Questions tagged «security»

与计算机安全性有关的内容,即与策略,机制等有关的内容,可确保数据在任何情况下均不会泄漏或损坏,并且服务可用。

4
攻击者是否可以使用mkdir破坏系统?
我正在为ricardo系统上的麻烦用户user 设置受限用户帐户。我想授予他使用sudo有时需要做的使用目录的权利。我正在考虑/etc/sudoers文件中的以下规则: ricardo ALL=(root) NOPASSWD: /bin/mkdir 仅使用此规则,里卡多是否有可能有意或无意地破坏系统?
3
安全删除btrfs文件系统上的文件
有时,需要删除文件系统中的文件,并确保该文件确实消失了。例如,应从磁盘彻底擦除包含敏感密码的文件。 rm在典型的文件系统上发布简单文件会删除文件的索引节点(“指针”),但不会删除物理磁盘中文件的内容-这些文件将保留在那里,直到文件系统需要可用空间时它们被覆盖为止。 在许多文件系统上,粉碎程序可实现这种安全删除。但是,在btrfs之类的CoW文件系统上,这种方法是无用的。该文件可能存在于卷快照中,这一事实使问题更加严重。 有没有办法安全地删除一个文件上的btrfs文件系统?删除所有指针(在所有卷上)并用零填充可用空间是否足够?
4
如何限制ssh * remote *端口转发?
我需要限制用户可以远程ssh -R转发哪些端口。 我知道有关permitopenauthorized_keys上的选项的信息,但是正如它在手册页上所说的那样,它仅限制了本地' ssh -L'端口转发 作为讨论在这里,用户将获得相同与netcat或类似,但在这种情况下,用户没有shell访问 我还发现了该线程谈论使用selinux或LD_PRELOAD,但是我以前从未配置过selinux,也找不到有关如何使用selinux的信息LD_PRELOAD。 也许有人为openssh制作了补丁来实现这一点? 编辑:我已经找到此错误报告,所以我想它尚未实现
1
是什么使systemd-nspawn仍然“不适合安全容器设置”?
这在systemd-nspawn的手册页中有所说明 请注意,即使采取了这些安全预防措施,systemd-nspawn也不适用于安全的容器设置。许多安全功能可能会被规避,因此主要用于避免容器对主机系统的意外更改。该程序的预期用途是调试和测试,以及构建与引导和系统管理有关的软件包,发行版和软件。 随后在2011年的邮件列表中提出了这个问题,但答案似乎已经过时了。 systemd-nspawn包含现在CLONE_NEWNET使用该--private-network选项执行的代码。这似乎涵盖了私有AF_UNIX名称空间问题,我想提到了CAP_NET_RAW和CAP_NET_BIND问题。 此时仍存在哪些问题,例如LXC除了systemd-nspawn当前可以做什么以外还做什么?
21 security  systemd  lxc 
2
基于SSH密钥的身份验证:known_hosts与authorized_keys
我读到有关在Linux中设置ssh密钥的问题,并有一些疑问。如果我错了纠正我… 假设主机tr-lgto希望使用ssh连接到主机tr-mdm。如果要确保它是真实的known_hoststr-mdm ,则在tr-mdm上生成一对密钥,然后将公共密钥添加到tr-lgto上。如果tr-mdm要检查它是真实的tr-lgto,则tr-lgto必须生成一个密钥对并将公钥添加到tr-mdm authorized_keys上。 问题1:文件known_hosts中没有用户字段,只有IP地址和主机名。tr-mdm可能有很多用户,每个用户都有自己的.ssh文件夹。我们应该在每个known_hosts文件中添加公钥吗? 问题2:我发现ssh-keyscan -t rsa tr-mdm它将返回tr-mdm的公钥。我怎么知道此密钥属于哪个用户?而且,公钥输入/root/.ssh/与该命令返回的内容不同。怎么会这样?
2
生成gpg密钥时“无此文件或目录”
我正在尝试生成一个gpg密钥 $ gpg --full-gen-key 但最终我得到一个错误 gpg: agent_genkey failed: No such file or directory Key generation failed: No such file or directory 我在Arch Linux上。 $ gpg --version gpg (GnuPG) 2.1.15 libgcrypt 1.7.3 Copyright (C) 2016 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later <https://gnu.org/licenses/gpl.html> This is free …
3
神话还是现实:SELinux可以限制root用户吗?
