คำถามติดแท็ก security

มีโครงสร้างไดเรกทอรีขนาดใหญ่ที่ซับซ้อนบนพาร์ติชันNTFSขนาดใหญ่ที่สัมพันธ์กัน บางคนจัดการเพื่อให้สิทธิ์การรักษาความปลอดภัยที่ไม่ดีมาก - มีไดเรกทอรีที่มีการให้สิทธิ์ / ปฏิเสธแบบสุ่ม ฯลฯ ฉันพบข้อผิดพลาดในการอนุญาตหลายครั้งและพบการตั้งค่าการอนุญาตที่ไม่ปลอดภัยหลายครั้ง (เช่นเขียนสิทธิ์สำหรับ "ทุกคน" หรือเจ้าของที่เป็นเท็จ) ฉันไม่มีเวลาตรวจสอบทุกอย่างด้วยมือ (มันใหญ่ ) แต่โชคดีที่ความปรารถนาของฉันง่ายมาก บ่อยที่สุด: อ่าน / เขียน / ดำเนินการกับอะไรก็ได้สำหรับฉันและอาจอ่านสำหรับทุกคน เป็นไปได้ไหม ลบข้อมูลความปลอดภัยทั้งหมดออกจากไดเรกทอรี และให้ฉัน (ง่าย) ปรารถนาที่จะเขียนทับทุกสิ่งที่นั่น? บน Unix ฉันใช้ a chown -R ..., chmod -R ...ลำดับคำสั่ง อะไรที่เทียบเท่ากับ Windows?

11 windows  security 

เรามีเซิร์ฟเวอร์ป้อมปราการ B. เราจำเป็นต้อง SSH จาก A ถึง B ถึง C โดยใช้คีย์ส่วนตัว ตัวเลือกที่ดีกว่าคืออะไร: วางคีย์ SSH ส่วนตัวบนเซิร์ฟเวอร์ B เราอ่านว่าเป็นความคิดที่ดีที่จะทำเช่นนั้นในสภาพแวดล้อมการใช้งานจริง จากที่นี่ : อย่าวางกุญแจส่วนตัว SSH ของคุณบนอินสแตนซ์ป้อมปราการ ใช้ตัวแทนส่งต่อ SSH เพื่อเชื่อมต่อกับป้อมปราการก่อนและจากที่นั่นไปยังอินสแตนซ์อื่นในเครือข่ายส่วนตัว สิ่งนี้จะช่วยให้คุณเก็บรหัสส่วนตัว SSH ไว้ในคอมพิวเตอร์ของคุณ การใช้งานการส่งต่อตัวแทน SSH สำหรับการตั้งค่าการส่งต่อตัวแทนฉันต้องอนุญาตการส่งต่อ TCP เมื่อตั้งค่าการส่งต่อเอเจนต์ไฟล์ซ็อกเก็ตจะถูกสร้างขึ้นบนโฮสต์การส่งต่อซึ่งเป็นกลไกที่คีย์สามารถส่งต่อไปยังปลายทาง ในการตั้งค่า Bastion ที่ AWS: TCP ไปข้างหน้า: การตั้งค่านี้เป็นจริงจะเปิดใช้งานการส่งต่อ TCP (SSH tunneling) สิ่งนี้มีประโยชน์มาก แต่ก็มีความเสี่ยงด้านความปลอดภัยดังนั้นเราขอแนะนำให้คุณใช้การตั้งค่าเริ่มต้น (ปิดใช้งาน) ยกเว้นว่าจำเป็น จากที่นี่ : การส่งต่อตัวแทน …

10 linux  ssh  security  private-key  bastion 

ใน HKLM \ SYSTEM \ CurrentControlSet \ Services \ MY-SERVICE-NAME มีObject Nameรหัสที่มีชื่อของผู้ใช้ แต่ฉันไม่สามารถหารหัสผ่านได้ ฉันพยายามเข้าใจว่า DP API โต้ตอบกับการจัดการบริการ Windows และกระบวนการบริการอย่างไร ขอบคุณ!

