คำถามติดแท็ก security

ฉันแก้ไขเซิร์ฟเวอร์Postfix + Dovecotกับการโจมตี DROWN (ฉันปิดใช้งาน sslv2 และ sslv3) https://test.drownattack.com Shows :25 vulnerable to CVE-2016-0703 :110 vulnerable to CVE-2016-0703 ... หลังจากนั้นถ้าฉันเชื่อมต่อกับบรรทัดคำสั่งOpenSSL 's s_clientใช้-ssl2สวิทช์แล้วโปรโตคอลที่ไม่ได้รับการสนับสนุน ฉันสามารถใช้สิ่งนี้เป็นเครื่องตรวจจับที่ผิดพลาดได้หรือไม่?

14 security  ssl 

เคยทำงานเกี่ยวกับขั้นตอนการชุบแข็งการรักษาความปลอดภัยสำหรับกล่อง RedHat และฉันต้องการทราบว่าจะเป็นไปได้ไหมที่จะป้องกันไม่ให้ผู้ใช้เปลี่ยนรหัสผ่านเมื่อหมดอายุ สำหรับลูกค้าคนหนึ่งของเราข้อกำหนดคือพวกเขาจะต้องเข้าถึงเซิร์ฟเวอร์ผ่านบัญชีชั่วคราวเท่านั้นซึ่งหมายความว่าเมื่อสร้างข้อมูลประจำตัวผู้ใช้รหัสผ่านจะต้องหมดอายุภายใน 4 ชั่วโมงและเมื่อรหัสผ่านหมดอายุเพียงรากควรจะสามารถเปลี่ยนได้ . สำหรับความต้องการแรก (รหัสผ่านหมดอายุหลังจาก 4 ชั่วโมง) ผมคิดว่ามันจะประสบความสำเร็จโดยการตั้งค่าpasswordMaxAge = 144000 แต่ฉันก็ยังหาวิธีป้องกันไม่ให้ผู้ใช้เปลี่ยนรหัสผ่านที่หมดอายุโดยไม่ต้องปิดการใช้รหัสผ่าน ใครช่วยได้บ้าง

14 security  redhat  pam  hardening 

Google ประกาศช่องโหว่ในโปรโตคอล SSLv3 นั้น ... อนุญาตให้คำนวณคำแถลงการเชื่อมต่อที่ปลอดภัยโดยผู้โจมตีเครือข่าย ช่องโหว่นี้ได้รับการกำหนดCVE-2014-3566และชื่อทางการตลาด POODLE ถ้าฉันมีเว็บไซต์ที่ ` https://www.example.com/ฉันจะบอกได้อย่างไรว่าช่องโหว่นี้ส่งผลกระทบต่อฉันหรือไม่

14 security  https 

ฉันกำลังอยู่ในขั้นตอนการสร้าง SFTP เฉพาะDocker container หนึ่งที่จะถูกใช้โดยหลาย ๆ คนเพื่อจุดประสงค์ในการอัพโหลดและจัดการไฟล์ในchrootสภาพแวดล้อม ed ของพวกเขาเอง บนกระดาษมันค่อนข้างปลอดภัย: ฉันจะปิดการใช้งานการbashลงชื่อเข้าใช้ทุกรูปแบบและฉันจะไม่เรียกใช้กระบวนการอื่นใดในนั้น อย่างไรก็ตามฉันต้องการทำให้แข็งขึ้นเพียงเล็กน้อย: ฉันต้องการป้องกันไม่ให้คอนเทนเนอร์นี้เข้าถึงอินเทอร์เน็ตจากภายในยกเว้นเพื่อเป็นเซิร์ฟเวอร์ SFTP เพื่อให้สิ่งต่าง ๆ ชัดเจน: ฉันรู้วิธีป้องกันไม่ให้โลกภายนอกเข้าถึงคอนเทนเนอร์ของฉัน - ฉันสามารถตั้งค่าiptablesกฎขาเข้าและฉันสามารถเปิดเผยเฉพาะพอร์ต SFTP ในคำสั่งเรียกใช้นักเทียบท่าของฉัน อย่างไรก็ตามฉันต้องการที่จะทำให้คำสั่งต่อไปนี้ (เป็นตัวอย่าง) ล้มเหลวเมื่อวิ่งเข้าไปในภาชนะ: curl google.com ความตั้งใจของฉันคือลดปริมาณความเสียหายที่คอนเทนเนอร์ที่แฮ็กสามารถทำได้ (ไม่สามารถใช้เพื่อส่งอีเมลขยะ ฯลฯ )

