将其SSH到服务器中。这是我的服务器日志的示例： Feb 14 04:07:20 foodwiz3 sshd[1264]: error: Could not load host key: /etc/ssh/ssh_host_ed25519_key Feb 14 04:07:21 foodwiz3 sshd[1264]: reverse mapping checking getaddrinfo for coenamor.columbiansabbatical.com [23.249.167.223] failed - POSSIBLE BREAK-IN ATTEMPT! Feb 14 04:07:21 foodwiz3 sshd[1264]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=23.249.167.223 user=root Feb 14 04:07:23 foodwiz3 sshd[1264]: …

32 ssh  security