คำถามติดแท็ก security

ฉันเล่นกับกล่อง CentOS มาสองสามปีแล้ว ดังนั้นฉันจึงค่อนข้างสบายกับเทอร์มินัล อย่างไรก็ตามฉันอ่านบล็อกโพสต์จำนวนมากโดยอ้างว่า chroot ไม่ปลอดภัยและจำนวนโพสต์เหล่านั้นน่ากลัว เป็นเช่นนั้นจริงเหรอ? ทำไม? ฉันใช้ chroot เพื่อล็อคผู้ใช้ SFTP เท่านั้นในบริบทเฉพาะโดยไม่มีเชลล์หรือคำสั่งใด ๆ เลย จริงๆแล้วปัญหาด้านความปลอดภัยกับสิ่งนั้นคืออะไร? คำถามที่ถูกเนรเทศออกจากStackOverflow

12 linux  centos  security  chroot 

เมื่อฉันพิมพ์บางสิ่งบางsudo apt-get install firefoxอย่างทุกอย่างจะทำงานจนกว่าจะถามฉัน: After this operation, 77 MB of additional disk space will be used. Do you want to continue [Y/n]? Y ข้อความแสดงข้อผิดพลาดจะปรากฏขึ้น: Failed to fetch: <URL> กฎ iptables ของฉันมีดังนี้: -P INPUT DROP -P OUTPUT DROP -P FORWARD DROP -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo …

12 security  iptables  firewall 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์ ปิดให้บริการใน5 ปีที่ผ่านมา บางคนในกลุ่มโครงสร้างพื้นฐานของเราต้องการอัปเกรดเพื่อเริ่มใช้ประโยชน์จากคุณสมบัติใหม่ใน RHEL 6 ในอดีตฉันอาศัยคู่มือ NSA (www.nsa.gov/ia/_files/os/redhat/rhel5-guide-) i731.pdf) เพื่อรักษาความปลอดภัยการติดตั้ง RHEL 5 และ CentOS 5 ฉันพบว่าคู่มือนี้มีค่า ใครบ้างที่มีประสบการณ์ในการรักษา RHEL / CentOS 6 ในลักษณะที่คล้ายกัน? ถ้าเป็นเช่นนั้นคุณใช้ประโยชน์จากทรัพยากรใด (เป็นลายลักษณ์อักษรหรือที่ปรึกษา)? ฉันได้ยินจากเพื่อนร่วมงานบางคนว่ารุ่น 6 แตกต่างจากรุ่น 5 อย่างมากในหลาย ๆ ทางดังนั้นฉันไม่ต้องการทิ้งช่องโหว่ไว้ในความปลอดภัยของเราเพราะฉันไม่ได้คำนึงถึงความแตกต่างเหล่านั้นอย่างเพียงพอ คู่มือของ Red Hat สำหรับ RHEL 6 ( http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/index.html ) นั้นเพียงพอจริงหรือ มีใครบ้างที่จะบอกว่าถ้าคุณไม่มีเหตุผลการทำงานที่น่าสนใจคุณควรหยุดการอัปเกรดจาก 5 เป็น 6 …

