Questions tagged «security»

我运行了一个我想使用UFW进行保护的VPS，仅允许连接到端口80。但是，为了能够对其进行远程管理，我需要保持端口22的开放状态并使其可在家中访问。 我知道UFW可以配置为仅允许从特定IP地址连接到端口： ufw allow proto tcp from 123.123.123.123 to any port 22 但是我的IP地址是动态的，因此这不是解决方案。 问题是：我具有DynDNS的动态DNS解析功能，是否可以使用域而不是IP创建规则？ 我已经试过了： ufw allow proto tcp from mydomain.dyndns.org to any port 22 但是我得到了 ERROR: Bad source address

32 security  firewall  ufw  dynamic-dns 

最近几周，我的Ubuntu测试服务器上发生了奇怪的活动。请从htop检查以下屏幕截图。每天，这种奇怪的服务（似乎是一种加密货币挖掘服务）正在运行并占用100％的CPU。 我的服务器只能通过ssh键访问，并且密码登录已禁用。我试图找到任何具有此名称的文件，但找不到任何文件。 您能帮我解决以下问题吗 如何从进程ID查找进程位置？ 我如何彻底删除它？ 知道这怎么可能进入我的服务器吗？该服务器主要运行少数Django部署的测试版。

31 ubuntu  security  process 

最近在运行Linux的计算机上发生故障之后，我在用户的主文件夹中找到了一个密码较弱的可执行文件。我已经清理了似乎所有的损坏，但是为了确保可以完全擦拭干净，我正在准备中。 非sudo或不受特权的用户运行的恶意软件可以做什么？只是在寻找带有世界可写许可标记的文件进行感染吗？非管理员用户可以在大多数Linux系统上执行哪些威胁性操作？您能否提供这种安全漏洞可能导致的现实问题的一些示例？

30 security  malware 

我想创建一个新用户并给他sudo访问权限。具体来说，我希望他使用sudo vim和编辑httpd.conf。我在sudoers中写道： user ALL=(ALL) /usr/bin/vim /etc/httpd/confs/httpd.conf 但是，我听说这可能有风险。为什么这有问题？问题有多严重？

30 security  vim  sudo 

我知道最好使用创建临时文件mktemp，但是命名管道呢？ 我希望事情尽可能与POSIX兼容，但是仅Linux是可以接受的。正如我在中所写，避免Bashisms是我唯一的困难标准dash。

30 linux  shell  security  pipe 

我希望能够提取tar文件，以便将所有提取的文件放在某个前缀目录下。tar文件尝试写入外部目录的任何尝试均应导致提取失败。 您可能会想到，这样我可以安全地提取不可信的tar文件。 我该如何使用GNU tar？ 我想出了： tar --exclude='/*' --exclude='*/../*' --exclude='../*' -xvf untrusted_file.tar 但是我不确定这是否足够偏执。

30 security  tar 

阅读CVE-2009-4487的详细信息（这与日志文件中转义序列的危险有关）令我有些惊讶。 引用CVE-2009-4487： nginx 0.7.64将数据写入日志文件，而无需清除不可打印的字符，这可能允许远程攻击者通过包含终端仿真器转义序列的HTTP请求来修改窗口的标题，或者可能执行任意命令或覆盖文件。 显然，这并不是nginx中的安全漏洞，而是终端仿真器中的安全漏洞。 当然，可能cat只是偶然地将日志文件发送到终端，但是grep很常见。less也许可以清理转义序列，但是谁知道什么shell命令不会更改转义序列... 我倾向于同意Varnish的回复： 通常会定期询问终端响应转义的智慧，但是仍然没有一个主要的终端仿真程序适合丢弃这些序列，这可能是在与不再使用的1970's技术兼容的错误尝试。[..]从安全性的角度来看，与其责怪编写日志文件的所有程序，不如让终端仿真程序停止做愚蠢的事情，从而一次解决此问题和其他安全性问题，将更有效率。并为所有人。 因此，我的问题是： 如何保护我的xterm，使其不再能够通过转义序列执行命令或覆盖文件？ X的哪些终端仿真器可以抵抗这种攻击？