14 ssh  security  sftp  docker 

Oracle DBA Colleague ของฉันกำลังร้องขอการเข้าถึงรูทบนเซิร์ฟเวอร์ที่ใช้งานจริงของเรา เขาโต้เถียงว่าเขาต้องการให้มันทำงานบางอย่างเช่นการรีบูทเซิร์ฟเวอร์และงานอื่น ๆ ฉันไม่เห็นด้วยกับเขาเพราะฉันได้ตั้งเขาเป็นผู้ใช้ / กลุ่ม Oracle และกลุ่ม dba ที่ผู้ใช้ Oracle อยู่ ทุกอย่างทำงานได้อย่างราบรื่นโดยที่ DBA ไม่สามารถเข้าถึงรูทได้ในขณะนี้ ฉันยังคิดว่างานด้านการดูแลระบบทั้งหมดเช่นการรีบูทเซิร์ฟเวอร์ตามกำหนดเวลานั้นจะต้องทำโดยผู้ดูแลระบบที่เหมาะสม (ผู้ดูแลระบบในกรณีของเรา) เพื่อหลีกเลี่ยงปัญหาใด ๆ ที่เกี่ยวข้องกับการเข้าใจโครงสร้างพื้นฐาน ฉันต้องการอินพุตจาก sysadmins และ Oracle DBAs - มีเหตุผลใดที่ดีที่Oracle DBA จะสามารถเข้าถึงรูทในสภาพแวดล้อมการใช้งานจริงได้หรือไม่? หากเพื่อนร่วมงานของฉันต้องการการเข้าถึงระดับนี้ฉันจะให้ แต่ฉันกลัวที่จะทำเช่นนั้นเนื่องจากความปลอดภัยและความสมบูรณ์ของระบบ ฉันไม่ได้มองหาข้อดี / ข้อเสีย แต่ควรจะให้คำแนะนำว่าฉันควรทำอย่างไรเพื่อรับมือกับสถานการณ์นี้

14 linux  security  redhat  oracle 

ฉันใช้: usermod -L myUser เพื่อปิดการใช้งานรหัสผ่านสำหรับบัญชีนี้ สมมติว่าฉันไม่รู้รหัสผ่านฉันจะตรวจสอบได้อย่างไรว่ามันถูกปิดการใช้งาน ตามหน้า man มันวาง! หน้ารหัสผ่านที่เข้ารหัส แต่ฉันไม่รู้วิธีตรวจสอบเช่นกัน

