คำถามติดแท็ก security

นี่อาจเป็นคำถาม noob แต่ฉันจะทราบได้อย่างไรว่ากุญแจ SSH สาธารณะที่ใครบางคนให้ฉันมีวลีรหัสผ่านหรือไม่? เรามีสถานการณ์ที่ฉันไม่ได้สร้างคีย์ SSH สำหรับผู้ใช้ แต่ฉันต้องการตรวจสอบให้แน่ใจว่าทุกคีย์ SSH ที่ฉันวางไว้บนเซิร์ฟเวอร์มีข้อความรหัสผ่าน แต่ฉันรู้สึกว่าข้อความรหัสผ่านเป็นเพียงส่วนหนึ่งของคีย์ส่วนตัว ขอบคุณ!

13 linux  security  ssh 

ใน IIS 5.0 โดยค่าเริ่มต้นบัญชีข้อมูลประจำตัวของกลุ่มแอพลิเคชันคือ ASPNET และเว็บไซต์ยกเว้นว่ามีการเปิดใช้งานการรับบทบาทให้เรียกใช้ภายใต้บัญชีของข้อมูลประจำตัวของกลุ่มแอพลิเคชัน แต่ใน IIS 7.0 มีสองที่ที่ฉันสามารถกำหนดค่าบัญชีที่เว็บไซต์ของฉันจะใช้ ที่ระดับกลุ่มแอพพลิเคชั่นและระดับเว็บไซต์ ฉันคาดว่าข้อมูลประจำตัวของเว็บไซต์จะแทนที่ข้อมูลประจำตัวของกลุ่มแอปพลิเคชัน แต่ฉันเพิ่งเห็นว่าไม่ใช่กรณี ดังนั้นความแตกต่างคืออะไร?

13 security  iis  iis-7  application-pools 

ฉันอาจจะฝันที่นี่ แต่มีวิธีที่เชื่อถือได้สำหรับการตรวจจับซอฟต์แวร์ keylogger หรือไม่ ฉันเป็นนักพัฒนาเป็นหลัก แต่ฉันใช้เซิร์ฟเวอร์คู่และสิ่งที่ทำให้ฉันกังวลมากที่สุดคือซอฟต์แวร์ keylogger ในระบบส่วนบุคคลที่ทำงานได้ดีในการรักษาความเงียบ มีวิธีใดบ้างที่จะตรวจสอบให้แน่ใจว่าไม่มี keylogger ซอฟต์แวร์ในระบบส่วนบุคคลของฉันรบกวนรหัสผ่าน RDP ทั้งหมดของฉัน

13 security 

จากข้อมูลของศูนย์ Storm Internetดูเหมือนว่าจะมีการใช้ประโยชน์จากศูนย์ SSH เป็นระยะเวลาหนึ่งวัน มีการพิสูจน์โค้ดแนวคิดในที่นี่และการอ้างอิงบางส่วน: http://secer.org/hacktools/0day-openssh-remote-exploit.html http://isc.sans.org/diary.html?storyid=6742 นี่เป็นปัญหาร้ายแรงดังนั้นผู้ดูแลระบบ Linux / Unix ทุกคนควรระวัง เราจะป้องกันตัวเองได้อย่างไรหากปัญหานี้ไม่ได้รับการแก้ไขในเวลา? หรือคุณจัดการกับการหาประโยชน์ที่ไม่มีวันได้โดยทั่วไปอย่างไร? * ฉันจะโพสต์ข้อเสนอแนะของฉันในการตอบกลับ

13 linux  security  ssh  hacking  exploit 

ตามที่เป็นอยู่ในปัจจุบันคำถามนี้ไม่เหมาะสำหรับรูปแบบคำถาม & คำตอบของเรา เราคาดหวังว่าคำตอบจะได้รับการสนับสนุนจากข้อเท็จจริงการอ้างอิงหรือความเชี่ยวชาญ แต่คำถามนี้อาจเรียกร้องให้มีการอภิปรายโต้แย้งโต้แย้งหรือการอภิปรายเพิ่มเติม หากคุณรู้สึกว่าคำถามนี้สามารถปรับปรุงและเปิดใหม่ได้โปรดไปที่ศูนย์ช่วยเหลือเพื่อขอคำแนะนำ ปิดให้บริการใน8 ปีที่ผ่านมา หลังจากเพิ่งได้รับอีเมลจากซัพพลายเออร์แจ้งให้เราทราบว่าพวกเขาจะบังคับให้เราเปลี่ยนรหัสผ่านของเราทุก ๆ หกเดือนฉันอยากรู้ว่าผู้คนใช้นโยบายการหมดอายุของรหัสผ่านใดและทำไมพวกเขาถึงใช้พวกเขา

