คำถามติดแท็ก security

ความปลอดภัยไม่ใช่ผลิตภัณฑ์ แต่เป็นกระบวนการ


6
การอัปเดตการผลิตของ Ubuntu จะทำเครื่องหมายที่ช่อง
บ่อยครั้งที่ฉันลงชื่อเข้าใช้งานกล่อง web / db / tools และดูข้อความทั่วไป: สามารถอัพเดทได้ 30 แพ็คเกจ การอัปเดต 16 รายการเป็นการอัปเดตด้านความปลอดภัย คำถามของฉันคือคุณจะจัดการกับการปรับปรุงในกล่อง Ubuntu ผลิตของคุณได้อย่างไร คุณทำการอัปเดตเหล่านี้โดยอัตโนมัติหรือไม่ คุณกำหนดเวลาหยุดทำงานสำหรับพวกเขาหรือไม่? ปัญหาคือคุณไม่มีทางรู้ว่าการอัพเดทกำลังจะทำลายบางสิ่งเช่นไฟล์การกำหนดค่าที่มีอยู่เป็นต้น อีกส่วนหนึ่งของปัญหานี้คือการรักษาด้วยโปรแกรมแก้ไขคือ 'สิ่งที่ดี' แต่โปรแกรมแก้ไขจะเปิดตัวเกือบทุกวัน หากมีแพตช์ความปลอดภัยใหม่ให้บริการทุกวันต้องทำอย่างไร ฉันคิดว่าคำตอบสำหรับกระทู้เกี่ยวกับวิธีที่คุณจัดการการอัปเดตของคุณจะมีประโยชน์มาก

7
ฉันต้องเปิดใช้งานการอัปเดตอัตโนมัติบน Debian lenny เสถียรหรือไม่
ฉันได้ติดตั้งเซิร์ฟเวอร์เลนนี่ Linux Debianตัวใหม่ที่จะเป็นLAMPและเซิร์ฟเวอร์Subversion ฉันต้องเปิดใช้งานการอัปเดตอัตโนมัติหรือไม่ หากฉันเปิดใช้งานฉันมั่นใจว่าฉันมีแพตช์รักษาความปลอดภัยล่าสุด นอกจากนี้ยังไม่ควรทำลายระบบของฉันเนื่องจาก Debian เสถียรให้แพตช์ความปลอดภัยเท่านั้น หากฉันติดตั้งด้วยตนเองฉันอาจมีความเสี่ยงด้านความปลอดภัยสูงในช่วงหลายวัน & สัปดาห์ โปรดทราบว่าฉันไม่ใช่ผู้ดูแลระบบเต็มเวลาดังนั้นฉันไม่มีเวลาดูกระดานข่าวความปลอดภัย โดยปกติคุณทำอะไรกับเซิร์ฟเวอร์ของคุณ คุณมีคำแนะนำอะไร?

11
มีเหตุผลที่ดีสำหรับการปิดใช้งานการจำลองเสมือนที่มีการช่วยเหลือฮาร์ดแวร์
เมื่อเร็ว ๆ นี้เรามีเซิร์ฟเวอร์จำนวนมากจาก Dell ซึ่งทั้งหมดนี้ได้ปิดใช้งานการจำลองเสมือนแบบใช้ฮาร์ดแวร์ช่วยใน BIOS เท่าที่ฉันทราบว่าการจำลองเสมือนแบบใช้ฮาร์ดแวร์ช่วยเป็นสิ่งที่ดีดังนั้นทำไม Dell ถึงปิดใช้งาน มันมีค่าใช้จ่ายประสิทธิภาพหากเครื่องไม่ได้ทำหน้าที่เป็นโฮสต์เครื่องเสมือนหรือไม่ มีปัญหาด้านความปลอดภัยหรือไม่? ในกรณีที่เกี่ยวข้องกับคำตอบของคุณเราจะใช้เป็นหลัก: โฮสต์ระบบปฏิบัติการ: Windows Server 2003 Enterprise R2 (32 บิต) ระบบปฏิบัติการทั่วไป: Windows Server 2003 Enterprise R2 (32 บิต) VMM: เซิร์ฟเวอร์เสมือน 2005 Enterprise R2 SP1

