คำถามติดแท็ก security

ฉันพยายามรวบรวมสคริปต์ iptables เซิร์ฟเวอร์พื้นฐานที่จะทำงานกับเว็บไซต์ส่วนใหญ่ที่ใช้เว็บเซิร์ฟเวอร์พื้นฐานโดยใช้ HTTP (S) และ SSH (พอร์ต 80, 443, & 22) ท้ายที่สุด VPS ส่วนใหญ่ต้องการกฎพอร์ตเริ่มต้นเหล่านี้เท่านั้นและสามารถเพิ่มเมลหรือพอร์ตเกมในภายหลังได้ตามต้องการ จนถึงตอนนี้ฉันมี ruleset ต่อไปนี้และฉันก็สงสัยว่าถ้าใครรู้ถึงสคริปต์ที่ดีขึ้นหรือการปรับปรุงใด ๆ ที่สามารถเพิ่มได้ *filter # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT ! -i lo -d 127.0.0.0/8 …

15 linux  security  firewall  iptables  best-practices 

ฉันต้องการค้นหาทุกสิ่งที่เป็นไปได้เกี่ยวกับวิธีการใช้พีซีในไม่กี่วันที่ผ่านมา เช่นเดียวกับผู้ที่เข้าสู่ระบบว่าพีซีถูกล็อคนานแค่ไหนและข้อมูลอื่น ๆ เกี่ยวกับกิจกรรมของผู้ใช้ที่เข้าสู่ระบบพีซี ฉันรู้ว่าสามารถใช้คำสั่งสุดท้ายเพื่อค้นหาผู้ที่เข้าสู่ระบบและนานแค่ไหน ข้อมูลอื่นใดที่สามารถค้นพบได้

15 linux  security  logging 

ในแท็บคุณสมบัติความปลอดภัยขั้นสูงของไฟร์วอลล์ผู้จัดการ / กฎขาเข้า / กฎ / ขอบเขตคุณมีสองส่วนเพื่อระบุที่อยู่ IP ในเครื่องและที่อยู่ IP ระยะไกล อะไรทำให้ที่อยู่มีคุณสมบัติเป็นที่อยู่ในท้องถิ่นหรือที่อยู่ระยะไกลและมันแตกต่างกันอย่างไร คำถามนี้ค่อนข้างชัดเจนด้วยการตั้งค่าปกติ แต่ตอนนี้ฉันตั้งค่าเซิร์ฟเวอร์เสมือนระยะไกลฉันไม่แน่ใจ สิ่งที่ฉันมีก็คือฟิสิคัลโฮสต์พร้อมสองอินเตอร์เฟส ฟิสิคัลโฮสต์ใช้อินเตอร์เฟส 1 กับ IP สาธารณะ เครื่องเสมือนจริงเชื่อมต่ออินเตอร์เฟส 2 กับไอพีสาธารณะ ฉันมีเครือข่ายย่อยเสมือนระหว่างสอง - 192.168.123.0 เมื่อแก้ไขกฎไฟร์วอลล์ถ้าฉันวาง 192.168.123.0/24 ในพื้นที่ที่อยู่ IP ท้องถิ่นหรือพื้นที่ที่อยู่ IP ระยะไกลสิ่งที่ windows ทำแตกต่างกันอย่างไร มันทำอะไรที่แตกต่างกันรึเปล่า? เหตุผลที่ฉันถามนี่คือฉันมีปัญหาในการทำให้การสื่อสารโดเมนทำงานระหว่างสองกับไฟร์วอลล์ที่ใช้งานอยู่ ฉันมีประสบการณ์มากมายเกี่ยวกับไฟร์วอลล์ดังนั้นฉันรู้ว่าสิ่งที่ฉันต้องการจะทำ แต่ตรรกะของสิ่งที่เกิดขึ้นที่นี่หนีฉันและกฎเหล่านี้น่าเบื่อที่จะต้องแก้ไขทีละคน แก้ไข: อะไรคือความแตกต่างระหว่างสองกฎนี้: ให้ทราฟฟิกจาก local subnet 192.168.1.0/24 เข้าถึงพอร์ต SMB ให้ทราฟฟิกจากเครือข่ายย่อยระยะไกล 192.168.1.0/24 เข้าถึงพอร์ต …