13 password  security 

ปิด คำถามนี้เป็นคำถามความคิดเห็นตาม ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้สามารถตอบข้อเท็จจริงและการอ้างอิงได้โดยแก้ไขโพสต์นี้ ปิดให้บริการใน5 ปีที่ผ่านมา ฉันต้องการทราบข้อดีข้อเสียของเหตุผลและต่อต้านแนวคิดของ sys admin ที่ดูแลรายการบัญชีผู้ใช้ด้วยรหัสผ่านและไม่อนุญาตให้ผู้ใช้เปลี่ยนรหัสผ่าน ฉันเข้าใจว่าระบบเช่น Windows ดูเหมือนจะสนับสนุนความคิดที่ว่าผู้ใช้ควรรักษาความปลอดภัยรหัสผ่านของตนเองและได้รับอนุญาตให้เปลี่ยนรหัสผ่านได้ตามต้องการ ฉันสามารถชื่นชมความต้องการความเป็นส่วนตัวและผู้ใช้ที่มีข้อแก้ตัวเพื่อปกป้องตัวเองในกรณีที่คำว่าเพื่อนร่วมงานไม่เห็นด้วยกับบันทึกของระบบ แต่ในเวลาเดียวกันฉันยังสามารถดูว่าบางคนอาจแสดงให้เห็นถึงการมีรหัสผ่านของผู้ใช้ในไฟล์ในกรณีที่จำเป็นต้องเข้าถึงเนื้อหาบางส่วนที่ผู้ใช้อาจต้องการเก็บไว้เป็นส่วนตัว ฉันชอบที่จะได้รับการศึกษาความคิดนี้จริงๆ

13 security  password  privacy  permissions 

เมื่อปรับใช้เว็บแอปพลิเคชัน (.net) กับสภาพแวดล้อมการผลิตจะดีกว่าหรือไม่ที่จะใช้การรักษาความปลอดภัยแบบบูรณาการ ดูเหมือนว่าสำหรับฉันหากแฮกเกอร์ทำลายเว็บเซิร์ฟเวอร์มันจะไม่สำคัญเพราะพวกเขาสามารถเลียนแบบเครื่องได้อย่างง่ายดาย คิด?

13 sql-server  security  web-applications 

ฉันจะเปิดใช้งาน crypt_blowfish รองรับรหัสผ่านเงาและ PHP บนเซิร์ฟเวอร์ Linux (Debian) ได้อย่างไร ฉันหมายถึงbcryptในรูปแบบ OpenBSDซึ่งเป็นที่รู้จักในภาษา PHP ว่า CRYPT_BLOWFISH เท่าที่ฉันรู้ว่าไม่มีแพ็คเกจเดเบียนสำหรับตัวเลือกอื่น ๆ ฉันต้องเปิดใช้งานอัลกอริทึมการแฮชนี้สำหรับ PHP หรือไม่ หมายเหตุ: อินเทอร์เฟซ ของcrypt () fuctionของ PHP ค่อนข้างตรงกับฟังก์ชันC-library crypt (3) ที่จัดเตรียมโดยระบบปฏิบัติการ การอัปเดต การตั้งชื่อแพ็คเกจไม่ชัดเจนเท่าที่ควร (ควร) แพคเกจ PEAR Crypt_Blowfishเป็นดรอปแทนสำหรับการขยาย Mcrypt ของ PHP เพื่อให้สามารถได้อย่างรวดเร็วสองทางเข้ารหัสปักเป้า นอกจากนี้แพคเกจ Debian BCrypt ยังใช้งานอัลกอริทึมปักเป้าสองทาง 'ปกติ' สิ่งที่ฉันกำลังมองหาคือการใช้ Bcrypt-hash สำหรับรหัสผ่านการแฮช

