คำถามติดแท็ก security

ฉันจะกำหนดค่าระบบของฉันเพื่อทำลายข้อมูลส่วนบุคคลทั้งหมดเมื่อป้อนรหัสผ่านที่แน่นอนได้อย่างไร แรงจูงใจเบื้องหลังสิ่งนี้เป็นสิ่งที่ NSA ฉันจินตนาการว่ามีสามกรณีการใช้งานหลัก เมื่อเข้าสู่ระบบการป้อนรหัสผ่านที่กำหนดไว้ล่วงหน้าจะทำให้เกิดการทำลายข้อมูลผู้ใช้ เมื่อระบบตื่นนอน การป้อนรหัสผ่านที่กำหนดไว้ล่วงหน้าจะทำให้เกิดการทำลายข้อมูลส่วนบุคคล การป้อนคำสั่งพิเศษด้วยรหัสผ่านที่กำหนดไว้ล่วงหน้าจะทำให้เกิดการทำลายข้อมูลส่วนบุคคล ฉันรู้ว่าสิ่งที่ชอบ dd if=/dev/urandom of=/dev/$HOME ควรเพียงพอสำหรับการทำลายข้อมูล อย่างไรก็ตามฉันไม่ทราบวิธีการที่เรียกใช้รหัสผ่านบางอย่าง คะแนนโบนัสหากอนุญาตให้เข้าสู่ระบบในขณะที่ข้อมูลจะถูกลบ

46 security  password 

ด้วยความหวาดระแวงทั้งหมดที่มาพร้อมกับการเปิดเผยของ NSA และทุกอย่างฉันสงสัยว่าทำไมกลไกการติดตั้งแพคเกจเดเบียนไม่รองรับ HTTPS สำหรับการขนส่ง ฉันรู้ว่าแพ็คเกจ debian มีการตรวจสอบลายเซ็นบางอย่างโดยใช้ GPG แต่ฉันก็ยังไม่คิดว่าการใช้ HTTPS transport แทน HTTP จะยากเกินไปพิจารณาว่าการรักษาความปลอดภัยนั้นสำคัญขนาดไหน แก้ไข: ส่วนใหญ่ฉันต้องการป้องกันตัวเองจากการโจมตีของ MitM (รวมถึงการสูดดมการจราจร) ไม่ใช่ผู้ดูแลระบบมิรเรอร์เดเบียน ที่เก็บ HTTP วางการตั้งค่าระบบทั้งหมดไว้บนโต๊ะหากใครก็ตามที่สอดส่องการรับส่งข้อมูลของฉันจะไปยังเดเบียนมิเรอร์

45 debian  security  apt  https 

ระบบ Linux & FreeBSD ของฉันบางระบบมีผู้ใช้หลายสิบคน เจ้าหน้าที่จะใช้โหนด "ssh gateway" เหล่านี้เพื่อ SSH ไปยังเซิร์ฟเวอร์ภายในอื่น ๆ เรากำลังกังวลว่าบางส่วนของคนเหล่านี้ใช้ไม่ได้เข้ารหัสคีย์ SSH ส่วนตัว (คีย์โดยไม่ต้องข้อความรหัสผ่าน . นี้จะไม่ดีเพราะถ้าข้าวเกรียบที่เคยได้รับการเข้าถึงบัญชีของพวกเขาบนเครื่องนี้พวกเขาสามารถขโมยกุญแจส่วนตัวและตอนนี้มีการเข้าถึง ไปยังเครื่องที่ใช้รหัสเดียวกันนี้ด้วยเหตุผลด้านความปลอดภัยเราต้องการให้ผู้ใช้ทุกคนเข้ารหัสคีย์ SSH ส่วนตัวด้วยข้อความรหัสผ่าน ฉันจะทราบได้อย่างไรว่าคีย์ส่วนตัวไม่ได้เข้ารหัส (เช่นไม่มีข้อความรหัสผ่าน)? มีวิธีอื่นในการทำเช่นนี้กับคีย์หุ้มเกราะ ASCII เทียบกับคีย์ที่ไม่ใช่ชุดเกราะ ASCII หรือไม่? ปรับปรุง: เพื่ออธิบายให้ชัดเจนว่าฉันมีสิทธิ์เข้าถึง superuser บนเครื่องและฉันสามารถอ่านคีย์ส่วนตัวของทุกคนได้