29 security  xterm  escape-characters  terminal-emulator  special-characters 

我有一台带Debian的笔记本电脑，我打算出售这台笔记本电脑。 在出售Debian安装程序以完全清除我的个人数据中的笔记本电脑之前，删除Debian安装程序是否足够？如果是，如何卸载Debian（这样笔记本电脑上没有任何操作系统）？

29 linux  security  data-destruction 

如何检查一个.rsa，.pem和其他文件被“加载”或“处于活动状态” ssh-add？我只是有这样的恐惧： $ scp -i /home/dotancohen/.ssh/dotancohen.pem someUser@1.2.3.4:~/files.tgz . Warning: Identity file /home/dotancohen/.ssh/dotancohen.pem not accessible: No such file or directory. files.tgz 100% 89MB 1.5MB/s 00:59 $ scp someUser@1.2.3.4:~/all_git.tgz . files.tgz 100% 89MB 1.7MB/s 00:54 在确认服务器确实确实需要.pem密钥之后，我现在想知道在不知道加载其他哪些密钥的情况下！

28 ssh  security 

我知道一定范围的IP地址导致服务器出现问题，172.64.*.*什么是阻止访问Amazon EC2实例的最佳方法是什么？有没有办法使用安全组来做到这一点，还是最好用服务器本身的防火墙来做到这一点？

27 security  firewall  ip  amazon-ec2 

显然，正在运行： perl -n -e 'some perl code' * 要么 find . ... -exec perl -n -e '...' {} + （与相同，-p而不是-n） 要么 perl -e 'some code using <>' * 通常在此网站上发布的单行代码中发现，具有安全隐患。这是怎么回事？如何避免呢？

27 security  perl  filenames  options 

如何阻止命令，让mkdir特定用户说呢？ 我刚刚创建的只读功能并将其存储在用户个人资料中 ~/.bashrc /bin/mkdir() { echo "mkdir command not allow for you" } mkdir() { echo "mkdir command not allow for you" } ./mkdir() { echo "mkdir command not allow for you" } readonly -f /bin/mkdir readonly -f mkdir readonly -f ./mkdir 测试： rahul@ubuntu:~$ cd /bin/ rahul@ubuntu:/bin$ ./mkdir /home/rahul/ggg mkdir …

27 linux  security  account-restrictions  restricted-shell 

在/var/log/auth.log对我的一个公共Web服务器进行审核时，我发现： Jan 10 03:38:11 Bucksnort sshd[3571]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.19.255.53 user=bin Jan 10 03:38:13 Bucksnort sshd[3571]: Failed password for bin from 61.19.255.53 port 50647 ssh2 乍一看，这看起来像是ssh随机黑客发出的典型登录垃圾邮件；但是，当我靠近时，我发现了其他东西。大多数失败的/var/log/auth.log条目invalid user在其中说，像这样： Jan 9 10:45:23 Bucksnort sshd[3006]: Failed password for invalid user sales from 123.212.43.5 port 10552 ssh2 关于失败登录消息令人不安的事情bin是，它是一个有效的用户中/etc/passwd，即使有一个登录shell： [mpenning@Bucksnort …

27 linux  debian  security 

我想从工作中使用NFS连接到我的家庭服务器。我尝试过sshfs，但有人说它不如NFS可靠。 我知道sshfs流量已加密。但是NFS呢？有人可以嗅探我的流量并查看我正在复制的文件吗？ 我在局域网中使用NFSv4，效果很好。

27 security  nfs 

当我在Linux上安装GIMP或LibreOffice之类的程序时，我从未被询问过权限。通过在Ubuntu上安装程序，我是否明确授予该程序对驱动器上任何位置的读/写权限以及对Internet的完全访问权限？ 从理论上讲，GIMP可以读取或删除驱动器上的任何目录，而不需要sudo类型的密码吗？ 我只是好奇这在技术上是否可行，而不是在可能与否之间。当然，我知道这不太可能。

26 permissions  security  software-installation