サーバー管理者

システムおよびネットワーク管理者向けのQ&A

30
セキュリティ監査人はバカです。彼が望む情報をどのように彼に与えるのですか?
サーバーのセキュリティ監査員は、2週間以内に次のことを要求しています。 すべてのサーバー上のすべてのユーザーアカウントの現在のユーザー名とプレーンテキストパスワードのリスト 過去6か月間のすべてのパスワード変更のリスト、再びプレーンテキスト 過去6か月間に「リモートデバイスからサーバーに追加されたすべてのファイル」のリスト SSHキーの公開キーと秘密キー ユーザーがパスワードを変更するたびに彼に送信された、プレーンテキストのパスワードを含むメール LDAP認証を使用してRed Hat Linux 5/6およびCentOS 5ボックスを実行しています。 私の知る限り、そのリストのすべては入手が不可能または非常に困難ですが、この情報を提供しないと、移行期間中に支払いプラットフォームへのアクセスが失われ、収入が失われます新しいサービス。この情報を解決または偽造する方法についての提案はありますか? すべてのプレーンテキストパスワードを取得する唯一の方法は、全員にパスワードをリセットさせ、設定した内容をメモしてもらうことです。過去6か月間のパスワード変更の問題を解決することはできません。その種のものをさかのぼってログに記録することはできないためです。同じことがすべてのリモートファイルの記録にも当てはまります。 すべてのパブリックおよびプライベートSSHキーを取得することは可能ですが(面倒ですが)、ユーザーとコンピューターはわずかしかありません。これを行う簡単な方法を見逃していない限り? 彼が求めていることは不可能だと何度も説明してきました。私の懸念に応えて、彼は次のメールで返信しました。 私は10年以上のセキュリティ監査の経験とレッドハットのセキュリティ手法の完全な理解を持っているので、何が可能で何ができないかについてあなたの事実を確認することをお勧めします。この情報を入手できる企業はないということですが、私はこの情報がすぐに利用できる場所で何百もの監査を実施しました。[一般的なクレジットカード処理プロバイダー]クライアントはすべて、新しいセキュリティポリシーに準拠する必要があり、この監査は、これらのポリシーが正しく実装されていることを確認することを目的としています*。 *「新しいセキュリティポリシー」は監査の2週間前に導入されたもので、ポリシーが変更されるまで6か月間の履歴ログは必要ありませんでした。 要するに、私は必要です。 6か月分のパスワード変更を「偽造」し、有効に見えるようにする方法 6か月間のインバウンドファイル転送を「偽造」する方法 使用されているすべてのSSH公開鍵と秘密鍵を収集する簡単な方法 セキュリティ監査に失敗すると、カード処理プラットフォーム(システムの重要な部分)にアクセスできなくなり、別の場所に移動するのに2週間かかります。私はどのようにねじ込まれていますか? アップデート1(23日土) すべてのご回答に感謝します。これが標準的な慣行ではないことを知って非常に安心しています。 現在、状況を説明する彼へのメールの返信を計画しています。あなたの多くが指摘したように、私たちは、プレーンテキストのパスワードにアクセスする方法はないはずであると明示的に示しているPCIに準拠する必要があります。メールを書き終わったら投稿します。残念ながら、彼はただ私たちをテストしているとは思わない。これらは現在、会社の公式のセキュリティポリシーに含まれています。ただし、当分の間、車輪を動かしてPayPalに移動するように設定しました。 アップデート2(土23日) これは私が作成したメールで、追加/削除/変更するものについての提案はありますか? こんにちは[名前]、 残念ながら、主にプレーンテキストパスワード、パスワード履歴、SSHキー、リモートファイルログなど、要求された情報の一部を提供する方法はありません。これらの事柄が技術的に不可能であるだけでなく、この情報を提供できることは、PCI基準に違反することと、データ保護法の違反になることの両方になります。 PCI要件を引用するには、 8.4強力な暗号化を使用して、すべてのシステムコンポーネントでの送信および保存中にすべてのパスワードを読み取り不能にします。 私たちのシステムで使用されるユーザー名とハッシュ化されたパスワードのリスト、SSH公開キーと許可されたホストファイルのコピーを提供できます(これにより、サーバーに接続できる一意のユーザーの数、および暗号化使用される方法)、パスワードセキュリティ要件とLDAPサーバーに関する情報ですが、この情報はオフサイトに持ち込まれない場合があります。現在、PCIおよびデータ保護法に準拠したままこ​​の監査に合格する方法はないため、監査要件を確認することを強くお勧めします。 よろしく、 [私] 会社のCTOとアカウントマネージャーでCCを行います。CTOがこの情報が利用できないことを確認できることを望んでいます。また、PCI Security Standards Councilに連絡し、彼からの要望を説明します。 更新3(26日) 交換したメールは次のとおりです。 RE:最初のメール。 説明したように、この情報は、適切に管理されたシステムで有能な管理者が簡単に利用できる必要があります。この情報を提供できなかったため、システムのセキュリティ上の欠陥に気づいており、それらを明らかにする準備ができていないと思わせます。私たちの要求はPCIガイドラインに沿っており、両方を満たすことができます。強力な暗号化とは、ユーザーがパスワードを入力している間にパスワードを暗号化する必要があるだけで、後で使用できるように回復可能な形式に移動することを意味します。 これらのリクエストにはデータ保護の問題はありません。データ保護は企業ではなく消費者にのみ適用されるため、この情報に問題はないはずです。 ただ、何ができない、でも... 「強力な暗号化とは、ユーザーがパスワードを入力している間だけパスワードを暗号化する必要があることを意味しますが、後で使用できるように回復可能な形式に移動する必要があります。」 私はそれを額に入れて壁に置きます。 私は外交にうんざりし、このスレッドに彼を向けて、私が得た反応を見せました。 この情報を提供することは、PCIガイドラインのいくつかの要件と直接矛盾します。私が引用したセクションにはstorage 、「ディスク上のデータを保存する場所への実装」とさえ書かれています。ServerFault.com(sys-adminの専門家向けのオンラインコミュニティ)でディスカッションを開始しましたが、大きな反響があり、この情報はすべて提供できないことを示唆しています。自由に読んでください https://serverfault.com/questions/293217/ …
2307 security  pci-dss 