44 security  ssh  users 

นี่คือของฉัน/etc/sysconfig/iptables: มันมีสองพอร์ตเปิด 80 apache และ 22 สำหรับ ssh # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i …

42 ssh  security  iptables 

ฉันเพิ่งหมุนกล่อง Ubuntu 11.10 แล้ววิ่งapt-get install apache2 php5ไปติดตั้ง apache2 และ PHP 5 บนกล่อง ตอนนี้มันทำงานเป็น "เว็บเซิร์ฟเวอร์" และโหลด "It Works!" หน้า. ตอนนี้ฉันพยายามกระชับความปลอดภัยและฉันมีคำถามต่อไปนี้เกี่ยวกับเว็บเซิร์ฟเวอร์ linux: ใครควรใช้ apache เป็น? ผู้ใช้นี้ควรอยู่ในกลุ่มใด แพคเกจใดที่สามารถทำให้ PHP (และ Apache?) ทำงานเป็นเจ้าของไฟล์ได้ (เช่นบนโฮสต์เว็บที่ใช้ร่วมกัน) ฉันควรใช้แพ็คเกจเหล่านี้หรือไม่ ง่ายต่อการรักษาบนระบบขนาดเล็กหรือไม่? สิทธิ์เริ่มต้นควรเป็นอย่างไรสำหรับไฟล์และโฟลเดอร์ที่ให้บริการในเว็บโดยที่ apache ทำงานเป็นwww-data? สำหรับ apache / php ที่ทำงานในฐานะผู้ใช้? ฉันได้ทำสิ่งต่าง ๆ ต่อไปนี้เพื่อตรวจสอบการตั้งค่าเริ่มต้น: โครงสร้างไฟล์ เมื่อฉันcd /และทำls -alรายการเนื้อหาฉันเห็น/var: drwxr-xr-x 13 root …

41 linux  security  users  php  apache-httpd 

สมมติว่าฉันกำลังใช้sha1passเพื่อสร้างแฮชของรหัสผ่านที่ละเอียดอ่อนบางตัวในบรรทัดคำสั่ง ฉันสามารถใช้sha1pass mysecretเพื่อสร้างแฮชของmysecretแต่นี่มีข้อเสียที่mysecretตอนนี้อยู่ในประวัติศาสตร์ทุบตี มีวิธีการที่จะบรรลุเป้าหมายสุดท้ายของคำสั่งนี้ในขณะที่หลีกเลี่ยงการเปิดเผยmysecretในข้อความธรรมดาpasswdหรือไม่โดยใช้คำสั่ง-style? ฉันสนใจวิธีการทั่วไปในการทำเช่นนี้เพื่อส่งผ่านข้อมูลที่ละเอียดอ่อนไปยังคำสั่งใด ๆ วิธีการจะเปลี่ยนเมื่อข้อมูลที่ละเอียดอ่อนถูกส่งผ่านเป็นอาร์กิวเมนต์ (เช่นในsha1pass) หรือใน STDIN ไปยังคำสั่งบางอย่าง มีวิธีการทำสิ่งนี้หรือไม่? แก้ไข : คำถามนี้ดึงดูดความสนใจจำนวนมากและมีคำตอบที่ดีหลายข้อเสนอด้านล่าง สรุปคือ: ตามคำตอบของ @ Kusalanandaเราจะไม่ต้องให้รหัสผ่านหรือความลับเป็นอาร์กิวเมนต์บรรทัดคำสั่งสำหรับยูทิลิตี้ สิ่งนี้มีความเสี่ยงในหลายวิธีตามที่อธิบายไว้โดยเขาและควรใช้ยูทิลิตี้ที่ออกแบบมาดีกว่าที่สามารถรับข้อมูลลับบน STDIN ได้ คำตอบของ @ vfbsilvaอธิบายถึงวิธีการป้องกันไม่ให้สิ่งต่าง ๆ ถูกเก็บไว้ในประวัติทุบตี @ คำตอบของโจนาธานอธิบายวิธีการที่ดีอย่างสมบูรณ์แบบสำหรับการทำสิ่งนี้ให้สำเร็จตราบใดที่โปรแกรมสามารถใช้ข้อมูลลับของมันใน STDIN ดังนั้นฉันตัดสินใจยอมรับคำตอบนี้ sha1passใน OP ของฉันเป็นเพียงตัวอย่าง แต่การสนทนาได้กำหนดว่ามีเครื่องมือที่ดีกว่าที่ใช้ข้อมูลบน STDIN เป็น@R ..บันทึกในคำตอบของเขาการใช้คำสั่งขยายบนตัวแปรไม่ปลอดภัย ดังนั้นโดยสรุปฉันยอมรับคำตอบของ @ Jonathanเนื่องจากเป็นทางออกที่ดีที่สุดเนื่องจากคุณมีโปรแกรมที่ออกแบบมาอย่างดีและมีความประพฤติดี แม้ว่าการส่งรหัสผ่านหรือความลับในฐานะที่เป็นอาร์กิวเมนต์บรรทัดคำสั่งจะไม่ปลอดภัยโดยพื้นฐาน