我在某处(也许在LinuxCBT的SELinux课程中;但我不确定)读或听到过,有在线Linux服务器,并且还提供了root用户的密码。Linux服务器使用SELinux规则进行了加固,因此每个人都可以使用root用户登录,但不会对操作系统造成任何损害。 在我看来,这似乎是个神话,但我想确保:是否可以加固Linux机器(可能使用SELinux),从而即使root用户也不能对其进行特定的恶意活动?(例如:删除系统文件,清除日志文件,停止关键服务等) 这样的Linux盒子将是构建蜜罐的一个很好的起点。 编辑: 基于一个答案(现已删除)和一点谷歌搜索,我至少得到了两个指向此类加固Linux服务器的链接。不幸的是,两个服务器都关闭了。作为记录,我将在此处复制粘贴说明: 1)从http://www.coker.com.au/selinux/play.html: SE Linux机器上的免费root用户访问权限! 要以root用户身份访问我的Debian播放机ssh到play.coker.com.au,密码为... 请注意,如果要成功运行这些机器,则需要大量技能。如果必须询问是否应该运行一个,则答案为“否”。 这样做的目的是证明SE Linux可以在没有任何Unix权限的情况下提供所有必要的安全性(但是仍然建议您对真实服务器也使用Unix权限)。此外,它还使您有机会登录SE机器并查看其外观。 登录到SE Linux播放机时,请确保在登录前使用-x选项禁用X11转发或在/ etc / ssh / ssh_config文件中设置ForwardX11 no。另外,在登录之前,请确保使用-a选项禁用ssh代理转发或在/ etc / ssh / ssh_config文件中将ForwardAgent设置为no。如果您没有正确禁用这些设置,那么登录到游戏机将使您面临通过SSH客户端受到攻击的风险。 这是讨论这样的一个IRC频道,它是#selinux上irc.freenode.net。 这是一个快速常见问题解答 2)来自http://www.osnews.com/comments/3731 Hardened Gentoo的目的是使Gentoo在高安全性,高稳定性的生产服务器环境中可行。该项目不是与Gentoo脱节的独立项目;它旨在成为一个Gentoo开发人员团队,专注于为Gentoo提供可提供强大安全性和稳定性的解决方案。该机器是Hardened Gentoo的SELinux 演示机器。它的主要用途是测试和审核SELinux集成和策略。
3
将根shell保留在分离的屏幕会话中运行是否安全?
我很好奇让根外壳程序在分离的屏幕会话中运行的安全性。我通常从不这样做。 除了我的非root用户帐户可能遭到破坏(密码泄露,ssh密钥遭到破坏等)的可能性之外,我是否还应该担心其他进入进入独立的,受密码保护的屏幕会话的向量,或者是否可以分离屏幕会议被认为是惰性的?
3
阻止蛮力SSH攻击的各种方法的优点/缺点是什么?
有很多不同的软件包可以阻止IP,在这些IP上会从系统上发起暴力SSH攻击。例如: 拒绝主机 守护者 fail2ban 这些或其他任何优点/缺点是什么? 我当前的解决方案是采用logwatch每天生成的电子邮件,并将过分的IP地址转储到文本文件中,然后将其输入脚本中,然后再重建iptables。它很笨拙,耗时且手动,我想有个更好的方法。 (请注意,我没有问什么是解决问题的“最佳”方法,因为没有“最佳”方法可以解决任何问题。)
20 ssh  security 
2
用什么来加固Linux机箱?Apparmor,SELinux,grsecurity,SMACK,chroot?
我打算回到Linux作为台式机。我想使其更加安全。并尝试一些强化技术,特别是因为我计划要获得自己的服务器。 什么是好的,理智的硬化策略?我应该使用哪些工具-Apparmor,SELinux,SMACK,chroot? 我应该仅使用一种工具(例如Apparmor)还是上述两种方法的组合? 这些工具有哪些优点/缺点?还有其他吗? 哪些配置与安全性(改进)的比率合理? 我想在桌面环境中使用哪一个?在服务器环境中的哪一个。 这么多的问题。
1
如何保护Linux系统免受BlueBorne远程攻击?
Armis实验室发现了一种新的媒介攻击,它会影响所有启用了蓝牙的设备,包括Linux和IoT系统。 BlueBorne在Linux上的攻击 Armis在Linux操作系统中披露了两个漏洞,攻击者可以利用这些漏洞完全控制受感染的设备。第一个是信息泄漏漏洞,它可以帮助攻击者确定目标设备使用的确切版本并相应地调整其利用。第二个是堆栈溢出,可能导致对设备的完全控制。 例如,所有启用了蓝牙的设备都应标记为恶意。被感染的设备将创建一个恶意网络,使攻击者可以控制其蓝牙范围以外的所有设备。在Linux系统上使用蓝牙连接外围设备(键盘,鼠标,耳机等)会使Linux面临各种风险。 这种攻击不需要任何用户交互,身份验证或配对,因此实际上也不可见。 所有运行BlueZ的Linux设备都受到信息泄漏漏洞(CVE-2017-1000250)的影响。 经过BlueBorne Vulnerability Scanner的检查后,我所有启用了Bluetooth的Linux OS都被标记为易受攻击(Armis的 Android应用程序用于发现易受攻击的设备需要启用设备发现,但攻击仅需要启用Bluetooth。 在Linux系统上使用蓝牙时,是否可以减轻BlueBorne攻击?
2
两个根帐户,该怎么办?
我在Ubuntu 15.04,今天我一直在阅读有关从Linux的安全性的文章这个链接。 一切顺利,直到UID 0帐户的一部分 只有root的UID应该为0。具有该UID的另一个帐户通常是后门的同义词。 运行他们给我的命令时,我发现还有另一个root帐户。之后,我像文章一样禁用了该帐户,但是我有点害怕此帐户,因此我可以在/etc/passwd rootk:x:0:500::/:/bin/false 而在 /etc/shadow rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1: 我尝试使用删除此帐户,userdel rootk但出现此错误; userdel: user rootk is currently used by process 1 系统1被系统化。有人可以给我一些建议吗?我应该userdel -f吗?这个帐户是普通的root帐户吗?
19 ubuntu  security  root 
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.