คำถามติดแท็ก security

ความปลอดภัยไม่ใช่ผลิตภัณฑ์ แต่เป็นกระบวนการ

4
อนุญาตให้ผู้ใช้รูทลีนุกซ์ mysql เข้าถึงรูทได้โดยไม่ต้องใช้รหัสผ่าน
ใน cPanel เมื่อฉันเข้าสู่ระบบในฐานะ root และพิมพ์ "mysql" โดยไม่มีชื่อโฮสต์และรหัสผ่านมันทำให้ฉันสามารถเข้าถึงผู้ใช้ root ของ mysql ได้โดยตรง ฉันต้องการทำสิ่งนี้สำหรับเซิร์ฟเวอร์ที่ไม่ใช่ cpanel ของฉันซึ่งผู้ใช้รูทลินุกซ์ได้รับรหัสผ่านเข้าสู่ระบบน้อยกว่าผู้ใช้รูท mysql ในลักษณะเดียวกับที่ทำบน cPanel เป็นไปได้ไหม

4
การทำเวอร์ชวลเซิร์ฟเวอร์หมายถึงเลเยอร์ระบบปฏิบัติการอื่นเพื่อแก้ไขและอัปเดตทำงานมากขึ้นและมีความเสี่ยงมากขึ้น
ฉันได้ทำการค้นหาและไม่พบปัญหาใด ๆ เกี่ยวกับการแก้ไขและการอัปเดตระบบ ฉันมีแนวทางที่บอกว่าเซิร์ฟเวอร์จำเป็นต้องมีโปรแกรมแก้ไขที่จำเป็น ถ้าฉันมีโฮสต์ VM แล้วมันเป็นชั้นพิเศษที่จะแก้ไขและปรับปรุง - แม้จะมีไฮเปอร์ไวเซอร์โลหะเปลือยหรือไม่ ตรงข้ามกับการมีเซิร์ฟเวอร์โลหะ? (เช่นทำงานและทดสอบและเอกสารเพิ่มเติมตามแนวทางของฉัน) Hyper-visors ประเภท 1 / โลหะเปลือยได้รับการอัปเดตบ่อยเพียงใด มันเป็นเรื่องสำคัญไหม ความจริงที่ว่าเป็นเลเยอร์ซอฟต์แวร์พิเศษที่นำเสนอความซับซ้อนและความเสี่ยงที่มากขึ้น (เช่นซอฟต์แวร์ข้อบกพร่อง 99% x ซอฟต์แวร์ข้อผิดพลาด 99% = ระบบ 98% ปราศจากข้อบกพร่อง)? (ประสบการณ์จริงของฉันอยู่กับ VMWare Workstation และเซิร์ฟเวอร์และ VirtualBox)

10
ฉันเพิ่งทำ chmod -x chmod
chmod -x chmodดังนั้นผมจึงได้ ฉันจะแก้ไขปัญหานี้ได้อย่างไร ฉันจะให้สิทธิผู้ดำเนินการกลับไปที่ chmod ได้อย่างไร
27 linux  security  unix  freebsd 

9
การสูดดมแพ็กเก็ตสำหรับรหัสผ่านในเครือข่ายที่มีการสลับเปลี่ยนเต็มเป็นเรื่องที่น่ากังวลหรือไม่?
ฉันจัดการเซิร์ฟเวอร์ linux จำนวนหนึ่งที่ต้องการการเข้าถึง telnet สำหรับผู้ใช้ ขณะนี้ข้อมูลประจำตัวของผู้ใช้จะถูกเก็บไว้ในเซิร์ฟเวอร์แต่ละเครื่องและรหัสผ่านมีแนวโน้มที่จะอ่อนแอมากและไม่มีข้อกำหนดสำหรับพวกเขาที่จะเปลี่ยน การเข้าสู่ระบบจะถูกรวมเข้ากับ Active Directory ในไม่ช้าและนี่คือข้อมูลประจำตัวที่ได้รับการปกป้องอย่างใกล้ชิด เป็นเรื่องที่กังวลหรือไม่ว่ารหัสผ่านของผู้ใช้อาจถูกดักจาก LAN เนื่องจากเรามีเครือข่ายที่เปลี่ยนอย่างสมบูรณ์ดังนั้นแฮกเกอร์ใด ๆ จะต้องแทรกตัวเองระหว่างคอมพิวเตอร์ของผู้ใช้กับเซิร์ฟเวอร์