40 shell  security  password 

ฉันพยายามตั้งค่าสคริปต์การปรับใช้โดยใช้Capistrano ในขั้นตอนcap deploy:setupสคริปต์กำลังเชื่อมต่อกับเซิร์ฟเวอร์ของฉันและพยายามเรียกใช้คำสั่งที่สร้างไดเรกทอรี จากนั้นฉันเห็นข้อผิดพลาด:msudo: sorry, you must have a tty to run sudo มีวิธีแก้ไขปัญหาที่แนะนำให้ปิดใช้งาน requiretty บนเซิร์ฟเวอร์ของฉัน https://unix.stackexchange.com/a/49078/26271 ฉันสงสัยว่าจะปลอดภัยหรือไม่

39 security  sudo  tty 

ฉันได้ยินมาบ่อยเกี่ยวกับการสร้างเว็บไซต์darknetเมื่อเร็ว ๆ นี้ ฉันยังใช้เบราว์เซอร์ของ Torบ่อยครั้ง torบริการทำงานในเซิร์ฟเวอร์ Debian ที่บ้านของฉันและมันถูกติดตั้งด้วย: sudo apt-get install tor ฉันมีความคิดวิธีการทองานเครือข่ายและใช้torifyครั้งในขณะที่ใน Linux และ MacOS สำหรับทำแบบทดสอบบางคนที่มีsshและwgetผ่านเครือข่าย Tor ฉันสังเกตเห็นสิ่งต่อไปนี้ /etc/tor/torrc #HiddenServiceDir /var/lib/tor/hidden_service/ #HiddenServicePort 80 127.0.0.1:80 อย่างไรก็ตามจะไปจากที่นั่นได้อย่างไร มีการ.onionสร้างเว็บไซต์ / ชื่ออย่างไร พื้นฐานเกี่ยวกับการตั้งค่าบริการดังกล่าวใน Linux คืออะไร?

38 debian  security  tor 

เมื่อเร็ว ๆ นี้ฉันได้เรียนรู้ว่า (อย่างน้อยใน Fedora และ Red Hat Enterprise Linux) โปรแกรมปฏิบัติการที่คอมไพล์เป็น Position Independent Executables (PIE) ได้รับการปกป้องพื้นที่แอดเดรสแบบสุ่ม (ASLR) ที่แข็งแกร่งยิ่งขึ้น ดังนั้น: ฉันจะทดสอบได้อย่างไรว่ามีการประมวลผลไฟล์ใดไฟล์หนึ่งที่เรียกว่า Position Independent Executable บน Linux หรือไม่?