14 ubuntu  security 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นไปตามหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์ ปิดให้บริการใน8 ปีที่ผ่านมา ขณะนี้ฉันกำลังใช้เซิร์ฟเวอร์ VisualSVN และมันสามารถเข้าถึงได้เฉพาะในเครือข่ายภายในบ้านของฉัน ในที่สุดจะมีคนอื่นเข้าถึง แต่ตอนนี้เป็นเพียงฉันและฉันอยากจะลงไปที่ร้านกาแฟ (หรือที่ใดก็ได้) และสามารถทำงานจากบ้านได้ http://user-pc:xx/svn/Projects/ขณะนี้ฉันกำลังเข้าถึงเซิร์ฟเวอร์ที่ เมื่อฉันตั้งค่าเราเตอร์ให้ส่งต่อพอร์ต XX ไปยังเซิร์ฟเวอร์ของฉันฉันควรทำขั้นตอนใดเพื่อรักษาความปลอดภัยเซิร์ฟเวอร์ โปรดจำไว้ว่าฉันกำลังทำสิ่งนี้บน Windows และในขณะที่ฉันใช้พรอมต์คำสั่งปกติอย่างกว้างขวางฉันไม่ได้ใช้ SVN มานานและไม่ได้ใช้อะไรนอกจาก TortoiseSVN เพื่อทำงานกับมันจนถึงจุดนี้ แก้ไข : สิ่งที่อันตรายเพียงอย่างเดียวที่ผู้โจมตีสามารถทำได้คือสิ่งที่ฉันตระหนักถึงคือ: เดาหมายเลขพอร์ตชื่อผู้ใช้และรหัสผ่านของฉันเพื่อเข้าสู่พื้นที่เก็บข้อมูล อย่างไรก็ตามเมื่อพูดไปฉันก็ไม่รู้ว่าฉันไม่รู้อะไร ดังนั้นฉันไม่จำเป็นต้องขอคำแนะนำทีละขั้นตอน (แม้ว่าฉันจะต้องการได้เช่นกัน) เท่าที่สิ่งที่ฉันต้องคำนึงถึงสำหรับการโจมตีประเภทใด ๆที่สามารถทำได้เมื่อเปิดพอร์ต

14 windows  security  firewall  svn  visualsvn-server 

ฉันสงสัยว่า iLO ปลอดภัยพอที่จะแขวนบน WAN หรือไม่ฉันค้นหาบทความบางอย่าง แต่ไม่พบอะไรบ้าง พวกคุณปลอดภัยของ iLO อย่างไร? คุณวางไว้หลังไฟร์วอลล์หรือไม่? คุณจะใช้ไฟร์วอลล์ที่สามารถเข้าถึงได้จาก WAN โดยใช้ iLO หรือไม่?

14 security  ilo 

ฉันกำลังพยายามทำให้กล่องอูบุนตูหลายกล่องเป็นรุ่นล่าสุดและได้รับการแก้ไข (10.4.2 LTS) คำแนะนำอย่างหนึ่งที่ฉันได้รับคือการตั้งค่าการอัปเกรดแบบไม่ต้องใส่ข้อมูล ( https://help.ubuntu.com/community/) AutomaticSecurityUpdates ) ในอดีตฉันเคยต่อต้านการตั้งค่าการอัปเดตอัตโนมัติส่วนใหญ่เกิดจากความหวาดระแวงว่าจะมีบางอย่างเกิดขึ้นในระหว่างกระบวนการอัปเดต อย่างไรก็ตามตอนนี้ฉันเริ่มตั้งคำถามถึงความถูกต้องของการใช้งาน (และความเสี่ยงที่จะถูกเปรียบเทียบกับการมีเซิร์ฟเวอร์ที่ไม่ได้ทำการเปรียบเทียบ) นี่เป็นความคิดที่มีสติหรือไม่ เรายังอยู่ในขั้นตอนของการตั้งค่า Puppet อย่างไรก็ตามการสร้างโมดูล / การย้ายข้อมูลของเซิร์ฟเวอร์ไปยังหุ่นเชิดนั้นดูเหมือนจะอยู่ไกล