7
fail2ban ทำ Windows หรือไม่
ทุกคนสามารถแนะนำเครื่องมือที่คล้ายกับ fail2ban สำหรับ Windows OS ได้หรือไม่? ฉันมีเซิร์ฟเวอร์ Windows Media สองสามตัวที่ใช้ความพยายามในการพิสูจน์ตัวตนที่โหดร้าย ฉันต้องการที่จะเสียบการตรวจสอบความล้มเหลวเหล่านี้ลงในเครื่องมือการบล็อกบางประเภท
27 windows  security 

10
มุมมองสดของคำสั่งเชลล์ Linux ที่ดำเนินการโดยผู้ใช้รายอื่น?
เป็นไปได้หรือไม่ที่ผู้ใช้รูทใน Linux มีมุมมองแบบเรียลไทม์ (หรือใกล้เคียงกับเรียลไทม์) ของคำสั่งเชลล์ที่รันโดยผู้ใช้รายอื่นที่ล็อกอินผ่านเทอร์มินัลหรือ SSH เห็นได้ชัดว่ามีการจัดเก็บใน. bash_history แต่จะถูกบันทึกไว้เมื่อผู้ใช้ออกจากระบบและสามารถปิดใช้งานได้เช่นกัน แก้ไข: สิ่งที่ดีเลิศที่สามารถเปิดและปิดได้อย่างง่ายดาย
27 linux  security  shell 

8
มีอันตรายในผู้ให้บริการ OpenID ปลอมหรือไม่?
ฉันสงสัยว่า เนื่องจากใคร ๆ ก็สามารถเริ่มต้นผู้ให้บริการ OpenID ได้และเนื่องจากไม่มีหน่วยงานกลางที่อนุมัติผู้ให้บริการ OpenID ทำไมผู้ให้บริการ OpenID ปลอมจะไม่เป็นปัญหา ตัวอย่างเช่นผู้ส่งสแปมสามารถเริ่มต้นผู้ให้บริการ OpenID ด้วยแบ็คดอร์เพื่อให้เขาตรวจสอบสิทธิ์กับผู้ใช้รายอื่นที่ถูกหลอกให้ลงทะเบียนในเว็บไซต์ของเขา เป็นไปได้ไหม ชื่อเสียงของผู้ให้บริการเป็นสิ่งเดียวที่ป้องกันไม่ให้เกิดขึ้น เราจะไปดูบัญชีดำของผู้ให้บริการ OpenID และเว็บไซต์ตรวจสอบของผู้ให้บริการ OpenID ในอนาคตหรือไม่ อาจเป็นเพราะฉันไม่เข้าใจบางสิ่งเกี่ยวกับ OpenID อย่างสมบูรณ์ โปรดให้ความกระจ่างแก่ฉัน :)
27 security  openid 