3
Pemファイルとは何ですか?また、他のOpenSSL生成キーファイル形式とどのように違いますか?
2台のDebianサーバーを保守する責任があります。セキュリティ証明書で何かをしなければならないときはいつでも、私はチュートリアルのためにGoogleを使い、最終的に機能するまで打ち負かします。 しかし、私の検索では、私は多くの場合、異なるファイル形式に遭遇(.key、.csr、.pem)私は、各ファイル形式の目的が何であるかの良い説明を見つけることができていたことがありません。 ここServerFaultの善良な人々がこの問題について何らかの説明を提供できるかどうか疑問に思っていましたか?
1343 certificate  pki 

30
du -h出力をサイズでソートするにはどうすればよいですか
人間が読めるdu出力のリストを取得する必要があります。 ただし、du「サイズによる並べ替え」オプションsortはなく、パイピングは人間が読めるフラグでは機能しません。 たとえば、次を実行します。 du | sort -n -r サイズ別にソートされたディスク使用量を出力します(降順): du |sort -n -r 65108 . 61508 ./dir3 2056 ./dir4 1032 ./dir1 508 ./dir2 ただし、人間が読めるフラグで実行すると、適切にソートされません。 du -h | sort -n -r 508K ./dir2 64M . 61M ./dir3 2.1M ./dir4 1.1M ./dir1 誰でもdu -h サイズでソートする方法を知っていますか?
966 linux  bash  du  gnu 

13
bash変数が空かどうかを判断する方法は?
bashの変数が空( "")かどうかを判断する最良の方法は何ですか? 私はそうすることが推奨されると聞いたことがあります if [ "x$variable" = "x" ] それは正しい方法ですか?(もっと簡単なものが必要です)
765 bash  scripting 

17
特定のポートへのPing
ここで簡単な健全性チェックを行ってください。 マシンの特定のポートにpingを実行できますか?もしそうであれば、例を提供できますか? のようなものを探していますping ip address portNum。
671 ping 