38 linux  security  fedora  executable 

ผมอยู่ใน/sbinและผมเห็นว่ามีสิทธิ์shutdown rwxr-xr-xนี่ไม่ได้หมายความว่าทุกคนสามารถทำงานได้หรือไม่

34 permissions  security  shutdown 

บนโฮสติ้ง unix ที่ใช้ร่วมกันถ้าฉันมีไฟล์ sensitive-data.txt และฉันมีปัญหา: chmod 600 sensitive-data.txt ผู้ใช้รูทยังอ่านไฟล์ของฉันได้ไหม? โดยเฉพาะฉันสงสัยว่าจะปลอดภัยที่จะเก็บรหัสผ่านของฉันในไฟล์ hgrc mercurial UPDATE ตัดสินใจที่จะใช้ส่วนขยายของพวงกุญแจ mecurial เนื่องจากมันง่ายในการติดตั้ง: pip install mercurial_keyring แล้วเพิ่มใน hgrc: [extensions] mercurial_keyring = อย่างไรก็ตามฉันยังสนใจที่จะตอบคำถามนี้

34 permissions  security  root 

ฉันสงสัยเกี่ยวกับความปลอดภัยของสัญญาณ UNIX SIGKILLจะฆ่ากระบวนการ ดังนั้นจะเกิดอะไรขึ้นเมื่อกระบวนการของผู้ใช้ที่ไม่ใช่รูทส่งสัญญาณไปยังกระบวนการของผู้ใช้รูท กระบวนการยังคงดำเนินการตัวจัดการสัญญาณหรือไม่? ฉันทำตามคำตอบที่ยอมรับ (gollum's) และฉันพิมพ์man capabilitesและฉันพบสิ่งต่าง ๆ มากมายเกี่ยวกับเคอร์เนล Linux จากman capabilities : NAME capabilities - overview of Linux capabilities DESCRIPTION For the purpose of performing permission checks, traditional UNIX implementations distinguish two categories of processes: privileged processes (whose effective user ID is 0, referred to as superuser …

33 security  signals 

เหตุใดผู้คนจึงกลัวที่จะเขียนรหัสผ่านในบรรทัดคำสั่ง ไฟล์ประวัติอยู่ใน~/.historyดังนั้นจึงใช้ได้เฉพาะกับผู้ใช้ที่ดำเนินการคำสั่ง (และรูท)

33 bash  command-line  security  password  command-history 

ฉันกำลังเขียนโปรแกรมที่จะทดสอบโปรแกรมที่เขียนโดยนักเรียน ฉันกลัวว่าฉันจะไม่ไว้ใจพวกเขาและฉันต้องแน่ใจว่ามันจะไม่จบลงอย่างเลวร้ายสำหรับคอมพิวเตอร์ที่ใช้งาน ฉันกำลังคิดเกี่ยวกับการทำให้ผู้ใช้ทดสอบข้อผิดพลาดที่มีการเข้าถึงทรัพยากรระบบอย่าง จำกัด และเรียกใช้โปรแกรมในฐานะผู้ใช้รายนั้น แต่จากสิ่งที่ฉันพบในเน็ตจนถึงการสร้างระบบเสมือนจะเป็นตัวเลือกที่ปลอดภัยที่สุด ... ใครสามารถช่วยฉันด้วยการเลือกวิธีการที่ถูกต้อง? ความปลอดภัยเป็นเรื่องใหญ่สำหรับฉัน ในทางกลับกันฉันไม่ต้องการทางออกที่เกินกำลังและเสียเวลามากมายในการเรียนรู้สิ่งที่ฉันไม่ต้องการ

33 linux  security  executable 

ฉันค่อนข้างใหม่สำหรับโลกแห่งการบริหารระบบ ฉันได้ทำงานกับแอปพลิเคชันเมื่อเร็ว ๆ นี้และเมื่อฉันตรวจสอบบันทึกเซิร์ฟเวอร์แอปพลิเคชันของฉันฉันได้รับที่อยู่ IP ต่างๆที่พยายาม ssh เข้าสู่เซิร์ฟเวอร์ของฉันโดยใช้กำลังดุร้าย นี่คือตัวอย่างของบันทึกเซิร์ฟเวอร์ของฉัน: Feb 14 04:07:20 foodwiz3 sshd[1264]: error: Could not load host key: /etc/ssh/ssh_host_ed25519_key Feb 14 04:07:21 foodwiz3 sshd[1264]: reverse mapping checking getaddrinfo for coenamor.columbiansabbatical.com [23.249.167.223] failed - POSSIBLE BREAK-IN ATTEMPT! Feb 14 04:07:21 foodwiz3 sshd[1264]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh …

32 ssh  security