8
ฉันจะทิ้งเทปสำรองข้อมูลอย่างรับผิดชอบได้อย่างไร
เทปไดรฟ์เก่าของเราล้มเหลวและเราไม่ได้ใช้เทปสำรองอีกต่อไป เรายังมีเทป DLT หลายชุดพร้อมการสำรองข้อมูลซึ่งอาจมีข้อมูลที่ละเอียดอ่อนเช่นหมายเลขบัตรเครดิตหมายเลขประกันสังคม ฯลฯ ฉันจะทิ้งเทปสำรองข้อมูลเหล่านี้ด้วยความรับผิดชอบได้อย่างไร หากฉันมีไดรฟ์ที่ใช้งานได้ฉันจะถูกล่อใจให้ dd จาก / dev / urandom ไปยังอุปกรณ์เทป แต่ไดรฟ์นั้นล้มเหลว นี่จะเป็นวิธีการที่ดีหรือไม่ถ้าไดรฟ์ยังทำงานอยู่หรือไม่ คุณแนะนำให้ฉันทำอะไรกับเทปเหล่านี้เนื่องจากฉันไม่มีไดรฟ์ที่ใช้งานได้สำหรับพวกเขา
27 security  cleanup 

6
ฉันจะโน้มน้าวให้ บริษัท ของฉันลงทุนด้านไอที - โดเมนความปลอดภัย ฯลฯ ได้อย่างไร
ฉันทำงานให้กับผู้ค้าปลีกขนาดกลางขนาดเล็กซึ่งมีร้านค้าไฮสตรีทครึ่งโหลและเว็บไซต์ สถานการณ์ไอทีในปัจจุบันอยู่ในสถานะที่พื้นฐานมาก ในฐานะที่เป็น "หัวหน้าฝ่ายไอที" เป็นเพียงส่วนเล็ก ๆ ของรายละเอียดงานของฉันและสุดท้ายในรายการฉันไม่สามารถใส่เวลาลงไปมากเท่าที่ฉันต้องการ เรามีคอมพิวเตอร์ประมาณ 50 เครื่องและ Windows 14 เครื่องบนเครือข่ายของเรา (30 ภายในสำนักงานใหญ่ร้านค้าภายนอก 20 แห่งคลังสินค้าและแล็ปท็อป) นี่คือทั้งหมดที่สร้างขึ้นบนเครือข่าย Workgroup และไซต์ทั้งหมดเชื่อมต่อกันผ่านการตั้งค่า VPN ระดับเราเตอร์ขั้นพื้นฐานที่มีซับเน็ตสำหรับแต่ละร้านค้า ดังนั้นฉันไม่สามารถจัดการอะไรได้ตรวจสอบคอมพิวเตอร์ว่าปลอดภัยทำการตรวจสอบใด ๆ ตรวจสอบให้แน่ใจว่าติดตั้งการปรับปรุงจัดการ Wi-Fi สำหรับอุปกรณ์ของแขกหรือตรวจสอบอะไร ฉันอยากได้โดเมนจริงๆและหลังจากบอกเจ้านายของฉันแล้วเขาบอกว่ามันไม่คุ้มกับ: เราได้จัดการกับเวิร์กกรุ๊ปเป็นเวลาหลายปีโดยไม่มีปัญหา พนักงานสามารถไว้วางใจได้ หากฉันออกไปหรือไม่พร้อมใช้งานเมื่อมีบางสิ่งแตกหักจะไม่มีใครสามารถเข้าใจได้ว่ามันทำงานอย่างไร ค่าติดตั้งสำหรับฮาร์ดแวร์ใหม่และลิขสิทธิ์สำหรับโดเมนนั้นสูงมาก (ขณะนี้เราเพิ่งซื้อพีซี OEM Windows ที่สร้างไว้ล่วงหน้าแล้วตามด้วยใบอนุญาต Office แบบขายปลีกที่แปลก) เนื่องจากโดเมนมีการจัดการจากส่วนกลางหากมีปัญหาสำคัญเกิดขึ้นอาจทำให้คอมพิวเตอร์ทุกเครื่องไม่ทำงาน (ต่างจากเวิร์กกรุ๊ปที่หากคอมพิวเตอร์เพียงเครื่องเดียวตายจากนั้นทุกอย่างอื่นก็ใช้ได้และไม่ส่งผลกระทบต่อการทำงานของคนอื่น) ฉันไม่รู้ว่าจะเน้นหนักแค่ไหนในด้านความปลอดภัยที่เราไม่มีโดเมน ทุกคนสามารถเข้าถึงเนื้อหาได้หากพวกเขาเชื่อมต่อกับ Wi-Fi ของเราทุกคนสามารถเข้าถึงเนื้อหาจากพีซีเครื่องใดก็ได้เนื่องจากผู้ใช้ไม่ได้ติดตั้งรหัสผ่านทุกคนสามารถดูโฟลเดอร์ที่แชร์ได้และลบโดยไม่มีบันทึกเพื่อแสดงหรือสำรองข้อมูล ฉันไม่แน่ใจว่า PCI เป็นไปตามที่เรามีหรือว่าเราเป็นไปตามมาตรฐานสำหรับผู้ตรวจสอบ ฉันได้รับคำสั่งให้เพิกเฉยและไม่ต้องกังวล ในฐานะที่เป็น "หัวหน้าโครงสร้างพื้นฐานด้านไอทีภายใน" …