12 security  documentation  rhel6 

อะไรคือสิทธิ์น้อยที่สุดที่สมบูรณ์แบบในรูปแบบฐานแปดสำหรับสิ่งต่อไปนี้ในเว็บแอปพลิเคชันที่เขียน? ไดเร็กทอรีที่ผู้ใช้อัพโหลดไฟล์สแตติก (ไฟล์อิมเมจ / swf / js) จะอยู่ ไดเรกทอรีที่ผู้ดูแลระบบอัปโหลดไฟล์คงที่ (ไฟล์รูปภาพ / swf / js) จะอยู่ ไดเรกทอรีที่ใช้ไลบรารีในแอปพลิเคชัน ไดเรกทอรีที่สคริปต์ด้านเซิร์ฟเวอร์ที่เรียกทำงาน / เรียกดูได้จะอยู่ ไดเรกทอรีที่ไฟล์ที่มีอยู่แล้ว (txt หรือ xml) จะถูกแก้ไขโดยรหัสทางฝั่งเซิร์ฟเวอร์ นี่คือคำแนะนำและเหตุผลของฉัน 555 ทุกคนสามารถอ่านและเขียนได้ไม่มีใครสามารถดำเนินการได้ 544 เจ้าของคนเดียวเท่านั้นที่สามารถเขียนได้ทุกคนสามารถอ่านได้เท่านั้นไม่มีใครสามารถดำเนินการได้ 000 ไม่มีใครต้องการอ่านเขียนหรือดำเนินการจะถูกใช้โดยเว็บเซิร์ฟเวอร์เท่านั้น 661 เจ้าของสามารถอ่านเขียนทุกคนเท่านั้นที่สามารถดำเนินการได้ 600 เจ้าของสามารถอ่านเขียน (อาจไม่จำเป็น) ไม่มีใครสามารถทำอะไรได้ ตอนนี้ฉันสนใจสองสิ่ง: มีบางสิ่งที่ใช้กันทั่วไปในแอปพลิเคชันที่ทำงานบนเว็บที่ฉันพลาดในรายการแรกหรือไม่? มีอะไรที่คุณไม่เห็นด้วยในรายการที่สองทางเลือกของคุณคืออะไรและทำไมมันถึงดีกว่า

12 linux  permissions  web-applications  security 

ฉันได้อ่านฟอรัมบางส่วนเกี่ยวกับ pfSense ที่บอกว่าเป็นอันตรายต่อการจำลองเสมือน pfSense เหตุผลที่ระบุไว้คือผู้โจมตีสามารถใช้ pfsense เป็นกระดานกระโดดน้ำสำหรับการโจมตีบนไฮเปอร์ไวเซอร์จากนั้นใช้เพื่อเข้าถึงเครื่องเสมือนอื่นและในที่สุดก็ทำให้ทุกอย่างออฟไลน์ มันฟังดูบ้าสำหรับฉัน แต่มีความเป็นจริงในความคิดนั้นไหม? การใช้เราเตอร์ในเซิร์ฟเวอร์เสมือนเป็นความคิดที่ไม่ดีหรือไม่?

12 virtualization  router  pfsense  security 

ขณะนี้เรากำลังดำเนินการ แต่อย่าเก็บข้อมูลบัตรเครดิต เราอนุญาตบัตรผ่านแอปพลิเคชันที่พัฒนาขึ้นเองโดยใช้ authorize.net API หากเป็นไปได้เราต้องการ จำกัด ข้อกำหนดทั้งหมดของ PCI ที่มีผลต่อเซิร์ฟเวอร์ของเรา(เช่นการติดตั้งโปรแกรมป้องกันไวรัส) ในสภาพแวดล้อมที่แยกต่างหาก เป็นไปได้ที่จะทำในขณะที่ยังคงปฏิบัติตาม? ถ้าเป็นเช่นนั้นสิ่งที่จะแยกความพอเพียง? ถ้าไม่มีขอบเขตที่กำหนดไว้ชัดเจนหรือไม่

