คำถามติดแท็ก security

ความปลอดภัยไม่ใช่ผลิตภัณฑ์ แต่เป็นกระบวนการ

5
ใบรับรอง SSL ที่ลงชื่อด้วยตนเองเป็นความปลอดภัยที่ผิดพลาดหรือไม่
ใบรับรอง SSL ที่ลงชื่อด้วยตนเองเป็นความปลอดภัยที่ผิดพลาดหรือไม่ หากคุณถูกดักฟังผู้ใช้จะยอมรับใบรับรองแบบที่เขา / เธอทำอยู่เสมอ

22
แนวทางปฏิบัติที่ดีที่สุดสำหรับรหัสผ่าน
เมื่อได้รับเหตุการณ์ล่าสุดด้วยการเรียนรู้ 'แฮ็กเกอร์' และลองรหัสผ่านใหม่จากผู้ดูแลเว็บไซต์เราจะแนะนำสิ่งที่ดีที่สุดให้กับทุกคนเกี่ยวกับวิธีปฏิบัติที่ดีที่สุดเกี่ยวกับรหัสผ่านได้อย่างไร ใช้รหัสผ่านที่ไม่ซ้ำกันระหว่างเว็บไซต์ (เช่นไม่เคยใช้รหัสผ่านซ้ำ) คำที่พบในพจนานุกรมจะต้องหลีกเลี่ยง พิจารณาใช้คำหรือวลีจากภาษาที่ไม่ใช่ภาษาอังกฤษ ใช้วลีรหัสผ่านและใช้อักษรตัวแรกของแต่ละคำ l33 การระบุไม่ได้ช่วยอะไรมาก กรุณาแนะนำเพิ่มเติม!

3
ระบบป้องกันกิจกรรมที่ผิดกฎหมาย (ภาพอนาจารของเด็ก, ความโหดร้ายของสัตว์, ... )
มันเป็นหัวข้อที่ละเอียดอ่อนมากที่ต้องมีทางออกจากจุดสิ้นสุดของเรา ฉันมีเซิร์ฟเวอร์จำนวนน้อยที่ให้เช่ากับคนไม่กี่คน ฉันมีสิทธิ์ตามกฎหมายและสิทธิ์ในการสแกนเซิร์ฟเวอร์ ฉันต้องการป้องกันไม่ให้คนเก็บภาพลามกอนาจารของเด็กความโหดร้ายของสัตว์หรือวิดีโออื่นที่มีลักษณะคล้ายคลึงกัน สิ่งสำคัญอันดับแรกคือการสามารถป้องกันภาพอนาจารเด็กเนื่องจากเป็นปัญหาที่ละเอียดอ่อนที่สุด ฉันพยายามค้นหาวิธีแก้ไขปัญหาออนไลน์ แต่ไม่สามารถหาใครหลายคนได้พูดคุยเกี่ยวกับปัญหานี้ฉันเชื่อว่าส่วนใหญ่เป็นเพราะมันเป็นหัวข้อการอภิปรายที่ต้องห้าม หนึ่งในความคิดของฉันคือการค้นหาเซิร์ฟเวอร์สำหรับลายเซ็นของไฟล์ที่รู้จัก มีฐานข้อมูลเช่นนี้ทุกที่หรือไม่? ฉันรู้ว่า บริษัท ใหญ่ ๆ อย่าง GoDaddy มีระบบป้องกันเช่นนี้ แต่ในฐานะเจ้าของ บริษัท ขนาดเล็กฉันควรทำอย่างไร

3
จะปลอดภัยไหมที่จะรีบูตเซิร์ฟเวอร์ที่เปิดสู่อินเทอร์เน็ต
เฉพาะ ฉันมีชุดกฎ iptables ที่กำหนดไว้บนเซิร์ฟเวอร์ที่ใช้ CentOS ฉันรับประกัน / ฉันรับประกันได้อย่างไร / ฉันจะรับประกันได้อย่างไรว่าเมื่อเครือข่ายมาออนไลน์ (ไม่ว่าจะเป็นที่เครื่องบูตหรือหลังจากที่เริ่มบริการเครือข่าย) กฎของ iptables ถูกนำไปใช้แล้ว (และหาก iptables ไม่สามารถเริ่มใช้งาน อินเทอร์เฟซเครือข่ายจะล้มเหลว) (ฉันรู้ว่านี่เป็นคำถาม noob แต่ฉันไม่เคยเรียกใช้เซิร์ฟเวอร์กับอะไรนอกจากเครือข่ายที่เชื่อถือได้ที่อยู่เบื้องหลัง DHCP NAT และไฟร์วอลล์ที่ปลอมแปลงดังนั้น ... คาดหวังว่าคำถาม noob จาก noobs)