15 windows-server-2008  security  windows-firewall 

ฉันคิดว่ามันน่าสนใจที่จะมีรายการนิสัยที่ไม่ดีที่คุณสังเกตเห็นเกี่ยวกับการบริหารระบบ ตัวอย่างเช่น: ใช้rootบนเซิร์ฟเวอร์เสมอ การแชร์รหัสผ่านของบัญชี การใส่รหัสผ่านในรหัส ยังคงใช้ telnet ... แม้ว่าฉันจะสนใจเรื่องความปลอดภัยเป็นส่วนใหญ่ แต่นิสัยที่ไม่ดีของคุณไม่จำเป็นต้องเกี่ยวข้องกับความปลอดภัย ยินดีรับฟังเรื่องราวของนิสัยที่ไม่ดี

15 security 

ฉันมีเครื่อง Mac OS X (Mac mini ที่ใช้ 10.5) ที่เปิดใช้งานการเข้าสู่ระบบระยะไกล ฉันต้องการเปิดพอร์ต sshd ไปยังอินเทอร์เน็ตเพื่อให้สามารถเข้าสู่ระบบจากระยะไกล เพื่อเหตุผลด้านความปลอดภัยฉันต้องการปิดการใช้งานการเข้าสู่ระบบจากระยะไกลโดยใช้รหัสผ่านช่วยให้ผู้ใช้ที่มีรหัสสาธารณะที่ถูกต้องเท่านั้นที่จะเข้าสู่ระบบได้ วิธีที่ดีที่สุดในการตั้งค่านี้ใน Mac OS X คืออะไร

15 security  ssh  mac-osx  password  keys 

Edge Server คืออะไร เราเห็นการอ้างอิงถึงพวกเขา แต่เราไม่เคยเห็นคำนิยาม

15 security  firewall  hardware  gateway 

ขั้นตอนหลักในการวิเคราะห์ทางนิติเวชของกล่อง linux หลังจากถูกแฮ็กคืออะไร ให้บอกว่าเป็นจดหมายเซิร์ฟเวอร์ Linux / เว็บ / ฐานข้อมูล / ftp / ssh / samba และมันก็เริ่มส่งสแปมสแกนระบบอื่น ๆ .. จะเริ่มค้นหาวิธีการแฮ็คได้อย่างไรและใครเป็นผู้รับผิดชอบ?

15 linux  security  hacking  forensic-analysis 

เรากำลังเรียกใช้เจนกินส์ CI โดยทั่วไปเราต้องการที่จะให้ การเข้าถึงแบบเต็มสำหรับผู้ใช้ที่ผ่านการรับรองความถูกต้องจากกลุ่มใดกลุ่มหนึ่ง การเข้าถึงแบบเต็มสำหรับผู้ใช้ที่ไม่ระบุชื่อ บล็อกผู้ใช้ที่ไม่ระบุชื่อเพื่อเข้าถึงโครงการบางอย่าง (สมบูรณ์) เราใช้ระบบปฏิบัติการยูนิกซ์ผู้ใช้ / กลุ่มฐานข้อมูลและโครงการตามยุทธศาสตร์การอนุมัติเมทริกซ์ คะแนน (1) และ (2) ทำงานได้ดี แต่เราประสบปัญหาในการบรรลุ (3) เราได้ลอง: ในGlobal Security จะลบสิทธิ์ทั้งหมดที่ไม่ระบุชื่อจากนั้นให้สิทธิ์ในการรักษาความปลอดภัยตามโครงการแต่หลังจากนั้นคำขอที่ไม่ระบุชื่อทั้งหมด (แม้แต่ไปยังหน้าหลักของ Jenkins) ให้หน้าล็อกอิน ในGlobal Securityเพิ่มในขั้นตอนต่อไปนี้สิทธิ์: View-Read (ไม่ทำงาน), Job-Discover (ใช้งานไม่ได้), Job-Read (ใช้งานไม่ได้), Overal-Read - อันสุดท้ายดูเหมือนว่าจะทำงาน มันให้สิทธิ์แก่ผู้ใช้โดยไม่ระบุชื่อมากเกินไปและเราไม่สามารถ จำกัด การเข้าถึงโครงการดังกล่าว TL; DR เราต้องการเปิดเต็ม (อ่านฉลาด) เจนกินส์ CI กับโครงการไม่กี่ซ่อน / บล็อกอย่างสมบูรณ์สำหรับไม่ระบุชื่อ