1
คุณจะตรวจสอบว่าฮาร์ดไดรฟ์ได้รับการเข้ารหัสด้วยซอฟต์แวร์หรือฮาร์ดแวร์เมื่อใช้ BitLocker ได้อย่างไร
เนื่องจากการค้นพบด้านความปลอดภัยเมื่อเร็ว ๆ นี้ซึ่งอาจเป็นไปได้ว่า SSD ส่วนใหญ่ใช้การเข้ารหัสในลักษณะที่ไร้เดียงสาและไม่สมบูรณ์ฉันต้องการตรวจสอบว่าเครื่อง BitLocker ใดของฉันที่ใช้การเข้ารหัสฮาร์ดแวร์ ฉันพบวิธีปิดการใช้งานการเข้ารหัสฮาร์ดแวร์ แต่ฉันไม่สามารถหาวิธีการตรวจสอบว่าฉันใช้การเข้ารหัสฮาร์ดแวร์ (ในกรณีนี้ฉันจะต้องเข้ารหัสไดรฟ์อีกครั้ง) ฉันจะทำอย่างไร ti? ฉันรู้manage-bde.exe -statusที่ให้ผลลัพธ์เช่น: Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [Windows] [OS Volume] Size: 952.62 GB BitLocker Version: 2.0 Conversion Status: Used Space Only Encrypted Percentage Encrypted: 100.0% Encryption Method: XTS-AES 128 Protection Status: …

1
ฉันจะอนุญาตให้ nginx บันทึกโปรโตคอล SSL / TLS และ ciphersuite ที่ใช้แล้วได้อย่างไร
เป้าหมายของฉันคือการรับรองความปลอดภัยที่เหมาะสมสำหรับลูกค้าที่เชื่อมต่อกับ nginx ของฉัน ฉันปฏิบัติตามคำแนะนำของ Mozilla เพื่อกำหนดค่า TLS อย่างถูกต้องในการติดตั้ง nginx ของฉัน แต่ฉันไม่มีภาพรวมของโปรโตคอล / ciphersuites จริง ๆ ที่ใช้ในทางปฏิบัติ สิ่งที่ฉันมีตอนนี้: server { listen 443; ssl on; ssl_certificate /path/to/signed_cert_plus_intermediates; ssl_certificate_key /path/to/private_key; ssl_dhparam /path/to/dhparam.pem; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'the_long_ciphersuite_listed_there'; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:50m; } ด้วยสิ่งนี้ฉันต้องการบันทึกว่าใช้โปรโตคอล SSL ใดสำหรับการเชื่อมต่อและเลือก ciphersuite หลังจากไคลเอนต์ / เซิร์ฟเวอร์เจรจา เช่น: …
24 nginx  security  logging  tls  ssl 

8
จำกัด ผู้ใช้ Linux ในไฟล์ที่เขาเป็นเจ้าของ
ลองนึกภาพการตั้งค่าเซิร์ฟเวอร์ของ บริษัท เว็บโฮสติ้งที่ใช้ร่วมกันซึ่งลูกค้าหลายคน (~ 100) มีการเข้าถึงเชลล์ไปยังเซิร์ฟเวอร์เดียว จำนวนมากเว็บ "ซอฟต์แวร์" แนะนำให้ไฟล์ chmod 0777 ฉันกังวลเกี่ยวกับลูกค้าของเราติดตามบทเรียนเหล่านี้อย่างไม่เต็มใจเปิดไฟล์ให้ลูกค้ารายอื่นของเรา (แน่นอนว่าฉันไม่ได้ใช้โดยไม่cmod 0777จำเป็นต้องใช้ตัวเอง!) มีวิธีการเพื่อให้แน่ใจว่าลูกค้าสามารถเข้าถึงไฟล์ของตนเองและป้องกันไม่ให้พวกเขาเข้าถึงไฟล์ที่ผู้อ่านคนอื่น ๆ ฉันมองเข้าไปในAppArmorแต่นั่นเป็นกระบวนการที่แน่นมากซึ่งดูเหมือนว่าจะล้มเหลวในสภาพแวดล้อมนั้น