3
ข้อมูลประจำตัวของแคชของ Windows จัดเก็บไว้ในเครื่องท้องถิ่นอย่างไร
ข้อมูลประจำตัวของโดเมน Active Directory ที่แคชไว้ถูกเก็บไว้ในไคลเอนต์ Windows เป็นอย่างไร พวกเขาเก็บอยู่ในฐานข้อมูล SAM ท้องถิ่นหรือไม่ซึ่งทำให้พวกเขามีความอ่อนไหวต่อการโจมตีแบบเรนโบว์เทเบิลเดียวกันกับที่บัญชีผู้ใช้ในท้องถิ่นนั้นมีความอ่อนไหวหรือพวกเขาเก็บไว้ต่างกันหรือไม่? โปรดทราบว่าฉันทราบดีว่าพวกเขาถูกใส่เกลือและแฮชเพื่อไม่ให้ถูกจัดเก็บในรูปแบบข้อความธรรมดา แต่จะถูกแฮชในลักษณะเดียวกับบัญชีท้องถิ่นและเก็บไว้ในที่เดียวกันหรือไม่ ฉันรู้ว่าอย่างน้อยพวกเขาก็มีความอ่อนไหวต่อการโจมตีด้วยกำลังดุร้าย แต่นั่นเป็นสถานการณ์ที่ดีกว่าการเสี่ยงต่อตารางสายรุ้งในกรณีที่เครื่องถูกขโมย

8
ฉันควรทำอย่างไรกับผู้ใช้ที่“ ทำงานผิดปกติ”?
ล็อคแล้ว คำถามและคำตอบนี้ถูกล็อคเนื่องจากคำถามอยู่นอกหัวข้อ แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ ฉันควรทำอย่างไรกับผู้ใช้รายนี้ ผู้ใช้คือ: กำลังดาวน์โหลดภาพอนาจาร พยายามเข้าถึงโดยไม่ได้รับอนุญาต ใช้งานซอฟต์แวร์แฮ็ค ส่งอีเมลที่ไม่พึงประสงค์ การติดตั้งซอฟต์แวร์ / การแก้ไขดัดแปลงด้วยระบบ ฯลฯ นี่เป็นคำตอบทั่วไปสำหรับปัญหาพฤติกรรมของพนักงาน a คุณสามารถช่วยฉันถามคำถามเกี่ยวกับสิทธิ์ใช้งานซอฟต์แวร์ได้หรือไม่ ฉันสามารถดูว่าปัญหาการใช้ที่ยอมรับได้นั้นอยู่ที่ขอบเขตของ SF แต่มันเป็นหนึ่งในสิ่งเหล่านั้นที่ sysadmins ส่วนใหญ่จะพบ ฉันไม่ต้องการเขียนคำตอบที่คล้ายกันซ้ำ ๆ
26 security  users 

