คำถามติดแท็ก security

ความปลอดภัยไม่ใช่ผลิตภัณฑ์ แต่เป็นกระบวนการ

10
วิธีการติดตามกิจกรรม superuser
ฉันต้องการทราบว่าวิธีใดที่ดีที่สุดสำหรับการติดตามกิจกรรม superuser บนสภาพแวดล้อม Linux โดยเฉพาะฉันกำลังมองหาคุณสมบัติเหล่านี้: A) การบันทึกการกดแป้นพิมพ์ไปยังเซิร์ฟเวอร์ syslog ที่ปลอดภัย B) ความสามารถในการเล่นซ้ำเซสชันของเชลล์ (คล้ายกับ scriptreplay) C) ตามหลักแล้วนี่เป็นสิ่งที่เป็นไปไม่ได้ (หรือค่อนข้างยาก) ในการหลีกเลี่ยงโดยไม่ต้องเข้าถึงเซิร์ฟเวอร์ คิดเกี่ยวกับสิ่งนี้จากมุมมองด้านความปลอดภัย / การตรวจสอบในสภาพแวดล้อมที่จำเป็นต้องได้รับอนุญาตให้ดูแลระบบที่แตกต่างกัน (หรือบุคคลที่สาม) เพื่อดำเนินการสิทธิพิเศษบนเซิร์ฟเวอร์ ผู้ดูแลระบบทุกคนจะมีบัญชีผู้ใช้ของตนเองและทุกเซสชันแบบโต้ตอบควรถูกบันทึกไว้อย่างสมบูรณ์โดยมีความเป็นไปได้ที่จะเล่นซ้ำหากจำเป็น (ตัวอย่างเช่นถ้ามีคนใช้ mc เพื่อลบหรือแก้ไขไฟล์สำคัญมันจะไม่เพียงพอ รู้ว่าบุคคลนั้นออกคำสั่ง mc นั้นจะต้องมีวิธีการดูสิ่งที่ทำหลังจากเปิดตัว mc) หมายเหตุเพิ่มเติม : ตามที่ womble ได้ชี้ให้เห็นอาจเป็นตัวเลือกที่ดีที่สุดที่จะไม่มีคนลงชื่อเข้าใช้ด้วยสิทธิ์ root เพื่อทำการเปลี่ยนแปลงบนเซิร์ฟเวอร์ แต่แทนที่จะทำสิ่งนั้นผ่านระบบจัดการการตั้งค่า ดังนั้นสมมติสถานการณ์ที่เราไม่ได้มีระบบดังกล่าวและเราจำเป็นต้องให้สิทธิ์การเข้าถึงระดับรากกับคนที่แตกต่างกันมากกว่าเซิร์ฟเวอร์เดียวกัน ฉันไม่สนใจเลยที่จะทำสิ่งนี้อย่างลับ ๆ ล่อใจ: ทุกคนที่ลงชื่อเข้าใช้เซิร์ฟเวอร์ที่มีสิทธิ์ใช้งานรูทจะทราบว่าเซสชันนั้นจะถูกบันทึกไว้ (เช่นเดียวกับที่ผู้ดำเนินการศูนย์บริการรู้ว่าการสนทนาของพวกเขานั้น กำลังบันทึก) จะไม่มีใครใช้บัญชี superuser ทั่วไป ("root") ฉันรู้เกี่ยวกับttyrpldและดูเหมือนว่าจะทำสิ่งที่ฉันกำลังมองหา …
21 linux  security  audit 

7
ตรวจสอบเซสชัน SSH ขาเข้าตามเวลาจริง
มีซอฟต์แวร์ linux ใด ๆ เพื่อตรวจสอบเซสชัน ssh ที่เข้ามาหรือไม่ ในงานก่อนหน้านี้มีคนบอกฉันว่าถ้าคุณต้องการการสนับสนุนจาก Red Hat เช่นคุณสามารถเอา SSH ไปไว้ในเครื่องของคุณและคุณสามารถดูสิ่งที่พวกเขากำลังทำอยู่ ฉันอยู่ในสถานการณ์ที่คล้ายกันซึ่งฉันต้องการที่จะเข้าไปในเครื่องเพื่อนของฉันเพื่อช่วยเขา แต่ฉันต้องการให้เขาสามารถดูสิ่งที่ฉันทำเพื่อการศึกษาและเพื่อให้แน่ใจว่าฉันจะไม่ทำสิ่งที่เป็นอันตราย ข้อเสนอแนะใด ๆ ขอบคุณ