12 security  pci-dss 

เราเป็นร้านค้าที่ค่อนข้างเล็ก (เท่าของจำนวน sysadmins) ด้วยการผสมผสานของ RHEL, Solaris, Windows 2003 และ Windows 2008; ประมาณ 200 เซิร์ฟเวอร์ในทุก ๆ สำหรับบัญชีผู้ดูแลระบบของเรา ( rootใน Linux และadmnistratorใน Windows) เรามีรูปแบบรหัสผ่านที่ขึ้นอยู่กับตำแหน่งศูนย์ข้อมูลและคุณสมบัติอื่น ๆ ของเซิร์ฟเวอร์ บน Linux ปฏิบัติในปัจจุบันของเราคือการสร้างร่วมกันบัญชีที่ไม่ใช่สิทธิพิเศษที่เราสามารถที่จะsu rootในระบบที่ใช้ Windows เราสร้างบัญชีเพิ่มเติมด้วยสิทธิ์ผู้ดูแลระบบ บัญชีทั้งสองนี้ใช้รหัสผ่านเดียวกัน สิ่งนี้ได้พิสูจน์แล้วว่าไม่มีประสิทธิภาพมาก เมื่อใครบางคนออกจากร้านค้าของเราเราต้อง: เปลี่ยนรูปแบบรหัสผ่านสำหรับบัญชีผู้ดูแลระบบ สร้างรหัสผ่านผู้ดูแลระบบใหม่สำหรับเซิร์ฟเวอร์แต่ละเครื่องและทุกเซิร์ฟเวอร์ มากับรหัสผ่านบัญชีที่ไม่ใช่ผู้ดูแลระบบใหม่ แตะเซิร์ฟเวอร์ทุกเครื่องและเปลี่ยนรหัสผ่าน ฉันอยากรู้ว่าใครในสภาพแวดล้อมที่คล้ายกันสามารถแนะนำวิธีการจัดการข้อมูลรับรองเหล่านี้ได้อย่างมีสติ ข้อมูลที่เกี่ยวข้องบางอย่าง: แม้ว่าเซิร์ฟเวอร์ของเราส่วนใหญ่เป็นส่วนหนึ่งของโดเมนโฆษณาของเรา แต่ไม่ใช่ทั้งหมด เราจัดการเซิร์ฟเวอร์ Linux ทั้งหมดของเราด้วย Puppet (การตรวจสอบความถูกต้องที่สำคัญคือตัวเลือกที่ฉันคิด เราจัดหา Linux severs ด้วย …

12 linux  windows-server-2008  security  active-directory  puppet 

ฉันพยายามใช้การควบคุมการเข้าถึง HTTPข้ามโดเมนโดยไม่ต้องแตะรหัสใด ๆ ฉันมีเซิร์ฟเวอร์ Apache (2) ของฉันคืนส่วนหัวการควบคุมการเข้าถึงที่ถูกต้องด้วยบล็อกนี้: Header set Access-Control-Allow-Origin "*" Header set Access-Control-Allow-Methods "POST, GET, OPTIONS" ตอนนี้ผมต้องป้องกันไม่ให้ Apache จากการดำเนินการรหัสของฉันเมื่อเบราว์เซอร์ส่งHTTP OPTIONSคำขอ (มันเก็บไว้ในREQUEST_METHODตัวแปรสภาพแวดล้อม) 200 OKกลับ ฉันจะกำหนดค่า Apache ให้ตอบสนอง "200 OK" เมื่อวิธีการร้องขอเป็นตัวเลือกได้อย่างไร ฉันได้ลองmod_rewriteบล็อกนี้แล้ว แต่ส่วนหัวการควบคุมการเข้าถึงหายไป RewriteEngine On RewriteCond %{REQUEST_METHOD} OPTIONS RewriteRule ^(.*)$ $1 [R=200,L]

12 apache-2.2  security  mod-rewrite  http 

เมื่อดูบันทึก 404 รายการของฉันฉันสังเกตเห็น URL สองรายการต่อไปนี้ซึ่งทั้งคู่เกิดขึ้นครั้งเดียว: /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ และ /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00 หน้าคำถามlibrary.phpต้องใช้typeตัวแปรที่มีค่าที่ยอมรับได้แตกต่างกันครึ่งโหลแล้วจึงเป็นidตัวแปร ดังนั้น URL ที่ถูกต้องอาจเป็น library.php?type=Circle-K&id=Strange-Things-Are-Afoot และรหัสทั้งหมดจะถูกเรียกใช้mysql_real_escape_stringก่อนที่จะถูกใช้เพื่อสอบถามฐานข้อมูล ฉันเป็นมือใหม่ แต่สำหรับฉันแล้วดูเหมือนว่าลิงก์ทั้งสองนี้เป็นการโจมตีแบบง่าย ๆ กับ webroot? 1)วิธีที่ดีที่สุดในการป้องกันสิ่งต่าง ๆ เหล่านี้นอกเหนือจาก 404 2)ฉันควรอนุญาต IP ที่รับผิดชอบหรือไม่ แก้ไข:เพิ่งสังเกตเห็นสิ่งนี้ /library.php=http://www.basfalt.no/scripts/danger.txt แก้ไข 2: IP ที่ละเมิดสำหรับการโจมตีทั้ง 3 ครั้งนั้น216.97.231.15มีร่องรอยของ ISP ที่เรียกว่า Lunar Pages ซึ่งอยู่นอกลอสแองเจลิส แก้ไข 3:ฉันตัดสินใจโทร ISP ตามเวลาท้องถิ่นในเช้าวันศุกร์และหารือเกี่ยวกับปัญหากับใครก็ตามที่ฉันสามารถโทรศัพท์ได้ ฉันจะโพสต์ผลลัพธ์ที่นี่ภายใน 24 ชั่วโมงหรือมากกว่านั้น แก้ไข 4:ฉันสิ้นสุดการส่งอีเมลผู้ดูแลระบบของพวกเขาและพวกเขาตอบก่อนว่า "พวกเขากำลังมองหามัน" และจากนั้นอีกหนึ่งวันต่อมากับ …