4
วิธีรักษาความปลอดภัยพอร์ต PostgreSQL ที่เปิดอยู่
ดังนั้นนี่คือสถานการณ์ ดูเหมือนว่าเราจำเป็นต้องมีพอร์ต TCP แบบเปิด 5432 ไปทั่วโลกซึ่งลูกค้าสามารถเข้าถึงฐานข้อมูล PostgreSQL ของเขาได้ ด้วยเหตุผลที่ชัดเจนเราไม่สามารถพูดได้ว่า "ไม่" เป็นทางเลือกสุดท้ายเท่านั้น อะไรคือปัญหาที่ใหญ่ที่สุด? ฉันจะปกป้องโครงสร้างพื้นฐานของเราได้อย่างไร ยังไงก็ตาม: ทำไมมันถึงไม่ควรเปิดให้คนทั่วโลกเห็น? ฉันคิดว่าบางทีมันอาจจะปลอดภัยกว่าเซิร์ฟเวอร์ FTP เก่า ๆ ที่อายุ 20 ปี PS VPN ไม่เป็นไร บางเข้ารหัสอาจ (ถ้าฉันสามารถให้เขา URL ที่เชื่อมต่อ JDBC ที่ทำงาน )

8
บล็อกการเข้าถึงของพนักงานไปยังคลาวด์สาธารณะ
ก่อนอื่นให้ฉันบอกว่านี่ไม่ใช่ความคิดของฉันและฉันไม่ต้องการพูดคุยว่าการกระทำดังกล่าวมีเหตุผลหรือไม่ อย่างไรก็ตามสำหรับ บริษัท มีวิธีป้องกันพนักงานให้เข้าถึงบริการคลาวด์สาธารณะหรือไม่ โดยเฉพาะอย่างยิ่งพวกเขาไม่สามารถอัปโหลดไฟล์ไปยังสถานที่ใด ๆ บนเว็บ การบล็อก HTTPS อาจเป็นวิธีการแก้ปัญหาที่แรกเรียบง่าย แต่รุนแรงมาก การใช้บัญชีดำของที่อยู่ IP จะไม่เพียงพอ อาจจำเป็นต้องใช้ซอฟต์แวร์บางชนิดในการกรองปริมาณข้อมูลในระดับเนื้อหา พร็อกซีอาจมีประโยชน์เพื่อให้สามารถกรองการรับส่งข้อมูล HTTPS นี่คือความคิดของฉันจนถึงตอนนี้ คุณคิดอย่างไร? ความคิดใด ๆ