15
มีทางเลือกอื่นสำหรับ / dev / urandom หรือไม่
ล็อคแล้ว คำถามและคำตอบของคำถามนี้ถูกล็อคเนื่องจากคำถามอยู่นอกหัวข้อ แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ มีวิธีที่เร็วกว่า / dev / [u] สุ่มหรือไม่ บางครั้งฉันต้องทำสิ่งต่าง ๆ เช่น cat / dev / urandom> / dev / sdb อุปกรณ์แบบสุ่มมีความปลอดภัย "เกินไป" และไม่น่าเสียดายที่ช้าเกินไป ฉันรู้ว่ามีwipeและเครื่องมือที่คล้ายกันสำหรับการลบที่ปลอดภัย แต่ฉันคิดว่ายังมีวิธีการบางอย่างบนบอร์ดใน Linux
21 linux  security 

3
ใช้การปรับปรุงความปลอดภัยอัตโนมัติสำหรับ AWS Elastic Beanstalk
ฉันเป็นแฟนของ Heroku มาตั้งแต่วันแรกสุด แต่ฉันชอบความจริงที่ว่า AWS Elastic Beanstalk ช่วยให้คุณควบคุมลักษณะของอินสแตนซ์ได้มากขึ้น สิ่งหนึ่งที่ฉันชอบเกี่ยวกับ Heroku คือความจริงที่ว่าฉันสามารถปรับใช้แอพและไม่ต้องกังวลกับการจัดการมัน ฉันสมมติว่า Heroku มั่นใจว่าการอัปเดตความปลอดภัยของระบบปฏิบัติการทั้งหมดนั้นถูกนำไปใช้ในเวลาที่เหมาะสม ฉันแค่ต้องแน่ใจว่าแอพของฉันปลอดภัย การวิจัยเริ่มต้นของฉันเกี่ยวกับ Beanstalk แสดงให้เห็นว่าแม้ว่ามันจะสร้างและกำหนดค่าอินสแตนซ์สำหรับคุณหลังจากนั้นมันก็ย้ายไปที่กระบวนการจัดการด้วยตนเองที่มากขึ้น การปรับปรุงความปลอดภัยจะไม่ถูกนำไปใช้กับอินสแตนซ์โดยอัตโนมัติ ดูเหมือนว่ามีความกังวลสองด้าน: ใหม่การเปิดตัว AMI - เมื่อมีการเปิดตัว AMI ใหม่ดูเหมือนว่าเราต้องการเรียกใช้งานล่าสุด (น่าจะปลอดภัยที่สุด) แต่งานวิจัยของฉันดูเหมือนจะบ่งบอกว่าคุณต้องเปิดการตั้งค่าใหม่ด้วยตนเองเพื่อดูเวอร์ชัน AMI ล่าสุดจากนั้นสร้างสภาพแวดล้อมใหม่เพื่อใช้เวอร์ชันใหม่นั้น มีวิธีอัตโนมัติที่ดีกว่าในการหมุนอินสแตนซ์ของคุณไปเป็นรุ่น AMI ใหม่หรือไม่? ในระหว่างการเปิดตัวจะมีการอัพเดทความปลอดภัยสำหรับแพ็คเกจ ดูเหมือนว่าเราต้องการอัพเกรดสิ่งเหล่านั้นเช่นกัน ดูเหมือนว่างานวิจัยของฉันจะระบุว่าผู้ใช้ติดตั้งคำสั่งเพื่อเรียกใช้การปรับปรุงยำ. แต่เนื่องจากอินสแตนซ์ใหม่ถูกสร้าง / ทำลายตามการใช้งานดูเหมือนว่าอินสแตนซ์ใหม่จะไม่ได้รับการอัปเดตเสมอ (เช่นเวลาระหว่างการสร้างอินสแตนซ์และการอัปเดต yum ครั้งแรก) ดังนั้นบางครั้งคุณจะมีกรณีที่ไม่ได้รับการแก้ไข และคุณก็จะมีอินสแตนซ์ที่ปะต่อกันอยู่เรื่อย ๆ จนกว่าจะมีการใช้งาน AMI ใหม่ ข้อกังวลอื่น ๆ …