12 security  mysql  php  hacking 

ฉันอ่านMIT 6.893 การบรรยายเกี่ยวกับการที่จะกล่าวว่าการป้องกันในระบบปฏิบัติการยูนิกซ์เป็นระเบียบไม่มีหลักการพื้นฐานและมันยังชี้ให้เห็นว่า Windows มีทางเลือกที่ดีขึ้นซึ่งสามารถส่งผ่านสิทธิพิเศษจากกระบวนการหนึ่งไปยังอีกกว่า IPC ในความเห็นของฉันถึงแม้ว่าดูเหมือนว่าผู้ใช้ Windows จะถูกไวรัสและช่องโหว่มากกว่า แต่ฉันเชื่อว่าส่วนใหญ่เป็นเพราะผู้ใช้ Windows ส่วนใหญ่เป็นผู้ใช้คอมพิวเตอร์ที่มีประสบการณ์น้อยและแพลตฟอร์ม Windows ดึงดูดผู้โจมตีมากขึ้นเนื่องจากมีผู้ใช้มากขึ้น ฉันต้องการที่จะรู้ว่ามีรายละเอียดเพิ่มเติมบทความหรือกระดาษเปรียบเทียบกลไกความปลอดภัยและการออกแบบใน Windows และ Linux?

12 linux  windows  security 

ฉันกำลังคิดที่จะใช้บริการคลาวด์เพื่อสำรองข้อมูลหนึ่งในเว็บไซต์ของลูกค้าของฉัน ข้อกังวลหลักของฉัน (ลูกค้า) คือ (เพื่อลดความสำคัญ) การป้องกัน IP (ความลับทางการค้ารหัสแหล่งที่มา) รายละเอียดบัญชีผู้ใช้อื่น ๆ การรับประกันความต่อเนื่องที่นำเสนอโดยผู้ให้บริการ (เพื่อลดเวลาเซิร์ฟเวอร์ลง) ราคา ความเร็วในการอัพโหลด / ดาวน์โหลด เป็นการดีที่ฉันต้องการบริการที่ไม่มีการผูกกันมานาน (เช่นฉันต้องการบริการ "จ่ายตามการใช้งาน") ฉันต้องการหลีกเลี่ยงผู้ขายล็อคอินซึ่งเป็นไปไม่ได้ที่จะย้ายไปใช้บริการอื่น ฉันต้องการแนวทางทั่วไปบางประการเกี่ยวกับ: จะไปเกี่ยวกับการเลือกผู้ให้บริการ ใครคือผู้เล่นหลักในสนาม ข้อเสนอแนะของซอฟต์แวร์ที่จะใช้สำหรับ: สำรอง / กู้คืน / และอัปโหลด / ดาวน์โหลดไฟล์ที่บันทึก / กู้คืน ซอฟต์แวร์เซิร์ฟเวอร์อาจเป็น Ubuntu หรือ Debian (ฉันอาจโพสต์คำถามว่าระบบปฏิบัติการใดที่จะใช้เป็นเซิร์ฟเวอร์ - ฉันคุ้นเคยกับ Ubuntu แล้ว)