14 ubuntu  security  update  patch 

เพื่อเป็นการถกเถียงกันว่าฉันมี Apache เว็บเซิร์ฟเวอร์ซึ่งให้บริการเว็บไซต์ที่ www.example.org ชื่อโดเมนนี้จะแก้ไขเป็นที่อยู่ IP สาธารณะที่ 192.168.1.100 (อ้างว่าเป็น IP สาธารณะ) การสนทนาที่มีอะไรที่ฉันสามารถทำได้เกี่ยวกับคนที่ชี้โดเมนของพวกเขาที่ ip ของฉันหรือไม่ แสดงให้เห็นว่าทุกคนสามารถชี้โดเมนของพวกเขาที่ IP ของฉัน Apache จะไม่ป้องกันสิ่งนี้ตามค่าเริ่มต้น แต่ผู้ดูแลระบบสามารถจัดการสิ่งเหล่านี้ได้ตลอดเวลาผ่านการใช้บัญชีดำ อย่างไรก็ตามมันเป็นเรื่องธรรมดามากขึ้นสำหรับนักต้มตุ๋นที่จะลงทะเบียนโดเมนหลายสิบ (หรือมากกว่า) เพื่อใช้ในการหลอกลวง ฉันกังวลเกี่ยวกับการโจมตีที่เป็นไปได้ต่อไปนี้: นักต้มตุ๋นลงทะเบียนชื่อโดเมนหลายร้อยชื่อและชี้ไปที่ที่อยู่ IP เฉพาะของฉัน นักต้มตุ๋นนำเครื่องมือค้นหาที่โดเมนการหลอกลวงของพวกเขาดังนั้นการใช้เนื้อหาของฉันเพื่อเพิ่มสถานะของพวกเขาในเครื่องมือค้นหา ต่อมาผู้หลอกลวงจะย้ายชื่อโดเมนของพวกเขาไปที่เซิร์ฟเวอร์ของตัวเองซึ่งมีการหลอกลวง / สื่อลามกหรือธุรกิจที่แข่งขันกันเป็นต้น บางโดเมนเหล่านี้อาจใช้ในสแปมความคิดเห็นเช่นกัน กำไร!! ฉันเชื่อว่าฉันเคยเห็นนักต้มตุ๋นใช้เคล็ดลับนี้ในอดีตที่เกี่ยวข้องกับหลายสิบโดเมน เราไม่ได้ตระหนักถึงความหมายของการหลอกลวงในเวลานั้นและสันนิษฐานว่าเป็นโดเมนที่กำหนดค่าผิด มีคำสำหรับเคล็ดลับ SEO สามานย์นี้หรือไม่? หลอกลวง SEO? การเปลี่ยน DNS ฉันจะป้องกันสิ่งนี้โดยใช้ Apache ได้อย่างไร ฉันกำลังพิจารณาเป็น "รายการที่อนุญาต" แก้ไขปัญหาบนพื้นฐานของการใช้ค่าเริ่มต้นVirtualHosts, ServerNamesและServerAliasesเพื่อให้ Apache …

14 apache-2.2  domain-name-system  security 

โดยทั่วไปแล้วเมื่อใดควรสร้างบัญชีผู้ใช้ใหม่เพื่อเรียกใช้ซอฟต์แวร์ที่เชื่อมต่ออินเทอร์เน็ตบนเซิร์ฟเวอร์ ตัวอย่างเช่นสมมติว่าฉันใช้เซิร์ฟเวอร์ Debian ที่ใช้ร่วมกัน (เช่นผ่าน Dreamhost) และฉันต้องการเรียกใช้บางเว็บไซต์โดยใช้ WordPress, บางคนใช้ Redmine, บางคนใช้ Ruby on Rails, บางทีใช้ Django และฉันต้องการ Mercurial ที่เก็บเช่นกัน บนเซิร์ฟเวอร์ Dreamhost และเซิร์ฟเวอร์อื่น ๆ ที่มีการตั้งค่าคล้ายกันทั้งหมดนี้สามารถทำได้ภายใต้บัญชีผู้ใช้เดียวแต่ฉันสามารถดูข้อเสียของวิธีการดังกล่าว: .bashrc ที่ยาวกว่า หากบัญชีนั้นกลายเป็นอันตรายไซต์ทั้งหมดจะทำงานภายใต้ ในทางกลับกันการมีบัญชีผู้ใช้จำนวนมากอาจกลายเป็นเรื่องยากที่จะติดตามโดยเฉพาะอย่างยิ่งหากบางคนมีข้อกำหนดที่เหมือนกันในแง่ของซอฟต์แวร์ที่ติดตั้ง ตัวอย่างเช่นการมีหนึ่งบัญชีสำหรับแต่ละเว็บไซต์ที่ใช้งาน WordPress อาจเกินความจำเป็น วิธีปฏิบัติที่ดีที่สุดคืออะไร เป็นเพียงคำถามของการลดจำนวนเว็บไซต์ที่โฮสต์ (หรือที่เก็บโฮสต์ ฯลฯ ) ต่อบัญชีผู้ใช้ตามสัดส่วนของระดับความหวาดระแวงหรือไม่ กรุณาโพสต์ความคิดเห็นของคุณเกี่ยวกับเรื่องนี้โดยบอกเหตุผลของคุณ นอกจากนี้หากคุณมีเหตุผลใด ๆ ที่คิดว่าวิธีการที่ดำเนินการบนเซิร์ฟเวอร์ส่วนตัวหรือ VPS ควรแตกต่างจากวิธีการที่ดำเนินการบนเซิร์ฟเวอร์ที่ใช้ร่วมกันโปรดระบุสิ่งที่พวกเขาเป็นและเหตุผลของพวกเขาอีกครั้ง