2
nologin ใน / etc / shells เป็นอันตราย .. ทำไมล่ะ
ฉันพบสิ่งนี้ทางอินเทอร์เน็ตในขณะที่วางเซิร์ฟเวอร์ FTP ใน FreeBSD การใส่ nologin ลงใน / etc / shells อาจสร้างประตูหลังซึ่งบัญชีเหล่านั้นสามารถใช้กับ FTP ได้ (ดู: http://osdir.com/ml/freebsd-questions/2005-12/msg02392.html ) มีใครอธิบายได้ไหมว่าเพราะเหตุใด และทำไมการคัดลอก nologin และนำไปวางไว้ใน / etc / shells จะช่วยแก้ปัญหานี้ได้?
21 security  ftp  shell  login 

13
ความปลอดภัยของเซิร์ฟเวอร์ทางกายภาพ
ใช้เวลาและคอลัมน์จำนวนมากคุยกันเรื่องการรักษาความปลอดภัยเซิร์ฟเวอร์จากการถูกโจมตีจากภายนอก สิ่งนี้ใช้ได้อย่างสมบูรณ์แบบเพราะผู้โจมตีสามารถใช้อินเทอร์เน็ตเพื่อทำลายเซิร์ฟเวอร์ของคุณได้ง่ายกว่าที่ผู้โจมตีจะได้รับจากการเข้าถึงทางกายภาพ อย่างไรก็ตามผู้เชี่ยวชาญด้านไอทีบางคนคัดค้านความสำคัญของความปลอดภัยทางกายภาพของเซิร์ฟเวอร์ การละเมิดความปลอดภัยอย่างร้ายแรงส่วนใหญ่จะเกิดขึ้นจากภายในองค์กร คุณจะปกป้องเซิร์ฟเวอร์ของคุณจากผู้ใช้ด้วยการเข้าถึงในสถานที่ที่ไม่จำเป็นต้องเข้าถึงเซิร์ฟเวอร์หรือห้องเซิร์ฟเวอร์เองได้อย่างไร มันอยู่ติดกับโต๊ะทำงานของผู้จัดการฝ่ายไอทีในห้องเล็ก ๆ หรืออยู่ด้านหลังประตูหลายบานที่มีบัตรอิเล็กทรอนิกส์และการเข้าถึงไบโอเมตริกซ์? เมื่อใครบางคนมีการเข้าถึงทางกายภาพไปยังเซิร์ฟเวอร์การป้องกันในสถานที่ที่ป้องกันหรืออย่างน้อยเข้าสู่ระบบการเข้าถึงข้อมูลที่สำคัญพวกเขาไม่จำเป็นต้องดูที่เหมาะสม? แน่นอนว่าสิ่งนี้จะแตกต่างกันไปในแต่ละองค์กรและความต้องการทางธุรกิจไปยังความต้องการทางธุรกิจ แต่แม้กระทั่งเซิร์ฟเวอร์การพิมพ์ก็สามารถเข้าถึงข้อมูลที่ละเอียดอ่อน (สัญญาและข้อมูลพนักงาน) ที่ถูกพิมพ์

6
เหตุใดมหาวิทยาลัยจึงปิดกั้นการรับส่งข้อมูล UDP ขาเข้าด้วยพอร์ตปลายทาง 53
จากความเข้าใจของฉัน DNS ใช้ UDP และพอร์ต 53 สิ่งที่ไม่พึงประสงค์อาจเกิดขึ้นได้หากแพ็กเก็ต UDP ขาเข้าไปยังหมายเลขพอร์ต 53 ไม่ถูกบล็อก อัปเดต: อนุญาตให้ส่งแพ็กเก็ตหรือไปยังเซิร์ฟเวอร์ DNS ภายในเครื่องที่ดำเนินการโดยมหาวิทยาลัยหรือเซิร์ฟเวอร์ DNS ที่ดำเนินการโดยมหาวิทยาลัยจะได้รับอนุญาต

