คำถามติดแท็ก security

ความปลอดภัยไม่ใช่ผลิตภัณฑ์ แต่เป็นกระบวนการ

14
ฉันจะทำลายข้อมูลบนฮาร์ดดิสก์ที่ล้มเหลวโดยไม่มีการรับประกันเป็นโมฆะได้อย่างไร
สมมติว่าฉันมีฮาร์ดดิสก์ที่มีข้อมูลที่ฉันไม่ต้องการเปิดเผยต่อบุคคลที่สาม ระยะเวลาการรับประกันสำหรับดิสก์นั้นยังคงอยู่ ตอนนี้ดิสก์เริ่มทำงานผิดปกติ ฉันไม่สามารถใช้โปรแกรมเช็ดดิสก์บนดิสก์ที่ชำรุดได้ - มันไม่ทำงาน หากฉันเรียกใช้การกระทำการทำลายล้างใด ๆ บนดิสก์ - เบิร์นให้เปิดและเกามันชนอะไรก็ตามที่คล้ายกัน - ผู้ค้าปลีกจะปฏิเสธที่จะแลกเปลี่ยนดิสก์โดยบอกว่าการกระทำการทำลายล้างเป็นโมฆะ ฉันจะทำลายข้อมูลที่สำคัญบนดิสก์ที่ล้มเหลวโดยไม่มีการรับประกันเป็นโมฆะได้อย่างไร

10
เซิร์ฟเวอร์ระบบหลักควรสามารถเชื่อมต่ออินเทอร์เน็ตเพื่อบำรุงรักษา / สนับสนุนได้หรือไม่
เซิร์ฟเวอร์ของเราสองสามเครื่องมีใบอนุญาตการบำรุงรักษาของ Oracle ผู้จำหน่ายฮาร์ดแวร์ของเราถามว่ามีการเชื่อมต่ออินเทอร์เน็ตในห้องเซิร์ฟเวอร์ นโยบายของเราคือเครื่องทั้งหมดในห้องนั้นแยกจากอินเทอร์เน็ตเพื่อเหตุผลด้านความปลอดภัย แต่คนบำรุงรักษาถามว่า "ถ้าอย่างนั้นเราจะสามารถบำรุงรักษาเซิร์ฟเวอร์ของคุณได้อย่างไร" คำถามของฉันคือเซิร์ฟเวอร์ของเราต้องการการเชื่อมต่ออินเทอร์เน็ตหรือไม่เพื่อให้การบำรุงรักษาทำได้เหมือนระบบตรวจสอบใบอนุญาต หรือเขาสามารถทำออฟไลน์ได้ มันมีความเสี่ยงหรือไม่หากมีการเชื่อมต่ออินเทอร์เน็ตกับเซิร์ฟเวอร์ที่ใช้งานจริงของเรา

4
วิธีจัดการเว็บเซิร์ฟเวอร์การป้องกันคีย์ส่วนตัว SSL (รหัสผ่านกับไม่มีรหัสผ่าน)
เรามีการสนทนาในกลุ่มความปลอดภัยของ บริษัท ของฉันเกี่ยวกับตัวเลือกต่อไปนี้ในการจัดการคีย์ส่วนตัว SSL ที่แย่กว่านั้นคือ เว็บเซิร์ฟเวอร์ต้องการการเข้าถึงคีย์ส่วนตัวสำหรับการดำเนินการเข้ารหัส ไฟล์นี้ควรได้รับการปกป้องจากการเข้าถึงโดยไม่ได้รับอนุญาต ในเวลาเดียวกันเซิร์ฟเวอร์ควรเริ่มต้นโดยอัตโนมัติโดยไม่มีการแทรกแซงของมนุษย์ (หากปลอดภัยพอ) เรากำลังพูดถึงสามตัวเลือก: ปกป้องคีย์ด้วย perms ของระบบไฟล์ ใช้รหัสป้องกันด้วยรหัสผ่านและป้อนรหัสด้วยตนเองทุกครั้งที่รีสตาร์ท ใช้รหัสป้องกันด้วยรหัสผ่านและเก็บรหัสไว้ในระบบไฟล์เพื่อทำการรีสตาร์ทโดยอัตโนมัติ ความกังวลของเรามีดังต่อไปนี้: ด้วยตัวเลือกที่ 1 การรีสตาร์ทจะเป็นไปโดยอัตโนมัติ แต่การประนีประนอมสามารถคัดลอกคีย์ส่วนตัวและในฐานะที่ไม่ได้รับการป้องกันสามารถใช้เพื่อแยกแยะการสื่อสารหรือเลียนแบบเซิร์ฟเวอร์ของเรา ตัวเลือกที่ 2 ดูเหมือนว่าปลอดภัยมากขึ้น แต่ต้องมีการแทรกแซงของมนุษย์และดูแลระบบดูแลหากมันเกิดขึ้นนอกชั่วโมง นอกจากนี้ควรใช้รหัสผ่านร่วมกับผู้ดูแลระบบหลายคนและคุณรู้ว่าความลับที่แบ่งปันนั้นไม่เป็นความลับอีกต่อไป ตัวเลือกที่ 3 มีตัวเลือกที่ดีที่สุดทั้งคู่ก่อนหน้านี้ แต่ถ้าใครบางคนสามารถเข้าถึงกุญแจก็สามารถเข้าถึงรหัสผ่านได้ :( ดังนั้นมันจึงดูไม่ปลอดภัยเลย คุณจะจัดการความปลอดภัยของคีย์ส่วนตัวของเซิร์ฟเวอร์ได้อย่างไร? มีตัวเลือกอื่น ๆ (ปลอดภัยมากขึ้น) หรือไม่?