13 security  debian  hash 

การค้นหาอินเทอร์เน็ตด้วยเครื่องมือค้นหาบน MySQL และ fail2ban ให้ผลลัพธ์จำนวนมากในการวาง fail2ban ของคุณลงใน MySQL แต่ฉันต้องการตรวจสอบความล้มเหลวของ MySQL พยายามที่จะเข้าสู่ระบบและห้าม IP ของเหล่านั้น แอปพลิเคชันของฉันต้องการให้ฉันเปิดพอร์ตไว้สำหรับ MySQL แต่ฉันได้เปลี่ยนพอร์ตเริ่มต้นเพื่อเพิ่มความปลอดภัย เพื่อความปลอดภัยเพิ่มเติม แต่ฉันต้องการตรวจสอบล็อก MySQL ด้วย fail2ban ใครบ้างมีคำแนะนำอย่างรวดเร็วในการกำหนดค่า fail2ban สำหรับ MySQL? ฉันได้ทำการติดตั้งและทำงานกับบริการอื่น ๆ แล้วดังนั้นคุณสามารถข้ามส่วนการติดตั้งและข้ามไปทางขวาเพื่อกำหนดค่าไฟล์ปรับแต่งหรืออะไรก็ตามที่จำเป็น

13 mysql  security  iptables  fail2ban 

เซิร์ฟเวอร์ที่ฉันใช้คือ Ubuntu 10.10 เพื่อความปลอดภัยฉันต้องการแก้ไขแบนเนอร์ที่เซิร์ฟเวอร์ส่งถึงลูกค้า ถ้าฉันโทรไปยังโฮสต์ที่พอร์ต 22 ฉันจะบอก SSH เวอร์ชั่นที่แน่นอนที่ฉันกำลังใช้อยู่ (SSH-2.0-OpenSSH_5.3p1 Debian-3ubuntu4) สถานการณ์เหมือนกันกับ MySQL และ Cyrus ข้อเสนอแนะใด ๆ อย่างน้อยสำหรับ SSH ขอบคุณ

13 linux  security 

ฉันเพิ่งพบข้อโต้แย้งเกี่ยวกับการปิดใช้งานการเข้าสู่ระบบของผู้ใช้รูทใน Linux ที่http://archives.neohapsis.com/archives/openbsd/2005-03/2878.html ฉันสมมติว่าหากทุกคนใช้การพิสูจน์ตัวตนด้วยรหัสสาธารณะจะไม่มีความเสี่ยงในการสูญเสียรหัสผ่านรูท มันจะดีกว่าเสมอหากปิดการใช้งานการเข้าสู่ระบบรูทผ่าน ssh?

13 linux  security  ssh 

ฉันโฮสต์บางเว็บไซต์บนเซิร์ฟเวอร์ของฉันที่ใช้ Apache Httpd แต่ละเว็บไซต์มีโดเมนของตัวเองหรือโดเมนย่อยและโฮสต์เสมือน ดังนั้นฉันไม่จำเป็นต้องรูทเอกสารเริ่มต้น มันเป็นไปได้ที่จะปิดการใช้งานDocumentRootใน/etc/httpd/conf/httpd.conf?

13 apache-2.2  security  httpd.conf  documentroot 

ฉันกำลังเล่นกับการเชื่อมโยงและเริ่มสงสัยว่าทำไมซอฟต์แวร์นี้เป็นเช่นใน CentOS ทำงานใน chroot อย่าเข้าใจฉันผิดฉันรู้ว่าการผูกคืออะไรและ chroot (คุก) มีไว้เพื่ออะไร แต่คำถามหลักของฉันคือการผูกที่ไม่มี chroot ไม่ปลอดภัยมาก? เป็นอันตรายหรือไม่หากตั้งค่าโดยไม่ต้องติดคุก (มากกว่าบริการหรือซอฟต์แวร์อื่น ๆ ) ในระบบมีหลาย proccesses ทำงานโดยไม่ต้อง chroot และฉันคิดว่าการประนีประนอมของใด ๆ ของพวกเขาเป็นสิ่งที่อันตรายมาก แต่สิ่งที่ทำให้ชื่ออันตรายมากขึ้นแล้วซอฟต์แวร์อื่น ๆ ที่ทำงานโดยไม่ต้อง chroot?