2
ข้อผิดพลาด Rowhammer DRAM คืออะไรและฉันควรปฏิบัติต่อมันอย่างไร
ชิป DRAM นั้นแน่นมาก การวิจัยแสดงให้เห็นว่าบิตที่อยู่ใกล้เคียงสามารถพลิกโดยการสุ่ม ความน่าจะเป็นของข้อผิดพลาดที่เกิดขึ้นแบบสุ่มในชิป DRAM ระดับเซิร์ฟเวอร์ด้วย ECC คืออะไร ( กระดาษ CMU-Intelอ้างอิงเช่นหมายเลข 9.4x10 ^ -14 สำหรับชิปที่ไม่รู้จักหนึ่งครั้งในหนึ่งปีที่ล้มเหลว)? ฉันจะทราบได้อย่างไรว่าข้อบกพร่องได้รับการแก้ไขก่อนซื้อหน่วยความจำ ฉันควรทำอย่างไรเพื่อต่อต้านความพยายามที่เป็นอันตรายในการเพิ่มสิทธิ์โดยผู้เช่าหรือผู้ใช้ที่ไม่มีสิทธิเช่น CentOS 7 อ้างอิง: บั๊ก Hammer DRAM ใช้ประโยชน์จากการปลดล็อคการเข้าถึงหน่วยความจำกายภาพ พลิกบิตในหน่วยความจำโดยไม่ต้องเข้าถึงพวกเขา: การศึกษาทดลองข้อผิดพลาดรบกวน DRAM PoC repo ของ Google การเขียนโครงการเป็นศูนย์
20 security  memory  ecc  bug 

8
ตรวจสอบความปลอดภัยอัตโนมัติบน CentOS หรือ Scientific Linux โดยอัตโนมัติ
เรามีเครื่องจักรที่ใช้งาน Distros ที่ใช้ RedHat เช่น CentOS หรือ Scientific Linux เราต้องการให้ระบบแจ้งเตือนเราโดยอัตโนมัติหากพบว่ามีช่องโหว่ใด ๆ FreeBSD ทำอย่างนี้กับพอร์ตบุคคล / portauditพอร์ต RedHat ให้บริการyum-plugin-securityซึ่งสามารถตรวจสอบหาช่องโหว่ด้วย Bugzilla ID, CVE ID หรือ ID คำแนะนำ นอกจากนี้ Fedora เพิ่งเริ่มต้นที่จะสนับสนุนyum ปลั๊กอินการรักษาความปลอดภัย ฉันเชื่อว่าสิ่งนี้ถูกเพิ่มเข้ามาใน Fedora 16 วิทยาศาสตร์ลินุกซ์ 6 ไม่สนับสนุน yum ปลั๊กอินการรักษาความปลอดภัย ณ ช่วงปลายปี 2011 มันมาพร้อมกับ/etc/cron.daily/yum-autoupdateซึ่งอัพเดต RPM ทุกวัน อย่างไรก็ตามฉันไม่คิดว่าจะจัดการการปรับปรุงความปลอดภัยเท่านั้น CentOS ไม่ได้สนับสนุนyum-plugin-security ฉันตรวจสอบรายการส่งเมล CentOS และ Scientific Linux …