12 ubuntu  security  backup  debian  cloud-storage 

หลังจากค้นหาคำถามก่อนหน้านี้ที่นี่ฉันทามติทั่วไปน่าจะเป็นว่าอินสแตนซ์ที่ฉันเป็นเจ้าของได้รับการกำหนด IP ส่วนตัวของ 10.208.34.55 ว่ามีเพียงสถาบันอื่น ๆ ที่ฉันเป็นเจ้าของเท่านั้นที่สามารถเข้าถึงได้ตามที่อยู่นั้น ดู: วิธีเข้ารหัสทราฟฟิกระหว่างสองอินสแตนซ์ Amazon EC2 ถูกต้องหรือไม่ ดังนั้นฉันสามารถรักษาอินสแตนซ์ทั้งหมดของฉันราวกับว่าพวกเขาอยู่บน LAN และรับรองความถูกต้องและเชื่อถือเครื่องใด ๆ ที่มาจาก 10.XXX.XXX.XXX เพราะฉันแน่ใจว่าฉันเป็นเจ้าของมัน ฉันแค่อยากจะแน่ใจ ฉันพบว่าอเมซอนดูเหมือนว่าจะสนใจในบทกวีแว็กซ์เกี่ยวกับ The Cloud และตัวย่อ 3 ตัวของมันมากกว่าที่เป็นจริงโดยให้เอกสารทางเทคนิคที่ชัดเจน

12 networking  security  amazon-ec2  amazon-web-services 

ฉันกำลังมองหาวิธีที่ดีที่สุดในการส่งรหัสผ่านทางอินเทอร์เน็ตอย่างปลอดภัย ตัวเลือกที่ฉันดูคือไฟล์ PGP และไฟล์ RAR ที่เข้ารหัส ไม่มีพารามิเตอร์จริงอื่นใดนอกจากการได้รับจากจุดหนึ่งไปยังอีกจุดหนึ่งเหนืออินเตอร์เน็ตโดยไม่มีความเสี่ยงมากเกินไป

12 security  password 

ฉันต้องตรวจสอบกฎไฟร์วอลล์ของไฟร์วอลล์ CheckPoint สำหรับลูกค้า (ที่มีกฎมากกว่า 200 ข้อ) ฉันเคยใช้FWDocมาก่อนเพื่อแยกกฎและแปลงเป็นรูปแบบอื่น ๆ แต่มีข้อผิดพลาดบางประการที่มีการยกเว้น จากนั้นฉันวิเคราะห์ด้วยตนเองเพื่อสร้างกฎที่ปรับปรุงแล้ว (โดยทั่วไปคือ OOo Calc) พร้อมข้อคิดเห็น ฉันรู้ว่ามีเทคนิคการสร้างภาพหลายอย่าง แต่พวกเขาทั้งหมดลงไปวิเคราะห์การจราจรและฉันต้องการการวิเคราะห์แบบคงที่ ดังนั้นฉันสงสัยว่าคุณทำตามกระบวนการวิเคราะห์กฎไฟร์วอลล์อย่างไร คุณใช้เครื่องมืออะไร (ไม่เพียง แต่สำหรับจุดตรวจเท่านั้น)?

12 security  firewall  checkpoint 

การถูกหวาดระแวงถือว่าเป็น 'ความต้องการ' (ไม่ได้พูด) เพื่อให้ผู้ดูแลระบบ Sys / Net มี (เพื่อเหตุผลด้านความปลอดภัย) หรือไม่? มีสิ่งที่เป็นความหวาดระแวงมากเกินไปหรือไม่หรือเราควรจะเชื่อใจผู้อื่นและไม่ได้อาศัยอยู่อย่างสมบูรณ์ในการตั้งคำถามผ่านแว่นตาจิตเภท? มี 'พื้นกลาง' สำหรับคุณลักษณะนี้เมื่อพูดถึงเรื่องความปลอดภัยหรือไม่? (โดยทั่วไปสิ่งที่ฉันถามคือคุณจะจ้างใคร) UPDATE:ฉันไม่ได้คาดหวังว่าผู้คนจะให้ความสำคัญกับคำว่า "PARANOIA"มากนัก โปรดอย่าอยู่มากเกินไปฉันอาจใช้คำอื่นได้ แต่ Paranoia เป็นคำที่เรามักใช้เพื่อความปลอดภัย ฉันเคยได้ยิน "หวาดระแวงเกินไป" และ "จำเป็นต้องหวาดระแวงมากขึ้น" จากกลุ่มของไอทีพื้นบ้าน

12 security