15 security  configuration  jenkins  hudson 

ฉันเพิ่งพบการตั้งค่า DoS Defense ในเราเตอร์DrayTek Vigor 2830ซึ่งถูกปิดใช้งานเป็นค่าเริ่มต้น ฉันใช้เซิร์ฟเวอร์ขนาดเล็กมากในเครือข่ายนี้และฉันคิดว่ามันร้ายแรงมากที่ต้องใช้เซิร์ฟเวอร์และทำงานตลอด 24 ชั่วโมงทุกวัน ฉันไม่แน่ใจเลยว่ากระทรวงกลาโหมจะทำให้เกิดปัญหาใด ๆ หรือไม่ ฉันยังไม่เคยมีประสบการณ์การโจมตี DoS แต่ฉันต้องการหลีกเลี่ยงการโจมตีที่เป็นไปได้ มีเหตุผลใดที่จะไม่เปิดใช้งานการตั้งค่าการป้องกัน DoS หรือไม่

15 security  router  denial-of-service  draytek 

มันคุ้มค่าที่จะใช้fail2ban , sshdfilter หรือเครื่องมือที่คล้ายกันซึ่งบัญชีดำที่อยู่ IP ใดที่พยายามและไม่สามารถเข้าสู่ระบบได้ ฉันเห็นมันแย้งว่านี่เป็นโรงละครรักษาความปลอดภัยบนเซิร์ฟเวอร์ "ปลอดภัย" อย่างไรก็ตามฉันรู้สึกว่ามันอาจทำให้ kiddies สคริปต์ย้ายไปยังเซิร์ฟเวอร์ถัดไปในรายการของพวกเขา สมมติว่าเซิร์ฟเวอร์ของฉัน "ปลอดภัย" และฉันไม่กังวลว่าการโจมตีด้วยเดรัจฉานจะสำเร็จจริง ๆ - เป็นเครื่องมือเหล่านี้เพียงทำให้ logfiles ของฉันสะอาดหรือฉันได้รับผลประโยชน์คุ้มค่าในการบล็อกการโจมตีด้วยกำลังดุร้าย? อัปเดต : มีความคิดเห็นมากมายเกี่ยวกับการคาดเดารหัสผ่านเดรัจฉาน - ฉันพูดถึงว่าฉันไม่ได้กังวลเกี่ยวกับเรื่องนี้ บางทีฉันควรจะเจาะจงมากขึ้นและถามว่า fail2ban มีประโยชน์ใด ๆ สำหรับเซิร์ฟเวอร์ที่อนุญาตเฉพาะการล็อกอินที่ใช้คีย์ ssh เท่านั้น