2
ความคิดที่ดีอยู่ในตำแหน่งศูนย์กลางหรือไม่
ฉันอยู่ระหว่างการกำหนดค่าเซิร์ฟเวอร์คลาวด์เพื่อเรียกใช้สแต็กต่อไปนี้: Ruby, Passenger, Apache; ภายใต้ Ubuntu 10.04 (Lucid Lynx) ในกระบวนการที่ต้องการทำให้เซิร์ฟเวอร์ง่ายต่อการจัดการฉันเปิดใช้งานคีย์ RSA rootและwww-dataเพื่อให้สามารถsshเข้าไปในเซิร์ฟเวอร์ได้ สิ่งที่ฉันไม่ชอบคือไดเรคทอรีwww-dataของ.sshsat /var/wwwซึ่งตั้งค่าไดเรกทอรีเริ่มต้นสำหรับ apache ความกังวลของฉันคือถ้า apache ไม่ได้รับการกำหนดค่าอย่างเหมาะสมจากนั้น.sshไดเรกทอรีสามารถสัมผัส ฉันมาข้ามวิธีการย้าย~/.ssh/authorized_keysไฟล์ลงในตำแหน่งกลางโดยการเปลี่ยนแปลงในAuthorizedKeysFile /etc/ssh/sshd_configสิ่งนี้มาพร้อมกับผู้เชี่ยวชาญ 2 คน: ตำแหน่งเดียวสำหรับกุญแจและไม่ต้องกังวลกับการกำหนดค่า Apache ที่ไม่ดี ข้อเสียเดียวที่ฉันคิดได้ก็คือตอนนี้ผู้ใช้ทุกคนสามารถเข้าสู่ระบบบนเซิร์ฟเวอร์ (เห็นได้ชัดว่าดาบสองคมของไฟล์กุญแจกลาง) มีอะไรที่ฉันไม่ได้รับในการกำหนดค่านี้หรือไม่? ฉันเปิดเผยตัวเองมากกว่านี้หรือนี่เป็นวิธีแก้ปัญหาที่ดีกว่าauthorized_keysไฟล์เดี่ยว ๆหรือไม่? ฉันเป็นมิตรกับสิ่งแวดล้อมเมื่อพูดถึงการจัดการเซิร์ฟเวอร์ แต่พร้อมที่จะถูกเรียกว่าชื่อที่ไม่ดีสำหรับการทำสิ่งที่ไม่ดี : D

1
วิธีทำชันสูตรของเซิร์ฟเวอร์แฮ็ค
ฉันมีเครื่อง Windows Server 2003 SP2 ที่ติดตั้ง IIS6, SQL Server 2005, MySQL 5 และ PHP 4.3 อยู่ นี่ไม่ใช่เครื่องจักรที่ใช้ในการผลิต แต่มันถูกเปิดเผยไปทั่วโลกผ่านชื่อโดเมน เดสก์ท็อประยะไกลเปิดใช้งานบนเครื่องและมีบัญชีผู้ใช้สองบัญชีที่ใช้งานอยู่ เช้านี้ฉันพบว่าเครื่องนั้นถูกออกจากระบบด้วยชื่อผู้ใช้ uknown ที่ยังอยู่ในกล่องข้อความเข้าสู่ระบบ จากการตรวจสอบต่อไปฉันพบว่ามีผู้ใช้ windows สองตัวถูกสร้างขึ้นโปรแกรมป้องกันไวรัสได้ถูกถอนการติดตั้งและไฟล์. exe ที่ได้ถูกปล่อยลงในไดรฟ์ C: สิ่งที่ฉันอยากรู้คือฉันควรทำอย่างไรในขั้นตอนต่าง ๆ เพื่อให้แน่ใจว่าสิ่งนี้จะไม่เกิดขึ้นอีกและฉันควรมุ่งเน้นไปที่การกำหนดเส้นทางการเข้า ฉันได้ตรวจสอบ netstat -a แล้วเพื่อดูว่าพอร์ตใดเปิดอยู่และไม่มีอะไรแปลก ๆ ที่นั่น ฉันพบไฟล์ที่ไม่รู้จักในโฟลเดอร์ข้อมูลสำหรับ MySQL ซึ่งฉันคิดว่าอาจเป็นจุดเริ่มต้น แต่ฉันไม่แน่ใจ ฉันขอขอบคุณขั้นตอนในการทำการแฮ็กเซิร์ฟเวอร์ที่ดีเพื่อให้ฉันสามารถหลีกเลี่ยงปัญหานี้ได้ในอนาคต โพสต์รีวิวการสืบสวน หลังจากการสอบสวนฉันคิดว่าฉันพบสิ่งที่เกิดขึ้น ครั้งแรกที่เครื่องไม่ได้รับการออนไลน์ในช่วงเวลาของเดือนสิงหาคม '08 ถึงตุลาคม '09 ในช่วงเวลานั้นกรอบช่องโหว่ความปลอดภัยที่ถูกค้นพบที่MS08-067 ช่องโหว่ …

