คำถามติดแท็ก security

ฉันต้องการตั้งค่าผู้ออกใบรับรองซึ่งฉันสามารถนำเข้าเบราว์เซอร์และระบบทั้งหมดของ บริษัท เพื่อกำจัดคำเตือนลูกค้าที่น่ารังเกียจทั้งหมดเมื่อใช้ HTTPS หรือ SSL

14 linux  security  ssl-certificate  openssl  rsa 

ฉันรู้ว่าการรับส่งข้อมูล WEP สามารถ "ดมกลิ่น" ได้โดยผู้ใช้ WIFI ทุกคน ฉันรู้ว่าทราฟฟิก WPA / WPA2 ถูกเข้ารหัสโดยใช้ลิงค์คีย์ที่แตกต่างกันสำหรับผู้ใช้แต่ละคนดังนั้นพวกเขาจึงไม่สามารถดักทราฟฟิกทราฟฟิก ... เว้นแต่พวกเขาจับการจับมือเริ่มต้น หากคุณใช้สคีมา PSK (คีย์ที่แบ่งไว้ล่วงหน้า) แสดงว่าคุณกู้คืนคีย์ลิงก์จากการจับมือเริ่มต้นนี้เล็กน้อย หากคุณไม่ทราบ PSK คุณสามารถจับมือและพยายามที่จะถอดรหัส PSK ด้วยการโจมตีแบบออฟไลน์ ความเข้าใจของฉันถูกต้องจนถึงตอนนี้หรือไม่? ฉันรู้ว่า WPA2 มีโหมด AES และสามารถใช้โทเค็น "ปลอดภัย" เช่นใบรับรอง X.509 และมีการกล่าวว่าปลอดภัยต่อการดมเนื่องจากการจับมือไม่ได้ช่วยคุณ ดังนั้น WPA2 + AES มีความปลอดภัย (จนถึง) กับการดมกลิ่นและใช้งานได้จริงหรือไม่ กล่าวคือคีย์การเชื่อมโยง (สุ่ม) มีการจัดการอย่างไร เมื่อใช้ใบรับรอง X.509 หรือวลีรหัสผ่าน (ส่วนตัวและส่วนตัว) WPA / WPA2 …

14 security  wifi  packet-sniffer 

ปิด คำถามนี้จะต้องมีมากขึ้นมุ่งเน้น ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้มุ่งเน้นที่ปัญหาเดียวโดยแก้ไขโพสต์นี้ ปิดให้บริการใน2 ปีที่ผ่านมา ฉันต้องตั้งค่าเซิร์ฟเวอร์ที่ปลอดภัยที่สุดเท่าที่จะเป็นไปได้ คุณต้องการใช้การปรับปรุงด้านความปลอดภัยใดและทำไม SELinux, AppArmor หรือ grsecurity คุณสามารถให้คำแนะนำคำแนะนำข้อดี / ข้อเสียสำหรับฉันได้ไหม AFAIK: SELinux: ทรงพลังที่สุด แต่ซับซ้อนที่สุด AppArmor: การกำหนดค่า / การจัดการที่ง่ายกว่า SELinux grsecurity: การกำหนดค่าอย่างง่าย ๆ เนื่องจากการฝึกอบรมอัตโนมัติคุณสมบัติมากกว่าการควบคุมการเข้าถึง

14 linux  security  hardening 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นไปตามหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์ ปิดให้บริการใน7 ปีที่ผ่านมา ไม่มีใครรู้ว่าเซิร์ฟเวอร์ / พีซีที่ใช้พลังงานต่ำมี 2 NIC's ดังนั้นจึงสามารถใช้สำหรับไฟร์วอลล์ (OpenBSD) ได้ แซนดร้า

14 security  firewall  hardware  bsd 

ฉันไม่ทราบว่ามีการใช้งาน SELinux มากน้อยแค่ไหนและมันช่วยอะไรจากผู้โจมตีได้บ้าง ฉันได้ไปที่เว็บไซต์ของ SELinux แล้วอ่านขั้นพื้นฐาน แต่ก็ยังไม่ได้รับเบาะแสเกี่ยวกับ SELinux สำหรับระบบ Linux ที่มีเชลล์ SSH, Apache front, เว็บแอพพลิเคชั่นตามบทบาท, ฐานข้อมูล MySQL, memcached, เกือบทุกระบบได้รับการป้องกันด้วยรหัสผ่านแล้วทำไมเราถึงต้องใช้ SELinux?