4
บังคับให้ผู้ใช้รับรองความถูกต้องออกจากระบบทันที (กรณีฉุกเฉิน)
ใน Active Directory หากคุณต้องการป้องกันไม่ให้ผู้ใช้เข้าสู่ระบบคุณสามารถปิดการใช้งานบัญชีของพวกเขาหรือเพียงแค่รีเซ็ตรหัสผ่านของพวกเขา อย่างไรก็ตามหากคุณมีผู้ใช้ที่ล็อกอินเข้าสู่เวิร์กสเตชันแล้วและคุณต้องป้องกันไม่ให้ผู้ใช้เข้าถึงทรัพยากรใด ๆ โดยเร็วที่สุดเท่าที่จะทำได้ - คุณจะทำอย่างไร? ฉันพูดถึงสถานการณ์ฉุกเฉินที่คนงานถูกไล่ออกโดยมีผลทันทีและมีความเสี่ยงที่จะเกิดความเสียหายหากพวกเขาไม่ได้ถูกล็อคออกจากเครือข่ายทันที ไม่กี่วันที่ผ่านมาฉันต้องเผชิญกับคดีที่คล้ายกัน ตอนแรกฉันไม่แน่ใจว่าจะลงมือทำอะไร การป้องกันไม่ให้ผู้ใช้เข้าถึงเครือข่ายแชร์นั้นง่าย แต่ก็ไม่เพียงพอ ในที่สุดฉันปิดคอมพิวเตอร์เป้าหมายด้วยStop-Computer -ComputerName <name> -ForcePowerShell cmdlet และในกรณีของฉันก็สามารถแก้ไขปัญหาได้ อย่างไรก็ตามในบางกรณีนี่อาจไม่ใช่ตัวเลือกที่ดีที่สุดถ้าผู้ใช้ที่คุณต้องการตัดออกจะถูกล็อกอินในเวิร์กสเตชันหลายเครื่องหรือบนคอมพิวเตอร์ที่ให้บริการที่สำคัญและคุณไม่สามารถปิดได้ อะไรคือทางออกที่ดีที่สุดในการบังคับให้ผู้ใช้ออกจากระบบทันทีจากเวิร์กสเตชันทั้งหมด? เป็นไปได้มากใน Active Directory หรือไม่

2
ไม่ใช่ปัญหาด้านความปลอดภัยขนาดใหญ่หรือไม่ที่จะรวมที่อยู่ MAC ไว้ในที่อยู่ IPv6 โดยค่าเริ่มต้น
หลายครั้งที่คุณไม่ต้องการถูกระบุขณะท่องเว็บ สิ่งหนึ่งที่ประวัติการสืบค้นของคุณอาจถูกขายโดยที่คุณไม่รู้และไม่มีประโยชน์กับคุณ
24 security  ipv6  privacy 

5
วิธีการรักษาความปลอดภัยคีย์ส่วนตัวของ CA?
ฉันกำลังจะใช้ Certification Authority (CA) ของฉันเองสำหรับการใช้งานแบบ interal เท่านั้น ขณะนี้มีปัญหาที่ CA ส่วนตัวไม่ควรถูกเอารัดเอาเปรียบ ตอนนี้รหัสส่วนตัวถูกเข้ารหัส จะทำอะไรได้อีกเพื่อเพิ่มความปลอดภัยให้กับกุญแจส่วนตัว?

4
มีหน้าต่างที่เทียบเท่ากับ chroot หรือไม่?
ในระบบ * nix ฉันสามารถใช้chrootเพื่อแยกสองกระบวนการออกจากกันและจากส่วนที่เหลือของระบบ มีระบบรักษาความปลอดภัยที่คล้ายกันใน windows หรือไม่? หรือมีวิธีป้องกันสองกระบวนการจากการอ่าน / เขียนไปยังไฟล์อื่น ๆ หรือไม่

11
การพิสูจน์ตัวตนด้วยลายนิ้วมือปลอดภัยหรือไม่?
การรับรองความถูกต้องของระบบปฏิบัติการมีความปลอดภัยมากกว่าหรือไม่โดยใช้เครื่องอ่านลายนิ้วมือกว่ารหัสผ่าน (คาดเดา) สามารถแฮ็คได้อย่างง่ายดายหรือไม่ ลายนิ้วมือถูกเก็บไว้ที่ไหน? บนชิปฮาร์ดแวร์หรือในระบบไฟล์? นั่นขึ้นอยู่กับฮาร์ดแวร์ของเครื่องอ่าน นั่นขึ้นอยู่กับการใช้งานไลบรารี่ / ระบบปฏิบัติการหรือไม่?