3
ค้นหาการเข้าสู่ระบบที่ประสบความสำเร็จล่าสุดและความพยายามที่ล้มเหลวไปยังเซิร์ฟเวอร์ CentOS
ฉันกำลังมองหาไฟล์บันทึกหรือบริการใด ๆ เพื่อรายงานความพยายามในการเข้าสู่ระบบล่าสุดที่ล้มเหลวเนื่องจากชื่อผู้ใช้ / รหัสผ่านไม่ตรงกัน CentOS นั้นมีสาธารณูปโภคใดบ้างหรือไม่? (แนะนำให้ใช้ในตัว) คำถามที่สองของฉันและโดยทั่วไปฉันต้องการไฟล์บันทึกการพยายามเจาะระบบไปยังเซิร์ฟเวอร์ของฉัน ตามหลักการแล้วบันทึกนี้ควรมีความพยายามทั้งหมดรวมถึงการเข้าสู่ระบบกิจกรรม httpd และพอร์ตเปิดทั่วไปอื่น ๆ
29 linux  security  centos 

2
วิธีการใช้ความลับของนักเทียบท่าที่ไม่มีกลุ่ม Swarm?
ขณะนี้เรากำลังใช้งานแอพพลิเคชั่นบนคอนเทนเนอร์ docker เดียวแอพพลิเคชั่นต้องการข้อมูลที่ละเอียดอ่อนทุกประเภทเพื่อส่งผ่านเป็นตัวแปรสภาพแวดล้อม ฉันวางสิ่งเหล่านั้นบนคำสั่ง run ดังนั้นพวกเขาจึงไม่ได้อยู่ในอิมเมจแล้วบนที่เก็บ แต่ฉันท้ายด้วยคำสั่ง run ที่ไม่ปลอดภัยมาก ตอนนี้ฉันเข้าใจว่าความลับของนักเทียบท่านั้นมีอยู่แล้วฉันจะใช้งานได้อย่างไรโดยไม่ต้องปรับใช้คลัสเตอร์ หรือมีวิธีอื่นในการรักษาความปลอดภัยข้อมูลนี้หรือไม่? ด้วยความเคารพ,

3
ช่องโหว่ด้านความปลอดภัยประเภทใดที่ให้ DNSSEC เปิดเผย
ฉันวางแผนที่จะลงนามโซน DNS ของฉันกับ DNSSEC โซนของฉันผู้รับจดทะเบียนและเซิร์ฟเวอร์ DNS ของฉัน (BIND9) สนับสนุน DNSSEC ทั้งหมด ผู้เดียวที่ไม่สนับสนุน DNSSEC คือผู้ให้บริการ nameserver สำรองของฉัน (คือbuddyns.com ) บนเว็บไซต์ของพวกเขาพวกเขาระบุเรื่องนี้เกี่ยวกับ DNSSEC: BuddyNS ไม่รองรับ DNSSEC เพราะจะทำให้เกิดช่องโหว่บางอย่างที่ไม่เหมาะสมกับบริการ DNS ระดับสูง ฉันคิดว่าการใช้ DNSSEC นั้นเป็นปัญหาอย่างหนึ่งเนื่องจากผู้แก้ไขส่วนใหญ่ไม่ตรวจสอบว่ามีการลงชื่อบันทึกอย่างถูกต้องหรือไม่ สิ่งที่ฉันไม่ทราบก็คือ - ตามคำแถลงของพวกเขา - ดูเหมือนว่าการให้มันจะทำให้เกิดช่องโหว่ด้านความปลอดภัยบางประเภท ช่องโหว่เหล่านั้นคืออะไร?

8
เซิร์ฟเวอร์ของฉันยังคงมีความเสี่ยงต่อการถูกรบกวนแม้หลังจากอัปเดต OpenSSL แล้ว
ฉันมีเซิร์ฟเวอร์ Ubuntu 12.04 ฉันได้อัปเดตOpenSSLแพคเกจเพื่อแก้ไขช่องโหว่ที่รุนแรง แต่ฉันยังคงมีช่องโหว่แม้ว่าฉันจะรีสตาร์ทเว็บเซิร์ฟเวอร์และแม้กระทั่งเซิร์ฟเวอร์ทั้งหมด เพื่อตรวจสอบช่องโหว่ของฉันฉันใช้: http://www.exploit-db.com/exploits/32745/ http://filippo.io/Heartbleed dpkg ให้: dpkg -l |grep openssl ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools (launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