14 linux  security  web-server  user-accounts 

เราวางแผนที่จะโยกย้ายเครือข่ายการผลิตของเราจากการกำหนดค่าแบบ VLAN แบบไม่ต้องไร้สายไปเป็นการกำหนดค่าแบบ VLAN ที่ติดแท็ก (802.1q) แผนภาพนี้สรุปการกำหนดค่าที่วางแผนไว้: รายละเอียดที่สำคัญอย่างหนึ่งคือส่วนใหญ่ของโฮสต์เหล่านี้จะเป็น VMs บนเครื่องโลหะเปลือยเพียงเครื่องเดียว ในความเป็นจริงเครื่องทางกายภาพเท่านั้นจะเป็น DB01, DB02, ไฟร์วอลล์และสวิตช์ เครื่องอื่น ๆ ทั้งหมดจะถูกจำลองเสมือนบนโฮสต์เดียว สิ่งที่น่ากังวลอย่างหนึ่งคือวิธีนี้มีความซับซ้อน ( โดยนัยที่ซับซ้อน ) และ VLANs นั้นเป็นเพียงการให้ภาพลวงตาด้านความปลอดภัยเท่านั้นเพราะ "การกระโดดของ VLAN นั้นง่าย" นี่เป็นข้อกังวลที่ถูกต้องหรือไม่เนื่องจาก VLAN หลายตัวจะถูกใช้สำหรับพอร์ตสวิตช์เดียวเนื่องจากการจำลองเสมือน ฉันจะตั้งค่า VLAN ของฉันอย่างเหมาะสมเพื่อป้องกันความเสี่ยงนี้ได้อย่างไร นอกจากนี้ฉันเคยได้ยินว่า VMWare ESX มีสิ่งที่เรียกว่า "สวิตช์เสมือน" นี่เป็นเอกลักษณ์ของ VMWare hypervisor หรือไม่? หากไม่สามารถใช้งานได้กับ KVM (ตัวเลือกไฮเปอร์ไวเซอร์ที่ฉันวางแผนไว้) หรือไม่? สิ่งนั้นเกิดขึ้นได้อย่างไร?