13
เหตุผลที่ไม่อนุญาตให้บุคคลเข้าสู่ห้องเซิร์ฟเวอร์
ฉันทำงานที่ บริษัท โฮสติ้งไม่กี่แห่งและเห็นโรงเรียนแห่งความคิดสองแห่ง ไม่อนุญาตให้ลูกค้าเข้าสู่ห้องเซิร์ฟเวอร์ การโต้เถียงนั้นโดยทั่วไปแล้วมันเพิ่มความปลอดภัย ( ข่าวนี้ให้ตามปกติเป็นเหตุผลว่าการรักษาความปลอดภัยจะดีเฉพาะถ้าคุณรู้จักผู้คน) และความเป็นส่วนตัวและถ้าคุณให้สถานีท้องถิ่นสำหรับพวกเขามันก็ดีพอ อนุญาตให้ลูกค้าเข้าสู่ห้องเซิร์ฟเวอร์เพราะผู้คนจำเป็นต้องเข้าถึงเครื่องของพวกเขาและทำให้เป็นงานแสดงที่ดี มีเหตุผลใดบ้าง (เช่นกฎหมายความสอดคล้อง ฯลฯ ... ) ที่คุณไม่ควรอนุญาตให้บุคคลเข้าสู่ห้องเซิร์ฟเวอร์หรือไม่

9
นโยบายอายุ / ความซับซ้อนของรหัสผ่านผู้ใช้
มีใครบ้างที่มีทรัพยากรใด ๆ ในการกำหนดนโยบายรหัสผ่านที่สมเหตุสมผลสำหรับผู้ใช้ของฉัน การเอนเอียงส่วนตัวของฉันคือการปรับความซับซ้อนของรหัสผ่านให้เป็นวงล้อและอนุญาตให้พวกเขาเปลี่ยนรหัสผ่านได้บ่อยครั้ง ดูเหมือนว่าผู้ใช้โดยเฉลี่ยของฉันมีความอดทนสูงกว่าในการผสมตัวเลขและตัวอักษรพิเศษบางอย่างมากกว่าเมื่อ 5 หรือ 10 ปีก่อน ฉันกำลังมองหากฎง่ายๆและ / หรือทรัพยากรที่ฉันสามารถใช้เพื่อสำรองการเปลี่ยนแปลงนโยบายที่เสนอ หรือแม้แต่ข้อมูลเล็ก ๆ น้อย ๆ จากผู้ที่มีประสบการณ์มากกว่า (ฉันยังห่างไกลจากกูรูด้านความปลอดภัยดังนั้นถ้าเพียงเพื่อคลุมเครือในการจัดการลอง จำกัด คำถามเพื่อใช้กับรหัสผ่านเครือข่าย Windows ภายในเท่านั้นแม้ว่าฉันจะสนใจสิ่งที่ผู้คนทำในแง่ของ VPN และเว็บ นโยบายการบริการ)



3
ทำซ้ำที่อยู่ MAC บน LAN เดียวกันได้หรือไม่
สมมติว่ามีคนอยู่ในเครือข่ายเดียวกันกับฉันและหลอกที่อยู่ MAC ของพวกเขาเพื่อให้ตรงกับของฉัน: เป็นไปได้ไหม ลูกค้าสองคนขึ้นไปที่มีที่อยู่ MAC เดียวกันสามารถอยู่ในเครือข่ายเดียวกันในเวลาเดียวกันและเชื่อมต่ออย่างต่อเนื่องได้หรือไม่ เมื่อสิ่งนี้เกิดขึ้นฉันจะได้รับการยกเลิกการรับรองความถูกต้องและเตะออกจากเครือข่ายหรือไม่หากที่อยู่ MAC ที่ซ้ำกันไม่ได้รับอนุญาตในเครือข่ายเดียวกัน หากได้รับอนุญาตให้ใช้ที่อยู่ MAC ที่ซ้ำกันฉันจะพบพฤติกรรมแบบไหน ชน, สภาพการแข่งขัน, ฯลฯ ?