8
ระบบไฟล์เครือข่ายที่ปลอดภัยสำหรับ Linux: ผู้คนกำลังทำอะไร
NFSv3 เป็นที่แพร่หลาย แต่รูปแบบการรักษาความปลอดภัยเริ่มต้นคือ ... แปลกตา CIFS สามารถใช้การพิสูจน์ตัวตน Kerberos แต่ถ้าไม่มี POSIX semantics จะไม่ใช่การเริ่มต้น AFS ไม่เคยเข้ารหัสการรับส่งข้อมูลบนสายและเป็น krb4 - และเป็นโครงการที่ตายแล้ว แฟนซีระบบไฟล์ทดลองใหม่ไม่เคยเกิดขึ้นจริงหรือเน้นที่ความเร็ว (และหากคุณโชคดีความน่าเชื่อถือของข้อมูล) - ตัวอย่างเช่น Luster ใช้รูปแบบความเชื่อมั่นของลูกค้าเช่นเดียวกับ NFSv3 สำหรับใช้ในบ้าน sshfs นั้นดี แต่ก็ไม่ได้ปรับขนาด และแน่นอนว่ามี NFSv4 ด้วย sec = krb5p ยิ่งใหญ่ในทางทฤษฎี แต่หลังจากผ่านไปสิบปีดูเหมือนว่ามันจะไม่ได้ใช้อย่างจริงจังในโลกแห่งความจริง ไคลเอ็นต์ Linux เพิ่งลบแท็กทดสอบออกแล้ว และถ้าคุณดู EMC Celerra, Isilon ฯลฯ มันคือ NFSv3 ทั้งหมด (Celerra สนับสนุน NFSv4 …

7
ความปลอดภัยหุ่นกระบอกและทอพอโลยีเครือข่าย
พื้นหลัง: ในที่สุดฉันก็สละเวลาเพื่อเข้าร่วมศตวรรษที่ 21 และดูหุ่นกระบอก ในฐานะที่เป็นในวันนี้เรารุ่นควบคุมการกำหนดค่าเซิร์ฟเวอร์ทั้งหมดในพื้นที่เก็บข้อมูลที่จัดขึ้นภายในที่สำนักงาน เมื่อจำเป็นต้องมีการอัพเดตการเปลี่ยนแปลงจะถูกตรวจสอบกลับเข้าไปใน repos และผลักออกไปยังเครื่องด้วยตนเอง ซึ่งมักจะหมายถึง SFTP'ing ไปยังเครื่องระยะไกลและจากนั้นย้ายไฟล์เข้าที่มีสิทธิ์ที่เกี่ยวข้องจากเปลือก ดังนั้นฉันหวังว่า Puppet จะเป็นส่วนเสริมที่เรียบง่าย แต่น่าทึ่งสำหรับสิ่งที่เรามีอยู่แล้ว ตอนนี้ฉันพิจารณากระบวนการที่เราต้องมีความปลอดภัยอย่างสมเหตุสมผล บนสมมติฐานที่ว่าเครือข่ายภายในของเราจะมีความปลอดภัยมากกว่าเครือข่ายสาธารณะในศูนย์ข้อมูลของเรา กระบวนการนี้เป็นวิธีหนึ่งเสมอ เปลี่ยนการเคลื่อนที่จากสภาพแวดล้อมที่ปลอดภัยไปเป็นที่ไม่ปลอดภัยและจะไม่มีทางกลับกัน ร้านค้าหลักอยู่ในสถานที่ที่ปลอดภัยที่สุด ความเสี่ยงของการประนีประนอมไม่ว่าจะโดยการขโมยการกำหนดค่าหรือการส่งการดัดแปลงที่เป็นอันตรายจะลดลงอย่างมาก คำถาม: จากสิ่งที่ฉันเข้าใจเกี่ยวกับ Puppet server / client model คือการสำรวจความคิดเห็นของลูกค้าและดึงการอัพเดทโดยตรงจากเซิร์ฟเวอร์ การรับส่งข้อมูลถูกห่อด้วย SSL ดังนั้นจึงไม่สามารถดักจับหรือปลอมแปลงได้ แต่มันแตกต่างจากสิ่งที่เราทำอยู่ในขณะนี้เพราะเซิร์ฟเวอร์ Puppet [s] จะต้องถูกโฮสต์ในที่สาธารณะ ไม่ว่าจะเป็นศูนย์กลางหรือหนึ่งแห่งสำหรับแต่ละศูนย์ข้อมูลที่เราดูแล ดังนั้นฉันสงสัย: ฉันถูกหวาดระแวงโดยไม่จำเป็นเกี่ยวกับการเปลี่ยนแปลงจากการผลักไปสู่การดึง? ฉันถูกหวาดระแวงโดยไม่จำเป็นเกี่ยวกับการจัดเก็บข้อมูลทั้งหมดจากส่วนกลางบนเครือข่ายสาธารณะหรือไม่? คนอื่น ๆ ดูแลเครือข่ายหลายแห่งอย่างไร - แยกเซิร์ฟเวอร์สำหรับแต่ละไซต์ อัปเดต 30/07/09: ฉันเดาว่าหนึ่งในข้อกังวลสำคัญอื่น ๆ ของฉันคือการวางดังนั้นต้องเชื่อมั่นในเครื่องเดียว …