14 linux  selinux  security 

ฉันพบในหลายกรณีการบังคับให้ผู้ใช้เปลี่ยนรหัสผ่านของพวกเขาเป็นประจำจะกลายเป็นเรื่องยุ่งยากในการบำรุงรักษามากกว่าความช่วยเหลือด้านความปลอดภัย นอกจากนี้ฉันเห็นผู้ใช้เขียนรหัสผ่านใหม่ลงเนื่องจากพวกเขาไม่มีเวลาพอที่จะจำรหัสผ่านและไม่สามารถเรียนรู้รหัสใหม่อีกครั้งได้ ประโยชน์ด้านความปลอดภัยอะไรที่บังคับให้เปลี่ยนรหัสผ่าน?

14 security  password 

ฉันสังเกตเห็นว่าหลังจากเปลี่ยนการตั้งค่า reg ที่ระบุไว้ในตอนที่ 52 ของพอดคาสต์ Stack Overflow เป็นpool.ntp.orgกล่องของฉันก็ขอเวลาจาก gordo.foofus.net เว็บไซต์ที่โฮสต์ในกล่องนั้นแปลกมาก นี่เป็นเซิร์ฟเวอร์จับเวลาที่ถูกต้องหรือไม่

14 ntp  security 

ผู้เชี่ยวชาญด้านความปลอดภัยของบุคคลที่สามขอแนะนำให้เราเรียกใช้พร็อกซีย้อนกลับต่อหน้าเว็บเซิร์ฟเวอร์ (โฮสต์ทั้งหมดใน DMZ) เป็นมาตรการรักษาความปลอดภัยที่ดีที่สุด ฉันรู้ว่านี่เป็นสถาปัตยกรรมทั่วไปที่แนะนำเนื่องจากมีการรักษาความปลอดภัยระดับต่อหน้าเว็บแอปพลิเคชันเพื่อป้องกันแฮกเกอร์ อย่างไรก็ตามในฐานะที่เป็นพร็อกซีย้อนกลับอย่างสนุกสนาน HTTP การกลับไปกลับมาระหว่างผู้ใช้และเว็บเซิร์ฟเวอร์ภายในจะไม่ให้มาตรการป้องกันการแฮ็คบนเว็บเซิร์ฟเวอร์เอง กล่าวอีกนัยหนึ่งถ้าเว็บแอปของคุณมีช่องโหว่ความปลอดภัยพร็อกซีจะไม่ให้ความปลอดภัยที่มีความหมาย และเนื่องจากความเสี่ยงของการโจมตีแอปพลิเคชันบนเว็บนั้นสูงกว่าการโจมตีด้วยพร็อกซีมากมีมากขึ้นโดยการเพิ่มกล่องพิเศษตรงกลางหรือไม่ เราจะไม่ใช้ความสามารถในการแคชใด ๆ ของ reverse proxy - เป็นเพียงเครื่องมือโง่ ๆ ที่จะส่งแพ็กเก็ตไปมา มีอะไรอีกบ้างที่ฉันหายไปที่นี่ การตรวจสอบแพ็คเก็ต HTTP พร็อกซีย้อนกลับทำได้ดีมากมันสามารถตรวจจับการโจมตีที่มีความหมายโดยไม่มีคอขวดประสิทธิภาพที่สำคัญหรือนี่เป็นเพียงตัวอย่างหนึ่งของ Security Theatre? พร็อกซีย้อนกลับคือ MS ISA fwiw