10 windows  security  windows-registry 

ฉันเรียกใช้ MTA ซึ่งประกอบด้วย Postfix มาตรฐาน, SpamAssassin, ClamAV, SPF / DKIM เช็คเป็นต้น MTA นี้ใช้สำหรับอีเมลขาเข้าเท่านั้นไม่โฮสต์บัญชีใด ๆ และส่งต่อจดหมายใด ๆ ที่ผ่านการตรวจสอบดังกล่าวไปยังเว็บโฮสต์ที่ใช้ร่วมกัน ฉันทราบว่าบริการอีเมลไม่กี่แห่งกำลังเริ่มพยายามเชื่อมต่อ TLS ก่อนข้อความล้วนเมื่อพยายามส่งจดหมายไปยังเซิร์ฟเวอร์ของฉัน ฉันรู้ว่าบริการทั้งหมดไม่สามารถรองรับ TLS ได้ แต่ฉันสงสัยว่ามันใช้งานได้ดีเพียงใดเพื่อให้ฉันสามารถตอบสนองด้านความปลอดภัยของ OCD ในสมองของฉันได้ (ใช่ฉันรู้ว่า SSL ไม่ปลอดภัยเท่าที่เราเคยคิดไว้ ... ) เอกสาร Postfixสำหรับsmtpd_tls_security_levelรัฐที่RFC 2487พระราชกฤษฎีกาว่าทุกสาธารณชนอ้างอิง (เช่น MX) mailservers ไม่บังคับ TLS: ตาม RFC 2487 นี้จะต้องไม่ถูกนำมาใช้ในกรณีของเซิร์ฟเวอร์ SMTP อ้างอิงสาธารณะ ตัวเลือกนี้จึงปิดโดยปริยาย ดังนั้น: เอกสารที่เกี่ยวข้อง / เกี่ยวข้อง …

10 security  email  postfix  tls 

ฉันรู้ว่าRFC 5702บันทึกการใช้ SHA-2 ใน DNSSEC และRFC 6944กำหนด RSA / SHA-256 ว่า "แนะนำให้ใช้งาน" สิ่งที่ฉันไม่ทราบคือ SHA-256 ที่นำไปใช้อย่างกว้างขวางในการตรวจสอบตัวแก้ไขปัญหาได้อย่างไร การลงชื่อโซนอินเทอร์เน็ต (ที่ฉันสนใจเป็นพิเศษคือ.orgโดเมน) กับ SHA-256 หรือฉันทำให้โซนของฉันไม่สามารถพิสูจน์ได้ว่ามีการใช้อินเทอร์เน็ตจำนวนมากในการตระหนักถึง DNSSEC หรือไม่ จากการติดตามกำหนดการสำคัญสามารถเปลี่ยนแปลงได้ด้วยการเปลี่ยนแปลงแฮชเพื่อรักษาความปลอดภัยในระดับเดียวกัน (เช่นฉันสามารถแก้ไขด้วยการใช้ SHA-1 โดยมีการกำหนดเวลาคีย์สั้นลงได้หรือไม่)

10 security  dnssec 

เซิร์ฟเวอร์ ubuntu หนึ่งตัวโฮสต์ 3 แอปทั้งหมดในโดเมนแยกกัน แต่ละแอพมีนักพัฒนาของตัวเอง นักพัฒนาแอพอยู่ในกลุ่ม "sftp" ของ linux chrootอนุญาตให้เข้าถึงรหัสผ่าน sftp สำหรับนักพัฒนาแอปแต่ละคน /home/app1/prod /home/app2/prod /home/app3/prod ใน sshd_config Match Group sftp PasswordAuthentication yes ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no ข้อกังวลของเราคือช่องโหว่การเขียนโปรแกรมในแอพหนึ่งที่ทำให้เกิดปัญหาในอีก 2 แอพ เราควรใช้ภาชนะ lxc แทน chroot หรือไม่? ทำไม? การเปลี่ยนแปลงคอนเทนเนอร์ lxc จะโปร่งใสสำหรับนักพัฒนาแอปหรือไม่