15 security  ssh  fail2ban 

นี่อาจดูเหมือนคำถามงี่เง่า (หรือสามานย์) ได้อย่างรวดเร็วก่อน แต่ให้ฉันทำอย่างละเอียด ... เราได้ใช้มาตรการทุกประเภทในเครือข่ายของ บริษัท และพร็อกซีเพื่อป้องกันการดาวน์โหลดไฟล์บางประเภทไปยังเครื่องของ บริษัท ไฟล์ส่วนใหญ่แม้ไฟล์ zip ที่อยู่ภายใน exe จะถูกบล็อกเมื่อคลิกเพื่อดาวน์โหลดไฟล์เหล่านั้น แต่ผู้ใช้ที่ "กล้าได้กล้าเสีย" บางคนยังคงสามารถดาวน์โหลดเพื่อใช้งานได้ ตัวอย่างเช่นฉันกำลังยืนอยู่ข้างหลังใครบางคน (ที่ไม่รู้จักฉันหรือแผนกที่ฉันทำงานอยู่) ซึ่งต่อหน้าต่อตาเราได้เปลี่ยน URL ที่ลงท้ายด้วย ".exe" เป็น ".exe" และเบราว์เซอร์ก็ไป ไปข้างหน้าและดาวน์โหลดประเภทไฟล์ "ไม่ทราบ" หลังจากนั้นเราก็เสียบรูนี้ แต่ฉันอยากจะรู้ว่าถ้าใครอื่นรู้ถึงวิธีการที่เลวร้ายที่สุดของการดาวน์โหลดไฟล์โดยไม่ผ่านการรักษาความปลอดภัยเครือข่ายและการตรวจสอบซอฟต์แวร์ หรือบางทีถ้าคุณรู้จักซอฟต์แวร์เชิงพาณิชย์บางตัวที่คุณสามารถสาบานได้ว่าเป็นกระสุนและเราสามารถทดลองใช้ได้ชั่วขณะ ความช่วยเหลือใด ๆ ที่ชื่นชม ...

15 security  proxy 

ใครสามารถแนะนำเซิร์ฟเวอร์ OCSP ฟรีและง่ายสำหรับ Windows หรือ Linux

14 security  certificate  ocsp 

ในขณะนี้ฉันกำลังออกไปเล็กน้อย ฉันเป็น SSHing ในเซิร์ฟเวอร์ระยะไกลที่ฉันเพิ่งได้รับหน้าที่ ฉันทำเช่นนี้เป็นราก ฉันติดตั้ง fail2ban และมี IP จำนวนมากถูกแบนในบันทึก ครั้งสุดท้ายที่ฉันลงชื่อเข้าใช้ฉันสังเกตเห็นว่าเทอร์มินัลของฉันล้าหลังมากจากนั้นการเชื่อมต่ออินเทอร์เน็ตของฉันลดลง เมื่อฉันซื้อมันกลับมาหลังจากผ่านไปประมาณ 5 นาทีฉันก็กลับเข้าสู่เซิร์ฟเวอร์และทำ 'ใคร' และรู้ว่ามีผู้ใช้รูทสองคนเข้าสู่ระบบฉันจะคิดว่าถ้าการเชื่อมต่อของฉันยุติกระบวนการจากเซสชันล่าสุด หยุดบนเซิร์ฟเวอร์หรือไม่ การเชื่อมต่อจบลงด้วย 'การเขียนล้มเหลว: ท่อแตก' เมื่อฉันถูกตัดการเชื่อมต่อเป็นครั้งแรก ฉันฆ่าเซสชันทุบตีกับรากอื่น ๆ ฉันไม่รู้เกี่ยวกับความปลอดภัยของ SSH มากนัก มีวิธีตรวจสอบสิ่งนี้หรือไม่? ฉันจำเป็นต้องเข้าสู่ระบบต่อผ่านทาง ssh ฉันควรระวังอะไรบ้าง? ถ้าฉันกำลังผ่านพร็อกซีเพื่อไปยังเซิร์ฟเวอร์ของฉัน (เช่นคนที่อยู่ตรงกลางของการโจมตี) พวกเขาสามารถจี้เซสชั่น ssh ของฉันได้อย่างไร