2
DNS บันทึกข้อมูลส่วนตัวหรือไม่
สมมติว่าคุณต้องการสร้างโดเมนย่อยที่ชี้ไปยังตำแหน่งส่วนตัว (อาจเป็นที่ตั้งของฐานข้อมูลหรือที่อยู่ IP ของคอมพิวเตอร์ที่คุณไม่ต้องการให้ผู้อื่นลองใช้ SSH) ดังนั้นคุณจึงเพิ่มระเบียน DNS ชื่อบางอย่าง แบบนี้: private-AGhR9xJPF4.example.com สิ่งนี้จะ "ซ่อน" ให้กับทุกคนยกเว้นผู้ที่รู้ว่า URI ที่แท้จริงของพวกซับแมนหรือไม่? หรือมีวิธี "รายการ" โดเมนย่อยที่ลงทะเบียนทั้งหมดของโดเมนเฉพาะหรือไม่

2
การกรองบันทึกความปลอดภัยตามประเภทผู้ใช้และการเข้าสู่ระบบ
ฉันถูกขอให้ตรวจสอบเมื่อผู้ใช้เข้าสู่ระบบในสัปดาห์ที่แล้ว ตอนนี้บันทึกการตรวจสอบใน Windows ควรมีข้อมูลทั้งหมดที่ฉันต้องการ ฉันคิดว่าถ้าฉันค้นหารหัสเหตุการณ์ 4624 (ความสำเร็จของการเข้าสู่ระบบ) ด้วยผู้ใช้โฆษณาที่เฉพาะเจาะจงและการเข้าสู่ระบบประเภท 2 (การเข้าสู่ระบบแบบโต้ตอบ) ว่าควรให้ข้อมูลที่ฉันต้องการ แต่สำหรับชีวิตของฉัน บันทึกเหตุการณ์เพื่อรับข้อมูลนี้ เป็นไปได้ภายในของ Event Viewer หรือคุณต้องการใช้เครื่องมือภายนอกเพื่อแยกมันในระดับนี้? ฉันพบhttp://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.htmlซึ่งดูเหมือนจะเป็นส่วนหนึ่งของสิ่งที่ฉันต้องการ ฉันแก้ไขมันเล็กน้อยเพื่อให้มูลค่า 7 วันล่าสุดเท่านั้น ด้านล่างเป็น XML ที่ฉันลอง <QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 604800000]]]</Select> <Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select> <Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select> </Query> </QueryList> มันให้แค่ 7 วันล่าสุด แต่ส่วนที่เหลือไม่ได้ทำงาน ใครช่วยฉันด้วยสิ่งนี้ได้บ้าง แก้ไข ขอบคุณคำแนะนำของลัคกี้ลุคฉันก้าวหน้าไปมาก ด้านล่างคือแบบสอบถามปัจจุบันของฉันแม้ว่าฉันจะอธิบายว่าไม่ได้แสดงผลลัพธ์ใด ๆ …

1
ที่อยู่อีเมลสำคัญในการค้นหา DNS SOA คืออะไร
มีความสำคัญจริง ๆ หรือไม่ยกเว้นการเผยแพร่ที่อยู่อีเมลของผู้รับผิดชอบโซน DNS บางส่วน ในการกำหนดค่า BIND ของเราเราใส่ mailling list เป็นผู้รับผิดชอบสำหรับโดเมนของเรา แต่เราใช้หากเป็นวิธีปฏิบัติที่ดีหรือไม่ มีบริการประเภทใดบ้างที่พึ่งพาที่อยู่อีเมลนี้ ในกรณีที่แย่กว่านั้นอีเมลที่ไม่ถูกต้องในฟิลด์นี้สามารถลดความน่าเชื่อถือของ DNS ของเราได้หรือไม่?