6
ไม่ดีที่จะเข้าสู่ระบบในฐานะผู้ดูแลระบบตลอดเวลา?
ที่สำนักงานที่ฉันทำงานสมาชิกไอทีอีกสามคนของเจ้าหน้าที่ไอทีได้เข้าสู่ระบบคอมพิวเตอร์ของพวกเขาตลอดเวลาด้วยบัญชีที่เป็นสมาชิกของกลุ่มผู้ดูแลโดเมน ฉันมีความกังวลอย่างมากเกี่ยวกับการเข้าสู่ระบบด้วยสิทธิ์ของผู้ดูแลระบบ (ภายในหรือสำหรับโดเมน) ดังนั้นสำหรับการใช้คอมพิวเตอร์ทุกวันฉันใช้บัญชีที่เพิ่งมีสิทธิ์ระดับผู้ใช้ปกติ ฉันมีบัญชีอื่นที่เป็นส่วนหนึ่งของกลุ่มผู้ดูแลโดเมน ฉันใช้บัญชีนี้เมื่อฉันต้องทำสิ่งที่ต้องใช้สิทธิ์ระดับสูงในคอมพิวเตอร์ของฉันหนึ่งในเซิร์ฟเวอร์หรือบนคอมพิวเตอร์ของผู้ใช้รายอื่น การปฏิบัติที่ดีที่สุดที่นี่คืออะไร? ผู้ดูแลระบบเครือข่ายควรเข้าสู่ระบบด้วยสิทธิ์เครือข่ายทั้งหมดตลอดเวลา (หรือแม้แต่คอมพิวเตอร์ในพื้นที่ของพวกเขาสำหรับเรื่องนั้น)?

3
ไฟล์. htaccess ที่น่าสงสัย
คำถามนี้ถูกโยกย้ายจาก Stack Overflow เพราะสามารถตอบได้ใน Server Fault อพยพ 10 ปีที่ผ่านมา สิ่งนี้ถูกอัปโหลดไปยังหนึ่งในโฟลเดอร์ FTP ของฉัน ฉันไม่คุ้นเคยกับ Apache แต่ก็ยังอยากรู้อยากเห็นใครบางคนสามารถบอกฉันได้ว่าไฟล์นี้กำลังทำอะไรที่ขี้ขลาด? ขอบคุณ! RewriteEngine On RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR] …

6
Cygwin SSHd Autoblock การเข้าสู่ระบบล้มเหลว
ฉันใช้ Cygwin ด้วย SSH deamon บนเครื่อง Windows Server 2008 ฉันกำลังดูตัวแสดงเหตุการณ์และสังเกตเห็นว่ามีความพยายามในการเข้าสู่ระบบที่ล้มเหลว 5 ถึง 6 ครั้งต่อวินาที (แรงเดรัจฉาน) สำหรับสัปดาห์ที่แล้วหรือมากกว่านั้นจาก IP ที่แตกต่างกัน ฉันจะล็อค IP เหล่านี้โดยอัตโนมัติแทนที่จะปิดกั้นทีละคนด้วยตนเองได้อย่างไร ขอบคุณอาห์หมัด

5
ฉันจะ chroot เชื่อมต่อ SSH ได้อย่างไร?
ฉันต้องการตั้งค่าคุก chroot สำหรับผู้ใช้ส่วนใหญ่ (ไม่ใช่ทั้งหมด) ที่ลงชื่อเข้าใช้แม้ว่า SSH ฉันได้ยินมาว่าเป็นไปได้ด้วย openssh รุ่นล่าสุด แต่ฉันไม่สามารถหาวิธีทำได้ The How To's ทั้งหมดพูดถึงการแพทช์เวอร์ชั่นเก่าและ patch ไม่สามารถใช้งานได้อีกต่อไป ฉันใช้เดเบียนจำหลัก
20 security  ssh  debian  chroot 

7
คุณจะส่ง syslog * อย่างปลอดภัย * ผ่านทางอินเทอร์เน็ตสาธารณะได้อย่างไร
ดังนั้นฉันจึงมีเซิร์ฟเวอร์บางตัวที่ฉันต้องการเข้าสู่ระบบจากส่วนกลาง แต่เห็นได้ชัดว่าฉันไม่ต้องการส่งผ่านข้อมูลทางอินเทอร์เน็ตอย่างไม่ปลอดภัย ฉันได้ลอง syslog-ng แต่ไม่สามารถทำให้มันทำงานได้อย่างปลอดภัยssh -L PORT:localhost:PORT user@hostอุโมงค์ SSH ปกติจะไม่ทำงานเพราะฉันเชื่อว่าการทำให้บันทึกดูเหมือนจะมาจากเครื่องในท้องถิ่นและ VPN ดูเหมือนว่าเกินความเป็นจริง .

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.