10 ubuntu  security  sftp  chroot  lxc 

ฉันจำเป็นต้องรู้ทุกอย่างที่เกี่ยวข้องกับชนิด selinux ในกฎปัจจุบันของระบบที่กำลังทำงานอยู่ : อนุญาต, อนุญาต, ตรวจสอบ, ไม่ได้ตรวจสอบกฎ ไฟล์ที่มีป้ายกำกับบริบทโดยใช้ประเภท การเปลี่ยน ... และข้อมูลอื่น ๆ มีคำสั่งใดบ้างที่ฉันสามารถใช้เพื่อค้นหาข้อมูลนั้นหรือฉันควรดาวน์โหลดแพ็คเกจ "src" ที่เกี่ยวข้องกับ selinux ทั้งหมดกรองโมดูลที่ไม่ได้ใช้งานและ grep ทุกไฟล์สำหรับข้อมูลนั้นหรือไม่ ต้องมีวิธีที่ง่ายกว่าในการทำเช่นนั้น

10 linux  security  selinux 

มีวิธีปิดการใช้งานการบีบอัด SSL / TLS ใน Apache 2.2.x เมื่อใช้ mod_ssl หรือไม่? ถ้าไม่ผู้คนกำลังทำอะไรเพื่อลดผลกระทบของ CRIME / BEAST ในเบราว์เซอร์รุ่นเก่า ลิ้งค์ที่มีความเกี่ยวข้อง: https://issues.apache.org/bugzilla/show_bug.cgi?id=53219 https://threatpost.com/en_us/blogs/new-attack-uses-ssltls-information-leak-hijack-https-sessions-090512 /security/19911/crime-how-to-beat-the-beast-successor

10 apache-2.2  security  ssl  tls  mod-ssl 

ฉันเพิ่งติดตั้งเซิร์ฟเวอร์เวอร์ชวลไลเซชันสำหรับ บริษัท ขนาดเล็กที่ฉันใช้งานอยู่ เซิร์ฟเวอร์นี้ใช้งานเครื่องเสมือนสองสามเครื่องที่ใช้สำหรับการพัฒนาการทดสอบและอื่น ๆ ... พันธมิตรธุรกิจของฉันทำงานจากที่ตั้งระยะไกลดังนั้นฉันจึงติดตั้งเซิร์ฟเวอร์ vpn บนโฮสต์การจำลองเสมือนเพื่อให้เขาสามารถเข้าถึงบริการของ บริษัท ได้อย่างปลอดภัย ยิ่งไปกว่านั้นบนโฮสต์การจำลองเสมือนฉันติดตั้ง bacula เพื่อทำการสำรองข้อมูล จะแนะนำ / วิธีปฏิบัติที่ดีในการทำเช่นนั้นหรือฉันควรสร้างเครื่องเสมือนอีกหนึ่งเครื่องเพื่อสำรองข้อมูลและ VPN? เป็นความคิดที่ดีหรือไม่ที่จะใช้บริการเหล่านี้กับโฮสต์เอง ถ้าใช่ทำไม

10 ubuntu  security  backup  vpn  virtualization 

ที่ทำงานฉันมีเว็บอินเตอร์เฟสมากมายที่ใช้ http ธรรมดาหรือใบรับรองที่ลงชื่อด้วยตนเอง (อินเตอร์เฟสการจัดการบาลานเซอร์โหลด, วิกิภายใน, cacti, ... ) ไม่สามารถเข้าถึงได้จาก vlans / เครือข่ายภายนอกที่เฉพาะเจาะจง สำหรับการใช้งานที่บ้านฉันใช้ใบรับรองcacert SSL ฉันสงสัยว่าฉันควรแนะนำให้นายจ้างของฉันใช้ใบรับรอง SSL ของ cacert แทนที่จะเป็นใบรับรองที่ลงชื่อด้วยตนเองและ http ธรรมดา ใครใช้ cacert ssl ในการผลิต? อะไรคือข้อดี / ข้อเสีย? ปรับปรุงความปลอดภัยหรือไม่ จัดการง่ายกว่าไหม? มีอะไรที่คาดไม่ถึง? มันจะส่งผลกระทบต่อการสแกนที่มีคุณสมบัติ? ฉันจะโน้มน้าวพวกเขาอย่างไร แน่นอนใบรับรองที่ชำระเงินสำหรับเว็บไซต์สาธารณะจะยังคงไม่เปลี่ยนแปลง แก้ไข: (อยากรู้อยากเห็น) ใบรับรอง SSL ฟรีจาก บริษัท ดูเหมือนจะไม่ได้เป็นชั้น 3 ฉันต้องแสดงหนังสือเดินทางของฉันและนำเสนอทางร่างกายเพื่อรับชั้น 3 จาก cacerts ไม่มีคำเตือนในเบราว์เซอร์สำหรับแต่ละคลาส 1 หรือไม่ อย่างไรก็ตามฉันมีคำถามเดียวกันเกี่ยวกับ …