2
ใครช่วยอธิบายชื่อ Service Service ของ Windows (SPNs) ได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า
ฉันได้ปล้ำกับชื่อหลักการบริการสองสามครั้งแล้วและคำอธิบายของ Microsoftนั้นไม่เพียงพอ ฉันกำลังกำหนดค่าแอปพลิเคชัน IIS ให้ทำงานบนโดเมนของเราและดูเหมือนว่าปัญหาบางอย่างของฉันเกี่ยวข้องกับความต้องการของฉันในการกำหนดค่าSPN เฉพาะ http ในบัญชีบริการ windowsที่กำลังเรียกใช้พูลโปรแกรมประยุกต์ที่โฮสต์ไซต์ของฉัน ทั้งหมดนี้ทำให้ฉันรู้ว่าฉันไม่ได้รับความสัมพันธ์ระหว่างประเภทบริการ (MSSQL, http, โฮสต์, termsrv, wsman, ฯลฯ ) อย่างเต็มที่, การพิสูจน์ตัวตน Kerberos, บัญชีคอมพิวเตอร์ไดเรกทอรีที่ใช้งานอยู่ (PCName $), บัญชีบริการ windows, SPNs และบัญชีผู้ใช้ที่ฉันใช้เพื่อลองและเข้าถึงบริการ ใครช่วยอธิบายชื่อ Service Service ของ Windows (SPNs) ได้โดยไม่ต้องอธิบายให้ละเอียด คะแนนโบนัสสำหรับการเปรียบเทียบความคิดสร้างสรรค์ที่จะสะท้อนกับผู้ดูแลระบบ / นักพัฒนาระบบที่มีประสบการณ์ปานกลาง

4
คีย์บอร์ดบลูทู ธ มีความปลอดภัยแค่ไหนต่อการดมรหัสผ่าน?
ในสถานการณ์ที่ผู้ดูแลระบบจะป้อนข้อมูลที่ละเอียดอ่อนลงในแป้นพิมพ์ (รหัสผ่านรูท) ความเสี่ยงที่แป้นพิมพ์บลูทู ธ (จัดส่งโดยค่าเริ่มต้นกับระบบ Mac ในปัจจุบัน) จะทำให้รหัสผ่านเหล่านั้นมีความเสี่ยงอย่างไร อีกวิธีหนึ่งในการถามก็คือโปรโตคอลความปลอดภัยและการเข้ารหัสใดที่ใช้เพื่อสร้างการเชื่อมต่อบลูทู ธ ระหว่างแป้นพิมพ์และระบบโฮสต์ แก้ไข: บทสรุปสุดท้าย คำตอบทั้งหมดนั้นยอดเยี่ยม ฉันยอมรับว่าลิงก์ใดที่เชื่อมโยงไปยังข้อมูลที่เกี่ยวข้องโดยตรงที่สุด แต่ฉันขอแนะนำให้คุณอ่านคำตอบและการสนทนาของ Nathan Adams เกี่ยวกับการแลกเปลี่ยนความปลอดภัย

2
ทำไมการรูทการเขียนไฟล์ไปยังไดเร็กทอรีที่ไม่ได้เป็นเจ้าของโดยรูตจึงไม่ดี
สิ่งนี้เกิดขึ้นในความเห็นของคำถามอื่นและฉันชอบถ้ามีคนสามารถอธิบายเหตุผลของเรื่องนี้ให้ฉันได้ ฉันแนะนำให้ Apache บันทึกข้อผิดพลาดสำหรับ VHost ที่กำหนดไว้ในไดเรกทอรีบ้านของผู้ใช้ นี่ถูกยิงเพราะมันไม่ปลอดภัย ทำไม? ฉันขอคำชี้แจงในความคิดเห็นตอบ แต่ทั้งหมดที่ฉันได้รับคือมันไม่ปลอดภัยที่จะมีการเขียนรูทในโฟลเดอร์ที่ไม่ได้เป็นเจ้าของโดย root มีคนอธิบายอีกไหม ขอบคุณ บาร์ต

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.