9
ไม่สามารถ SSH: debug1: ต้องการ SSH2_MSG_KEX_DH_GEX_REPLY
เรามีเซิร์ฟเวอร์ XXX บน Amazon EC2 SSH กำลังทำงานบนพอร์ตมาตรฐาน (22) ฉันวาง pubkey ของฉันไว้ที่ไฟล์ /.ssh/authorized_keys สิ่งที่สนุกคือเมื่อวานนี้มันใช้งานได้ดีมาก! แต่วันนี้ฉันไม่รู้ว่าเกิดอะไรขึ้น! ฉันไม่สามารถเข้าสู่ระบบได้ ssh -vvvv ชื่อเซิร์ฟเวอร์ ติดอยู่ debug1: ต้องการ SSH2_MSG_KEX_DH_GEX_REPLY ฉันตรวจสอบ pubkey ของฉันและมันอยู่ที่นั่น! (ฉันจะตรวจสอบอย่างไรฉันถามคนอื่นเพื่อตรวจสอบ) จากนั้นฉันใช้คอมพิวเตอร์เครื่องอื่น (windows 7 + putty) และวาง pubkey ใหม่ของฉัน และอะไร? ฉันสามารถเข้าสู่ระบบได้! และนั่นคือคอมพิวเตอร์อีกเครื่องหนึ่งที่มี Win7 อยู่ใน LAN เดียวกันซึ่งหมายความว่า IP ภายนอกเหมือนกัน ไพรเวตคีย์ของฉันใช้ได้กับเซิร์ฟเวอร์อื่น แต่ไม่สามารถใช้งานได้ กรุณาช่วย!

2
ความหมายของ“ นโยบายยอมรับ” และ“ นโยบาย DROP” ใน iptables คืออะไร?
เมื่อทำงานservice iptables statusบนเซิร์ฟเวอร์ 2 CentOS เซิร์ฟเวอร์หนึ่งที่มีpolicy ACCEPTใน Chain INPUT, Chain FORWARDและ Chain OUTPUT เซิร์ฟเวอร์อื่นมีpolicy DROPใน Chain INPUTและChain FORWARD; ในขณะที่ policy ACCEPTในChain OUTPUT ความหมายของอะไรpolicy ACCEPTและpolicy DROP? ... และวิธีการเปลี่ยนจากpolicy ACCEPTเป็นpolicy DROPและจากpolicy DROPเป็นpolicy ACCEPT?

16
ทำไมมันไม่ดีที่จะมีรหัสผ่านผู้ใช้ mysql อ่อนแอ
คำถามนี้ถูกโยกย้ายจาก Stack Overflow เพราะสามารถตอบได้ใน Server Fault อพยพ 9 ปีที่ผ่านมา ฉันได้รับการโต้เถียงกับการปรับแต่งของ "คุณไม่ต้องการรหัสผ่านผู้ใช้ mysql ที่แข็งแกร่งเพราะเพื่อที่จะใช้มันพวกเขาจะสามารถเข้าถึงเซิร์ฟเวอร์ของคุณได้แล้ว" เรากำลังพูดถึงรหัสผ่าน 4 หลักซึ่งเป็นคำในพจนานุกรมภาษาอังกฤษมาตรฐานในเว็บไซต์ธุรกิจออนไลน์ โดยไม่ส่งผลต่อคำตอบด้วยความรู้และประสบการณ์ของฉันเองฉันต้องการแสดงคำตอบบางอย่างจากแหล่งข้อมูลบุคคลที่สามที่ไม่สนใจ ใครสนใจที่จะพูดสอดในสิ่งนี้? การเขียนโปรแกรม / คำตอบในทางปฏิบัติจะได้รับการชื่นชม
23 php  mysql  security  password 

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.