14 security  proxy  reverse-proxy  isa-server 

ฉันอยากรู้ว่ามีพฤติกรรมที่คาดหวังมาตรฐานหรือไม่และถือว่าเป็นการปฏิบัติที่ไม่ถูกต้องหรือไม่เมื่อสร้างมากกว่าหนึ่งบัญชีบน Linux / Unix ที่มี UID เดียวกัน ฉันได้ทำการทดสอบบางอย่างกับ RHEL5 กับสิ่งนี้และมันทำงานได้ตามที่คาดไว้ แต่ฉันไม่รู้ว่าฉันกำลังล่อลวงโชคชะตาโดยใช้เคล็ดลับนี้หรือไม่ ตัวอย่างเช่นสมมติว่าฉันมีสองบัญชีที่มีรหัสเดียวกัน: a1:$1$4zIl1:5000:5000::/home/a1:/bin/bash a2:$1$bmh92:5000:5000::/home/a2:/bin/bash สิ่งนี้หมายความว่าอะไร: ฉันสามารถเข้าสู่แต่ละบัญชีโดยใช้รหัสผ่านของตนเอง ไฟล์ที่ฉันสร้างจะมี UID เดียวกัน เครื่องมือเช่น "ls -l" จะแสดงรายการ UID เป็นรายการแรกในไฟล์ (a1 ในกรณีนี้) ฉันหลีกเลี่ยงการอนุญาตหรือปัญหาความเป็นเจ้าของระหว่างสองบัญชีเพราะพวกเขาเป็นผู้ใช้เดียวกันจริงๆ ฉันได้รับการตรวจสอบการเข้าสู่ระบบสำหรับแต่ละบัญชีดังนั้นฉันจึงมีความละเอียดในการติดตามสิ่งที่เกิดขึ้นในระบบ ดังนั้นคำถามของฉันคือ: ความสามารถนี้ได้รับการออกแบบหรือเป็นเพียงวิธีการทำงาน สิ่งนี้จะสอดคล้องกันในตัวแปร * nix หรือไม่? การปฏิบัตินี้เป็นที่ยอมรับหรือไม่? มีผลที่ไม่ตั้งใจต่อการฝึกนี้หรือไม่? หมายเหตุแนวคิดที่นี่คือการใช้สิ่งนี้สำหรับบัญชีระบบและไม่ใช่บัญชีผู้ใช้ปกติ

14 linux  security  unix 

ฉันเพิ่งซื้อใบรับรอง SSL และนี่คือไฟล์ใบรับรองทั้งหมดที่ฉันได้รับ: Root CA Certificate - xxCARoot.crt Intermediate CA Certificate - x1.crt Intermediate CA Certificate - x2.crt Intermediate CA Certificate - x3.crt Your EssentialSSL Wildcard Certificate - mydomain.crt ตอนนี้เพื่อติดตั้งใบรับรองของฉันใน apache: ฉันจำเป็นต้องเปิดเผยใบรับรองรูท CA หรือไม่? เนื่องจาก apache อนุญาตเพียง 1 SSLCertificateChainFiledirective ฉันควรสร้างไฟล์บันเดิลของ CA ระดับกลางหรือไม่ ถ้าเป็นเช่นนั้น ลำดับของใบรับรองในไฟล์บันเดิลจะถูกย้อนกลับดังนี้: cat x3.crt x2.crt x1.crt> myca.bunndle หากต้องเพิ่มใบรับรองรูทจะถือเป็นใบรับรองล่าสุด …

14 apache-2.2  security  ssl  ssl-certificate 

ฉันปกป้องเว็บโฟลเดอร์ด้วยโมดูล Auth_Basic ของ Nginx ปัญหาคือเราสามารถลองรหัสผ่านหลาย ๆ จนกว่ามันจะใช้งานได้ (การโจมตีแบบเดรัจฉานบังคับ) มีวิธี จำกัด จำนวนครั้งที่พยายามล้มเหลวอีกครั้งหรือไม่

14 security  nginx 

ฉันต้องการสร้างบัญชีที่คล้ายกับ Domain Admin แต่ไม่สามารถเข้าถึงตัวควบคุมโดเมน กล่าวอีกนัยหนึ่งบัญชีนี้จะมีสิทธิ์ผู้ดูแลระบบแบบเต็มสำหรับเครื่องไคลเอนต์ใด ๆ ในโดเมนสามารถเพิ่มเครื่องลงในโดเมน แต่มีสิทธิ์ของผู้ใช้ที่ จำกัด เฉพาะกับเซิร์ฟเวอร์ บัญชีนี้จะถูกใช้โดยบุคคลในบทบาทการสนับสนุนทางเทคนิคของผู้ใช้ปลายทาง พวกเขาควรมีสิทธิ์เข้าถึงเครื่องไคลเอนต์สำหรับการติดตั้งไดรเวอร์แอพพลิเคชั่น ฯลฯ ... แต่ฉันไม่ต้องการมันบนเซิร์ฟเวอร์ ในขณะที่ฉันอาจจะโยนบางสิ่งบางอย่างร่วมกันผ่านนโยบายมันอาจจะยุ่งดังนั้นฉันคิดว่าฉันควรถามว่า: อะไรคือวิธีที่เหมาะสมที่จะไปเกี่ยวกับเรื่องนี้?