10 security  ssl 

ฉันเคยทำงานกับ Ubuntu 10.04 แม่แบบบนเซิร์ฟเวอร์จำนวนมาก ตั้งแต่เปลี่ยนเป็น 12.04 ฉันมีปัญหาที่ตอนนี้ฉันโดดเดี่ยว อุปกรณ์ / dev / urandom นั้นสามารถเข้าถึงได้โดยรูทเท่านั้น สิ่งนี้ทำให้เอ็นจิน SSL อย่างน้อยเป็น PHP เช่น file_get_contents (https: // ... ล้มเหลว นอกจากนี้ยังทำลาย redmine หลังจาก chmod 644 มันใช้งานได้ดี แต่นั่นก็ไม่ได้อยู่ในการรีบูต ดังนั้นคำถามของฉัน ทำไมนี้ ฉันไม่เห็นความเสี่ยงด้านความปลอดภัยเพราะ ... ฉันหมายถึง .. อยากขโมยข้อมูลแบบสุ่มบ้างไหม? ฉันจะ "แก้ไข" มันได้อย่างไร? เซิร์ฟเวอร์ถูกแยกและใช้งานโดยแอปพลิเคชันเดียวเท่านั้นนั่นคือเหตุผลที่ฉันใช้ openvz ฉันคิดถึงบางอย่างเช่นสคริปต์ระดับ runlevel หรือ ... แต่ฉันจะทำอย่างมีประสิทธิภาพได้อย่างไร Maby กับ dpkg …

10 linux  ubuntu  security  permissions  filesystems 

ฉันต้องการรักษาความปลอดภัยคอมพิวเตอร์ที่มีการจัดการจากส่วนกลางของเราให้ดีขึ้นและเป็นการยากที่จะปรับใช้รันไทม์ของจาวาโดยอัตโนมัติ แต่จะทำยังไงกับคำถามอื่น ฉันพบความปลอดภัยของหายนะ Java แม้ว่าจะได้รับการติดตั้งอย่างสมบูรณ์: ดูเหมือนว่าผู้ใช้ตอบว่าใช่กับคำถามที่ไร้เดียงสา "คุณเชื่อถือใบรับรองนี้หรือไม่" Java สามารถทำสิ่งที่ต้องการได้ Java webstart ดูเหมือนจะเป็นจุดเริ่มต้นที่เป็นสากลสำหรับผู้เขียนมัลแวร์ โดยทั่วไปแล้วฉันไม่สนใจผู้ใช้ของฉันที่เล่นเกมเบราว์เซอร์ ฯลฯ Java applets ดูเหมือนจะสูญพันธุ์อยู่แล้ว แต่มีเหลืออีกหนึ่งหน้า (Ingramm Micro shopping system) ซึ่งต้องอาศัย Java ใครรู้วิธีง่ายๆในการกำหนดค่า IE หรือ java ผ่านนโยบายกลุ่มเพื่ออนุญาตปลั๊กอิน Java ในไซต์ที่กำหนดค่าไว้ล่วงหน้าเท่านั้น ขอบคุณ!

10 security  group-policy  java  internet-explorer 

ฉันหมายถึงไคลเอนต์จาวาสคริปต์ที่ใช้ซ็อกเก็ต HTML5 และไม่จำเป็นต้องติดตั้งเพียงเปิดไฟล์ js เดียวในเบราว์เซอร์ เป็นไปได้ไหมที่จะเขียนไคลเอนต์ดังกล่าวเลย?