5
สิ่งที่ "ต้องทำ" ในการปกป้องเซิร์ฟเวอร์ Windows ที่เผชิญกับเว็บคืออะไร
ฉันเริ่มปรับใช้เซิร์ฟเวอร์ Windows ที่หันหน้าเข้าหาเว็บ และฉันอยากจะรู้ว่าคุณมีวิธีปกป้องเซิร์ฟเวอร์ของคุณอย่างไร? คุณใช้โปรแกรมอะไร บน Linux ฉันใช้ Fail2ban เพื่อป้องกัน bruteforce และ Logwatch เพื่อรับรายงานรายวันเกี่ยวกับสิ่งที่เกิดขึ้นบนเซิร์ฟเวอร์ของฉัน มีซอฟต์แวร์ใด ๆ ที่เทียบเท่าบน Windows หรือไม่? ถ้าไม่คุณแนะนำให้ใช้สิ่งใดเพื่อปกป้องเซิร์ฟเวอร์

5
SSH / SSHD - ฉันจะตั้งค่าความพยายามเข้าสู่ระบบสูงสุดได้อย่างไร
วิธีที่ง่ายที่สุดในการตั้งค่าความพยายามเข้าสู่ระบบสูงสุดในสภาพแวดล้อม LAMP คืออะไร (sshd ติดตั้งผ่าน yum) มีแพ็คเกจหรือกฎไฟร์วอลล์แบบง่ายหรือไม่?
17 security  ssh 

5
หมายความว่าอย่างไรเมื่อคนโครงสร้างพื้นฐานด้านไอทีอ้างถึง“ สแต็ค”
ใครช่วยได้โปรดกำหนดว่า "กองซ้อน" คืออะไรกันแน่ ฉันรู้ว่ามันเป็นคำศัพท์ทางอุตสาหกรรม แต่มันคลุมเครือมาก ฉันกำลังอ้างถึงคำศัพท์โครงสร้างพื้นฐานไม่ใช่ "สแต็ค" ในแง่ของการจัดสรรหน่วยความจำ

2
เรื่องราวของการรับรองความถูกต้องของผู้ใช้ที่ปลอดภัยในปลาหมึก
กาลครั้งหนึ่งนานมาแล้วมีป่าเสมือนอันอบอุ่นในอเมริกาใต้และเซิร์ฟเวอร์ปลาหมึกอาศัยอยู่ที่นั่น นี่คือภาพการรับรู้ของเครือข่าย: <the Internet> | | A | B Users <---------> [squid-Server] <---> [LDAP-Server] เมื่อUsersคำขอเข้าถึงอินเทอร์เน็ตsquidให้ถามชื่อและหนังสือเดินทางของพวกเขารับรองความถูกต้องโดยLDAPและหาก ldap อนุมัติพวกเขาแล้วเขาก็อนุญาต ทุกคนมีความสุขจนกระทั่งนักดมกลิ่นบางคนขโมยหนังสือเดินทางในเส้นทางระหว่างผู้ใช้กับปลาหมึก [เส้นทาง A] ภัยพิบัติครั้งนี้เกิดขึ้นเพราะปลาหมึกใช้Basic-Authenticationวิธีการ คนในป่ารวมตัวกันเพื่อแก้ปัญหา กระต่ายบางตัวเสนอโดยใช้NTLMวิธีการ งูที่ต้องการDigest-Authenticationในขณะที่Kerberosแนะนำโดยต้นไม้ ท้ายที่สุดแล้วคำตอบมากมายที่นำเสนอโดยผู้คนในป่าและทั้งหมดก็สับสน! The Lion ตัดสินใจที่จะยุติสถานการณ์ เขาตะโกนกฎสำหรับการแก้ปัญหา: โซลูชันจะปลอดภัยหรือไม่! โซลูชันจะใช้งานได้กับเบราว์เซอร์และซอฟต์แวร์ส่วนใหญ่ (เช่นซอฟต์แวร์ดาวน์โหลด) จะแก้ปัญหาได้ง่ายและไม่ต้องการระบบย่อยขนาดใหญ่อื่น ๆ (เช่นเซิร์ฟเวอร์ Samba) วิธีนี้จะไม่ขึ้นอยู่กับโดเมนพิเศษ (เช่น Active Directory) จากนั้นวิธีแก้ปัญหาที่ชาญฉลาดและครอบคลุมเป็นอย่างมากที่นำเสนอโดยลิงทำให้เขากลายเป็นราชาองค์ใหม่แห่งป่า! คุณเดาได้ไหมว่าทางออกคืออะไร เคล็ดลับ: เส้นทางระหว่างsquidและLDAPได้รับการคุ้มครองโดยสิงโตดังนั้นวิธีการแก้ปัญหาจึงไม่ปลอดภัย หมายเหตุ:ขออภัยถ้าเรื่องราวน่าเบื่อและยุ่ง แต่ส่วนใหญ่เป็นเรื่องจริง! =) /~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) …

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.