14 security  virtualization  vlan 

ฉันอยากรู้. ฉันได้อ่านเกี่ยวกับวิธีการที่ผู้ให้บริการอินเทอร์เน็ตและคนกลางของเราบันทึกและติดตามคำขอ DNS ทั้งหมดโดยทั่วไปทิ้งร่องรอยของเกล็ดขนมปังในบันทึกจำนวนมากและอนุญาตให้ DNS หักหลังเพื่อวัตถุประสงค์ในการโฆษณา (ฉันกำลังมองหาคุณ Cox Communications!) โดยไม่คำนึงถึงวิธีการอื่น ๆ เพื่อความเป็นส่วนตัว / ความปลอดภัยฉันต้องการทราบเป็นพิเศษหากเป็นไปได้ที่จะเรียกใช้เซิร์ฟเวอร์ DNS ในเครือข่ายท้องถิ่นของคุณเอง _that มีข้อมูลโซนของเซิร์ฟเวอร์ DNS ราก (สำหรับ .com, .net ,. ) โดเมน) ฉันรู้ว่าคุณสามารถตั้งค่า DNS ที่เพียงแค่จับคู่เครื่องในโดเมนของคุณ แต่เป็นไปได้หรือไม่ที่จะขอสำเนา / ถ่ายโอนข้อมูล root DNS ที่จะจัดเก็บไว้ในเซิร์ฟเวอร์ DNS ของคุณเองเพื่อให้คุณสามารถเลี่ยงการออกไปอินเทอร์เน็ตสำหรับ DNS ข้อมูลทั้งหมดสำหรับการท่องเว็บ? ฉันหวังว่าฉันจะชัดเจน ฉันไม่ต้องการให้เซิร์ฟเวอร์ DNS ของฉันมีเฉพาะข้อมูลเกี่ยวกับเครือข่ายภายในของฉัน - ฉันต้องการให้มีข้อมูลซ้ำกันที่เซิร์ฟเวอร์ DNS อินเทอร์เน็ตขนาดใหญ่มี แต่ฉันต้องการข้อมูลนั้นในเซิร์ฟเวอร์ DNS ของฉัน …

14 domain-name-system  security  privacy 

เพื่อที่จะ: เพิ่มความปลอดภัยของเว็บไซต์ของฉัน ลดความต้องการแบนด์วิดท์ ป้องกันการเก็บเกี่ยวที่อยู่อีเมล

14 performance  security  robots.txt 

ฉันมีเซิร์ฟเวอร์ SVN เล็ก ๆ น้อย ๆ เดลแล็ป optoplex เก่าที่ใช้เดเบียน ฉันไม่มีความต้องการสูงในเซิร์ฟเวอร์ของฉันเพราะมันเป็นเซิร์ฟเวอร์ SVN เพียงเล็กน้อย ... แต่ต้องการให้ปลอดภัย ฉันเพิ่งต่ออายุเซิร์ฟเวอร์ของฉันให้เป็น optiplex ที่ใหม่กว่าและดีกว่าและเริ่มมองหาเซิร์ฟเวอร์เก่าสักหน่อย ฉันเอามันลงหลังจากประสบปัญหา เมื่อฉันตรวจสอบบันทึกมันเต็มไปด้วยความพยายามที่ดุร้ายและบางคนประสบความสำเร็จในการเข้าสู่เครื่องของฉัน บุคคลนี้สร้างไดรฟ์ข้อมูลพิเศษบางตัวที่เรียกว่า "knarkgosse" ที่มี "รูต" และ "swap1" สอง dirs ไม่รู้จริง ๆ ว่าเพราะอะไรและทำอะไร แต่แน่ใจว่าต้องการป้องกันไม่ให้เกิดขึ้นอีกครั้ง ฉันคิดว่ามันแปลกไปหน่อยเพราะฉันเปลี่ยนรหัสผ่านไม่กี่เดือนและรหัสผ่านนั้นจะเป็นตัวอักษรและตัวเลขสุ่มเสมอกัน ... ไม่ใช่เรื่องง่ายที่จะดุร้าย ฉันรู้ว่าฉันสามารถป้องกันไม่ให้รูทเข้าสู่ระบบและใช้ sudoers ... และเปลี่ยนพอร์ต SSH แต่ฉันจะทำอะไรได้อีกบ้าง ดังนั้นฉันมีคำถามสองสามข้อ: ฉันจะป้องกันไม่ให้เข้าสู่ระบบเป็นเวลา 5 นาทีหลังจากลองจำนวน X ไม่ถูกต้อง หรือพยายามช้าลงหลังจากลองผิดแต่ละครั้ง มีบัญชีดำส่วนกลางบางชนิดที่เซิร์ฟเวอร์สามารถเชื่อมต่อได้หรือไม่ บัญชีดำที่ติดตามที่อยู่ IP …

14 ssh  security  brute-force-attacks