10 security  ssh  javascript  html5  socket 

ฉันอ่านบทความ Technet เรื่องการตรวจสอบ Mailboxแต่ดูเหมือนว่าจะใช้ได้กับการเข้าถึง MAPI เท่านั้น ฉันใช้ cmdlet ต่อไปนี้เพื่อเปิดใช้งานการตรวจสอบของเจ้าของ: > Set-Mailbox -Identity "Mr. Mel-Bin" -AuditEnabled $true -AuditOwner Create,SoftDelete,HardDelete,Update,Move,MoveToDeletedItems ที่ไม่ส่งคืนผลลัพธ์ใด ๆ จากนั้นฉันย้ายข้อความบางส่วนในกล่องจดหมายโดยใช้ไคลเอ็นต์ IMAP และใช้ cmdlet ต่อไปนี้เพื่อดูว่าการตรวจสอบใช้งานได้หรือไม่: >Search-MailboxAuditLog -Identity bfernan -LogonTypes Owner -ShowDetails -StartDate 10/9/2011 สิ่งนี้ส่งคืนไม่มีเอาต์พุต มีบางสิ่งที่ฉันกำลังมองเห็นหรือ Exchange 2010 ไม่ตรวจสอบการเข้าถึง IMAP หรือไม่

10 security  email  exchange  exchange-2010 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ปิดให้บริการใน5 ปีที่ผ่านมา ล็อคแล้ว คำถามและคำตอบของคำถามนี้ถูกล็อคเนื่องจากคำถามอยู่นอกหัวข้อ แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ นี้สถานการณ์ยังถูกโพสต์ SOกับคำถามที่แตกต่างกันสำหรับผู้ชมที่แตกต่างกัน - และฉันดีใจมากที่ผมทำตามที่ฉันได้รับการตอบรับที่ดีมากบาง เราพยายามที่จะใช้สภาพแวดล้อมการพัฒนาโดยใช้ระบบเสมือนจริงสำหรับทีมเล็ก ๆ ของ 4 นักพัฒนาภายในองค์กรองค์กร สิ่งนี้จะช่วยให้เราสามารถตั้งค่าการพัฒนาทดสอบและสภาพแวดล้อมแบบแยกต่างหากรวมถึงการอนุญาตให้เข้าถึงระบบปฏิบัติการใหม่ที่เป็นข้อกำหนดสำหรับระบบหรือเครื่องมือที่เรากำลังประเมินอยู่ เรานำเสนอเครื่องเวิร์คสเตชั่นที่มีอยู่เดิมอีกครั้งโดยโยนในหน่วยความจำ 24GB และ RAID-10 และทำได้ดีจนกระทั่งเราพยายามเพิ่มเครื่องในโดเมน ตอนนี้เรากำลังเริ่มสงครามที่นักพัฒนาองค์กรทุกคนตั้งแต่เริ่มต้นต้องต่อสู้ - การต่อสู้เพื่อการควบคุมท้องถิ่นของสภาพแวดล้อมการพัฒนาและการทดสอบ ผู้ดูแลระบบเครือข่ายและไอทีได้หยิบยกข้อกังวลมากมายตั้งแต่ "ESX Server คือมาตรฐานขององค์กร" ถึง "เซิร์ฟเวอร์ไม่ได้รับอนุญาตบนไคลเอนต์ VLAN" ถึง "[เติมเต็มความว่างเปล่า] ไม่ใช่ทักษะที่มีอยู่ในปัจจุบัน องค์กรไอทีในท้องถิ่นหรือองค์กร " เราอาจปรับระดับฮาร์ดแวร์ในการผลิตและการสนับสนุนด้านไอทีอย่างเป็นทางการ (อ่าน: เราสามารถปรับความต้องการถ้าเราต้องใช้ แต่ต้องใช้เวลาและเกี่ยวข้องกับการปวดหัวทั้งหมด) - แต่อาจใช้เวลาเป็นเดือนเพื่อรับทรัพยากรไอทีอย่างเป็นทางการ ได้รับมอบหมายจากการปฏิบัติสิ่งนี้เป็นระบบการผลิต - และแม้ว่าเราทำเราอาจจะสูญเสียการควบคุมท้องถิ่นที่เราต้องการ ฉันคิดว่าคุณหลายคนมีการต่อสู้กับนักพัฒนาในองค์กรของคุณเพื่อควบคุมนักพัฒนาในสภาพแวดล้อมที่ไม่ใช่การผลิตดังนั้นคำถามของฉันมีดังนี้: นักพัฒนาของคุณโต้แย้งอะไรกันบ้างที่ทำให้คุณชนะเพื่อให้ไซโลประเภทนี้มีอยู่ในองค์กรที่มีเครือข่ายมาตรฐานและนโยบายความปลอดภัยในสถานที่ซึ่งโดยทั่วไป …

10 security  virtualization