5
การอนุญาตขั้นต่ำสำหรับผู้ใช้ในการทำการ mysqldump?
ฉันต้องการเริ่มกำหนดเวลาระยะไกล mysqldump crons และฉันต้องการใช้บัญชีพิเศษสำหรับวัตถุประสงค์นั้น ฉันต้องการให้สิทธิ์ขั้นต่ำแก่ผู้ใช้สำหรับการถ่ายโอนข้อมูลเต็มรูปแบบ แต่ฉันไม่แน่ใจว่าวิธีที่ดีที่สุดในการดำเนินการดังกล่าว มันง่ายเหมือน grant SELECT on *.* to '$username'@'backuphost' identified by 'password'; หรือฉันพลาดวิธีที่ดีกว่านี้?

4
ทำไมผู้คนถึงบอกฉันว่าอย่าใช้ VLAN เพื่อความปลอดภัย?
ตามชื่อเรื่องทำไมผู้คนถึงบอกฉันว่าอย่าใช้ VLAN เพื่อความปลอดภัย? ฉันมีเครือข่ายที่มีสอง VLANS มีไฟร์วอลล์ระหว่าง 2 VLANs ฉันใช้สวิตช์ HP Procurve และทำให้แน่ใจว่าลิงก์สลับเป็นสวิตช์ยอมรับเฟรมที่ติดแท็กเท่านั้นและพอร์ตโฮสต์ไม่ยอมรับเฟรมที่ติดแท็ก (ไม่ใช่ "VLAN Aware") ฉันแน่ใจด้วยเช่นกันว่า native VLAN (PVID) ของ trunk link นั้นไม่เหมือนกันกับทั้งสองโฮสต์ VLANs ฉันได้เปิดใช้งาน "Ingress Filtering" นอกจากนี้ฉันได้ตรวจสอบให้แน่ใจว่าพอร์ตโฮสต์เป็นเพียงสมาชิกของ VLAN ตัวเดียวซึ่งเหมือนกับ PVID ของพอร์ตที่เกี่ยวข้อง พอร์ตเดียวที่เป็นสมาชิกของ VLAN หลาย ๆ ตัวคือพอร์ตพอร์ต มีใครช่วยอธิบายให้ฉันหน่อยได้ไหมว่าทำไมข้างต้นถึงไม่ปลอดภัย ฉันเชื่อว่าฉันได้แก้ไขปัญหาการติดแท็กสองครั้งแล้ว .. ขอบคุณ อัปเดต: สวิตช์ทั้งสองเป็น Hp Procurve 1800-24G

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.