14 linux  ssh  security  unix  hacking 

เราพบบัญชีผู้ดูแลโดเมนซึ่งเราไม่ได้ใช้ยกเว้นในกรณีที่มีสถานการณ์การกู้คืนความเสียหาย - มีวันที่ล่าสุดในแอตทริบิวต์ LastLogonTimeStamp เท่าที่ฉันทราบไม่มีใครควรใช้บัญชีนี้ในช่วงเวลาที่เกี่ยวข้อง (และอีกหลายเดือน) แต่บางทีคนบ้าบางคนได้กำหนดให้ทำงานตามกำหนดเวลา เนื่องจากปริมาณของเหตุการณ์ที่เกิดขึ้นเข้าสู่ระบบการรักษาความปลอดภัย (และขาดเครื่องมือ SIEM สำหรับการวิเคราะห์) ผมอยากจะตรวจสอบว่าซีมีจริงlastLogonเวลา (เช่นไม่แอตทริบิวต์จำลอง) สำหรับบัญชี แต่ผมได้สอบถามทุก DC ในโดเมน และพวกเขาแต่ละคนมีการเข้าสู่ระบบล่าสุดเป็น "none" สำหรับผู้ดูแลระบบ นี่คือโดเมนลูกในฟอเรสต์ดังนั้นจึงเป็นไปได้ว่ามีคนใช้บัญชีผู้ดูแลโดเมนลูกนี้เพื่อเรียกใช้บางอย่างในโดเมนแม่ ใครบ้างคิดวิธีที่จะตรวจสอบว่า DC ใดกำลังทำล็อกออนนอกเหนือจากการตรวจสอบเหตุการณ์ที่อาจเกิดขึ้น 20 ล้านเหตุการณ์จาก DC 16 ฟอเรสต์รอบเวลาที่บันทึกไว้ใน LastLogonTimestamp ฉันคิดว่าฉันสามารถกำหนดเป้าหมายโดเมนหลักของ DC เป็นอันดับแรกได้ (เนื่องจาก DC เด็กนั้นไม่ได้ทำการตรวจสอบสิทธิ์) คำอธิบาย [เพิ่มหลังจาก zeroing in บนสาเหตุหลังจากใช้งานrepadminตามด้านล่าง] เหตุผลดั้งเดิมสำหรับคำขอนี้เกิดจากทีมความปลอดภัยด้านไอทีของเราซึ่งสงสัยว่าทำไมเราจึงเข้าสู่ระบบด้วยบัญชีผู้ดูแลโดเมนเริ่มต้นเป็นประจำ เรารู้ว่าเราไม่ได้เข้าสู่ระบบ ปรากฎว่ามีกลไกที่เรียกว่า "Kerberos S4u2Self" นั่นคือเมื่อกระบวนการเรียกใช้ทำงานเป็น Local System กำลังทำการเพิ่มระดับสิทธิ์ …

14 active-directory  security  domain 

เรากำลังเตรียมสถานการณ์เมื่อบัญชีใดบัญชีหนึ่งในโดเมนถูกบุกรุก - จะทำอย่างไรต่อไป การปิดใช้งานบัญชีจะเป็นคำตอบแบบแรกของฉัน แต่เรามีเพนเทอร์เตอร์ที่นี่เมื่อไม่กี่สัปดาห์ที่ผ่านมาและพวกเขาสามารถใช้การเข้าสู่ระบบที่แฮชของผู้ใช้ที่เป็นผู้ดูแลระบบเมื่อสองสามเดือนที่ผ่านมา คำตอบสองข้อของเราคือ: ลบบัญชีและสร้างใหม่ (สร้าง SID ใหม่ แต่ก็มีละครมากขึ้นสำหรับผู้ใช้และทำงานให้เราด้วย) เปลี่ยนรหัสผ่านอย่างน้อย 3 ครั้งและปิดการใช้งานบัญชี วิธีการของคุณจะเป็นอย่างไรหรือคุณจะแนะนำอะไร

14 active-directory  security