14 security  active-directory 

ฉันอ่านเกี่ยวกับการโจมตีCRIMEจากการบีบอัด TLS ( CVE-2012-4929 , CRIME เป็นผู้สืบทอดการโจมตี BEAST กับ ssl & tls) และฉันต้องการปกป้อง webservers ของฉันจากการโจมตีนี้โดยการปิดใช้งานการบีบอัด SSLซึ่งถูกเพิ่มใน Apache 2.2.22 (ดูBug 53219 ) ฉันใช้ Scientific Linux 6.3 ซึ่งมาพร้อมกับ httpd-2.2.15 การแก้ไขความปลอดภัยสำหรับรุ่นอัปสตรีมของ httpd 2.2 ควรย้อนกลับไปที่เวอร์ชันนี้ # rpm -q httpd httpd-2.2.15-15.sl6.1.x86_64 # httpd -V Server version: Apache/2.2.15 (Unix) Server built: Feb 14 2012 09:47:14 Server's …

14 apache-2.2  security  tls  mod-ssl 

ฉันได้ดูคำถามมากมายที่นี่ค่อนข้างเกี่ยวข้องกับสิ่งที่ฉันพยายามทำ บางทีหน้าต่างยังไม่ได้รับบนรถไฟรักษาความปลอดภัย ฉันไม่ได้พยายามใช้ sftp หรือ WinSCP หรือ SSH โดยทั่วไปสิ่งที่ฉันต้องทำคือคัดลอกไฟล์จาก \ server1 \ xxx \ to \ server2 \ yyy สิ่งนี้จะต้องทำทุกวัน ฉันไม่สามารถติดตั้ง FTP บนเซิร์ฟเวอร์ใดเซิร์ฟเวอร์หนึ่ง Server 2012 r2 เป็นระบบปฏิบัติการ อย่างไรก็ตามมีข้อกังวลเกี่ยวกับข้อมูลในการขนส่ง มีวิธีการดั้งเดิมใน windows เพื่อคัดลอกไฟล์อย่างปลอดภัยหรือไม่ Robocopy ทำงานได้ดีกับสิ่งที่ฉันต้องการ แต่ฉันไม่เห็นวิธีที่ปลอดภัยไฟล์จากจุด A ถึงจุด B

13 windows  security  copying 

ปลอดภัยไหมที่จะเชื่อมต่อเซิร์ฟเวอร์โดยใช้ SSH จากโรงแรมระหว่างการเดินทาง? เซิร์ฟเวอร์ : - CentOS 7 - การอนุญาตโดยคีย์ RSA เท่านั้น - การรับรองความถูกต้องรหัสผ่านถูกปฏิเสธ - พอร์ตที่ไม่ได้มาตรฐาน เวิร์กสเตชัน : - Ubuntu 14 - รหัสผ่านผู้ใช้ - รหัสผ่านเพื่อใช้คีย์ RSA (วิธีมาตรฐาน) อาจเป็นความคิดที่ดีที่จะเก็บคีย์ส่วนตัวครึ่งหนึ่งไว้ใน USB Stick และโดยอัตโนมัติ (โดยสคริปต์) จะเพิ่มครึ่งนี้เป็น ~ / .ssh / private_key ก่อนทำการเชื่อมต่อ? อินเทอร์เน็ตจะมีทั้ง WiFi ในโรงแรมหรือเคเบิลในอพาร์ตเมนต์ที่เช่า UPD ขออภัยที่ไม่ชัดเจนในตอนแรก ฉันหมายถึงความปลอดภัยในสองด้านที่นี่: ความปลอดภัยของการเชื่อมต่อ SSH ผ่านเครือข่ายที่ไม่น่าเชื่อถือ ความปลอดภัยของคอมพิวเตอร์ที่มีรหัสที่จำเป็นสำหรับการเชื่อมต่อ SSH …

13 security  physical-security