Questions tagged «security»

与计算机安全性有关的内容,即与策略,机制等有关的内容,可确保数据在任何情况下均不会泄漏或损坏,并且服务可用。

2
rkhunter警告我有关root.rules的信息
我跑: :~$ sudo rkhunter --checkall --report-warnings-only 我收到的警告之一: Warning: Suspicious file types found in /dev: /dev/.udev/rules.d/root.rules: ASCII text 和root.rules包含: SUBSYSTEM=="block", ENV{MAJOR}=="8", ENV{MINOR}=="1", SYMLINK+="root" 我想了解这些变量的含义和作用SUBSYSTEM,ENV{MAJOR}和SYMLINK+。
2
为什么不签名Fedora GPG密钥?
Fedora使用GPG密钥对RPM软件包和ISO校验和文件进行签名。他们列出了网页上正在使用的密钥(包括指纹)。该网页通过https交付。 例如,校验和文件为Fedora-16-i386-DVD.iso与密钥签名A82BA4B7。检查谁签署了公钥会导致令人失望的列表: 键入bits / keyID cr。time exp时间密钥到期 酒吧4096R / A82BA4B7 2011-07-25 乌伊费多拉(16) sig sig3 A82BA4B7 2011-07-25 __________ __________ [selfsig] Fedora社区似乎没有人签署过这些重要密钥! 为什么?;)(为什么Fedora不使用信任网络?)还是我遗漏了某些东西? 例如,将此与Debian进行比较-他们当前的自动ftp签名密钥473041FA 是由7个开发人员签名的。 编辑:为什么这些东西很重要? 由真正的人签名这样一个重要的密钥(目前还没有任何人签名!)可以一定程度地确信它是真正的密钥,而不是由5分钟前上传到Web服务器的攻击者创建的密钥。这种信任度或信任度要求您可以在信任网络中(已经信任的人)跟踪签名关系。当不同的人签名时,您这样做的可能性会增加(当前的可能性为零)。 您可以将这种信任的事物与浏览https://mybank.example.net并获得认证验证警告进行比较-然后您是否仍然输入交易明细,还是会认为“等一下!”,停止并调查问题?
6
为什么Debian默认没有启用防火墙?
我正在将Debian 9.1与KDE一起使用,并且想知道为什么它没有安装并默认启用防火墙?gufw甚至不在DVD1的包装中。 人们应该在获得防火墙之前连接到Internet 吗?为什么?即使默认情况下关闭所有端口,各种已安装,更新或下载的程序也可以打开(或不打开)它们,我希望即使没有一点点未经我许可也可以离开我的机器。 编辑:所以我只是发现关于iptables的问题,但我想这个问题仍然与iptables一样,因为防火墙对于大多数人来说还是相当陌生,其默认规则,可访问性和易用性以及默认情况下会重置任何iptable-rules的事实重新启动时。
2
您是否应该运行自动更新
我正在运行Centos产品Web服务器。我想知道什么是运行更新的最佳实践。我应该使用yum-cron或yum-updatesd来自动化吗?还是存在更新破坏站点的危险,所以最好在测试服务器上进行更新,然后每周手动运行更新? 大多数服务器仅使用官方存储库,但有些服务器具有用于PHP模块的原子存储库,否则将无法使用。在这种情况下最好?可以将yum设置为仅对PHP模块使用Atomic吗?我不希望一切都更新到Atomic中最前沿的内容,我相信Centos(或真正的Red Hat)可以保持服务器稳定和安全。
15 centos  security  yum 
2
使用`find -exec`有哪些安全问题和竞争条件?
从find手册页: -exec command ; There are unavoidable security problems surrounding use of the -exec action; you should use the -execdir option instead. -execdir command {} + Like -exec, but the specified command is run from the subdirectory containing the matched file, which is not normally the directory in which you …
14 shell  find  security 
6
哪些Linux发行版的软件包存储库是安全的,哪些不是?
我知道大多数发行版都有某种存储库功能,可以在安装后下载新软件包。哪些发行版以安全的方式执行此操作,哪些发行版不以安全的方式执行此操作。 我特别考虑的是中间人这样的攻击媒介,以及存储库元服务器和存储库文件镜像上的诸如违反安全性之类的问题。 我听说Slackware和Arch linux都非常脆弱,因为它们缺少软件包签名。这是真的?是否有其他主要的Linux发行版容易受到简单的中间人攻击?
2
如何在保密的情况下自动执行使用密码短语的gpg解密?
我的任务是使用cron(或任何与Ubuntu Server兼容的作业调度工具)自动进行gpg解密。因为它必须是自动化的,所以我使用了--passphrase它,但是它最终出现在外壳程序历史记录中,因此在进程列表中可见。 如何在保持良好(最好是极好的)安全性标准的同时实现自动解密? 一个例子将不胜感激。
13 ubuntu  security  gpg 
6
执行前验证命令二进制文件
有什么方法可以检查您从bash脚本实际执行的操作吗? 说你的bash脚本调用几个命令(例如:tar,mail,scp,mysqldump),你愿意以确保tar是真正的,真实的tar,这是由确定root用户是该文件的父目录的所有者,也是唯一一个具有写权限而不是/tmp/surprise/tar拥有者www-data或apache2拥有者。 当然,我知道PATH环境,我很想知道是否可以从正在运行的bash脚本中另外检查一下,如果可以的话,如何检查? 示例:(伪代码) tarfile=$(which tar) isroot=$(ls -l "$tarfile") | grep "root root" #and so on...
3
在Linux上将/ dev / random链接到/ dev / urandom是否错误?
我目前正在gpg --genkeyLinux VM上进行测试。不幸的是,该软件似乎依赖于/dev/random收集熵,并礼貌地要求用户在密码随机输入的屏幕之后手动键入屏幕,因此最终可能会生成密钥,而且我发现没有命令行参数可以告诉用户使用另一个文件作为熵源(该视频中的家伙遇到了同样的问题...)。 但是,用户应该可以自由选择使用它,/dev/urandom因为它没有任何问题。它主要是让人回想起较旧的PRNG算法,从加密的角度来看,这些算法较弱。例如,尽管NetBSD联机帮助页承认该区别在启动初期仍可能有用,但它描述了诸如“民俗学”和“仅防御幻想威胁模型的假想理论”之类的区别。既没有人同意此命令所要求的熵的数量,也没有人同意GPG手册(“请不要使用此命令,除非您知道自己在做什么,否则可能会删除系统中的宝贵信息!” )。 我已经读过有关人们安装rngd守护程序并将其配置为/dev/urandom用作馈送的熵源的文章/dev/random,但是我发现这种做法非常肮脏。 我试图通过以FreeBSD方式解决该问题,方法是删除/dev/random并链接到该问题/dev/urandom: rm /dev/random ln -s /dev/urandom /dev/random 我将其视为告诉“我信任/dev/urandom作为熵源”的设置。 我担心会遇到某种错误,但这似乎可以提供预期的结果,因为命令现在可以立即成功返回。 我的问题是:在FreeBSD系统上默认情况下,在Linux系统上进行链接有没有任何已知,实用和错误的副作用?/dev/random/dev/urandom还是可以设想永久设置此设置(例如,在启动过程结束时在脚本中进行设置),以防由于/dev/random锁定某些服务而导致重复性问题?
13 linux  security  random 
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.