12 linux  security  bind  chroot 

เรากำลังใช้แพลตฟอร์มหลอกเป็นสภาพแวดล้อมการบริการ เป็นการตั้งค่าที่ค่อนข้างง่ายโดยมีโครงสร้างพื้นฐานเป็นบริการ: โดยทั่วไปลูกค้าของเราจะสามารถเข้าถึงเซิร์ฟเวอร์ของตนเองได้เราจะดูแลระบบปฏิบัติการในขณะที่ลูกค้าของเราจะมีการ จำกัด การเข้าถึงระบบปฏิบัติการ เนื่องจาก ... เหตุผลที่เราไม่อนุญาตให้ลูกค้าเข้าถึงผู้ดูแลระบบภายในเครื่องได้อย่างเต็มที่ แต่พวกเขาควรมีสิทธิ์เข้าถึงเครื่องมือการโฮสต์เว็บแบบเต็ม (IIS, SQL Server และอื่น ๆ ) ฉันรู้อย่างถ่องแท้ว่าการตั้งค่านี้มีความซับซ้อนเพียงใด แต่การตัดสินใจเหล่านี้ทำขึ้นเหนือหัวของฉันและได้ยินเสียงของฉันและไม่สนใจในเรื่องนี้ ปัญหา: เป็นไปได้หรือไม่ที่จะให้สิทธิ์การเข้าถึงระดับผู้ดูแลระบบแก่ผู้ดูแลระบบที่ไม่ใช่ผู้จัดการ IIS (ตัวจัดการ IIS ทั้งหมดไม่ใช่แค่มอบหมายไซต์)? ถ้าเป็นเช่นนั้นได้อย่างไร ขอบคุณ!

12 security  windows-server-2008-r2  iis-7.5 

คำถาม: หาก VM เกิดความเสียหาย (แฮ็ค) ฉันจะต้องเสี่ยงกับ VM ตัวอื่นที่ทำงานบนเครื่องจริงหรือไม่? มีปัญหาด้านความปลอดภัยใดบ้างระหว่าง VM ที่ใช้งานบนฟิสิคัลโฮสต์เดียวกัน มีรายการจุดอ่อนและ / หรือปัญหาที่อาจเกิดขึ้นหรือไม่ คำเตือน: ฉันรู้ว่ามีประเภท / โซลูชั่นเวอร์ชวลไลเซชันอยู่มากมายและอาจมีจุดอ่อนที่แตกต่างกัน อย่างไรก็ตามส่วนใหญ่ฉันกำลังมองหาปัญหาด้านความปลอดภัยทั่วไปเกี่ยวกับเทคนิคการจำลองเสมือนแทนที่จะเป็นบั๊กผู้จำหน่ายเฉพาะราย โปรดให้ข้อมูลจริง, การศึกษา (จริงจัง), ปัญหาที่มีประสบการณ์หรือคำอธิบายทางเทคนิค เฉพาะเจาะจง. อย่าเพียง แต่แสดงความคิดเห็นของคุณ ตัวอย่าง: สองปีที่แล้วฉันได้ยินมาว่าอาจมีปัญหาด้านความปลอดภัยที่เกี่ยวข้องกับMMU (เข้าถึงหน่วยความจำหลักของเครื่องอื่นฉันคิดว่า) แต่ฉันไม่รู้ว่ามันเป็นภัยคุกคามที่เกิดขึ้นจริงในปัจจุบันหรือเพียงแค่การวิจัยเชิงทฤษฎี เรื่อง แก้ไข:ฉันยังพบการโจมตี "Flush + Reload" นี้ที่สามารถดึงคีย์ลับ GnuPG บนเครื่องทางกายภาพเดียวกันโดยใช้ประโยชน์จากแคช L3 CPU แม้ว่า GnuPG จะทำงานบนVMอื่น GnuPG ได้รับการแก้ไขตั้งแต่

12 security  virtualization  virtual-machines  hacking  hypervisor