13
侵害されたサーバーに対処するにはどうすればよいですか?
これは、標準的な質問 Serverのセキュリティについて-イベントを侵害への対応(ハッキング) 参照します: LAMPサーバーを保護するためのヒント ルート侵害後に再インストールしますか? Canonicalバージョン 1つ以上のサーバーがハッカー、ウイルス、またはその他のメカニズムによって侵害されていると思われます。 私の最初のステップは何ですか?サイトに到着したら、サーバーを切断し、「証拠」を保存する必要がありますか、他の最初の考慮事項はありますか? サービスをオンラインに戻すにはどうすればよいですか? 同じことをすぐに再発しないようにするにはどうすればよいですか? このインシデントから学習するためのベストプラクティスまたは方法論はありますか? インシデントレスポンスプランをまとめたい場合、どこから始めますか?これは災害復旧または事業継続計画の一部ですか? 元のバージョン 2011.01.02-私たちのサーバーが何らかの形で侵害され、プロバイダーに対するDOS攻撃が発生したため、私は日曜日の午後9時30分に仕事に取り掛かり ます。インターネットへのサーバーアクセスがシャットダウンされたため、5〜600を超えるクライアントサイトが現在ダウンしています。現在、これはFTPハック、またはコードのどこかの弱点である可能性があります。そこに着くまでわからない。 これをすばやく追跡するにはどうすればよいですか?サーバーをできるだけ早くバックアップしないと、私たちは多くの訴訟に巻き込まれます。どんな助けも大歓迎です。Open SU​​SE 11.0を実行しています。 2011.01.03-ご協力ありがとうございました。幸いなことに、このサーバーの責任者は私だけではなく、最も近い人でした。この問題を解決することはできましたが、他の多くの状況には当てはまらない場合があります。私たちがやったことを詳しく説明します。 サーバーをネットから取り外しました。インドネシアの別のサーバーでサービス拒否攻撃を実行(実行しようとしています)し、有罪者もそこに拠点を置いていました。 サーバー上に500を超えるサイトがあることを考慮して、最初にサーバー上のどこから来たかを特定しようとしました。ただし、SSHアクセスを引き続き使用して、攻撃が開始されたときに編集または作成されたすべてのファイルを検索するコマンドを実行しました。幸いなことに、問題のあるファイルは冬の休暇中に作成されたため、その時点ではサーバー上に他の多くのファイルは作成されていませんでした。 その後、ZenCart Webサイト内のアップロードされた画像フォルダー内にある問題のあるファイルを特定することができました。 短いタバコの休憩の後、ファイルの場所のため、不十分に保護されたファイルアップロード機能を介してアップロードされたに違いないと結論付けました。いくつかのグーグル検索の後、レコード会社の写真のために、ZenCart管理パネル内でファイルをアップロードできるセキュリティ脆弱性があることがわかりました。(実際に使用したこともないセクション)、このフォームを投稿するとファイルがアップロードされただけで、ファイルの拡張子はチェックされず、ユーザーがログインしているかどうかもチェックされませんでした。 これは、攻撃用のPHPファイルを含む、任意のファイルをアップロードできることを意味しました。感染したサイトでZenCartを使用して脆弱性を保護し、問題のあるファイルを削除しました。 仕事は終わり、私は午前2時に家にいました 道徳 -常にZenCartまたはその他のCMSシステムのセキュリティパッチを適用してください。セキュリティ更新プログラムがリリースされると、世界中の人々がこの脆弱性を認識します。-常にバックアップを行い、バックアップをバックアップします。-これらのような時間にそこにいる誰かを雇用または手配します。Server Faultのパニック投稿に依存することを防ぐため。
601 hacking  security 


16
Windowsでファイルを開いたままにしているプロセスをどのように見つけますか?
Windowsで終わりを感じないことの1つは、古い共有違反エラーです。多くの場合、何が開いているのかを特定できません。通常、それは単に関連するディレクトリを指し示すエディターまたはエクスプローラーだけですが、時々マシンをリブートすることに頼らざるを得ませんでした。 犯人を見つける方法に関する提案はありますか?

11
Nginxでは、サブドメインを維持しながらすべてのhttpリクエストをhttpsに書き換えるにはどうすればよいですか?
Webサーバー上のすべてのhttp要求をhttps要求に書き換えたいので、次のことから始めました。 サーバー{ 80を聞きます。 場所/ { ^(。*)https://mysite.com$1パーマネントを書き換えます。 } ... 1つの問題は、これによりサブドメイン情報(node1.mysite.com/folderなど)が削除されることです。すべてをhttpsに再ルーティングしてサブドメインを維持するために上記を書き換えるにはどうすればよいですか。
508 nginx  redirect  https 

30
秘密のRSAキーの場所をGit for Windowsに伝えるにはどうすればよいですか?
私のGitのセットアップは、Linux上で正常に動作が、私は、Windows(WindowsとのためのGitを使用しての下で物事を設定しようとすると、TortoiseGit)や、より良いまだ、どのように伝えるために(私のプライベートSSHキーを配置する場所を、私は知らないssh、それはだところ位置)。Git for Windowsのインストール中に標準のssh.exeオプションを使用しています。サーバーで(RSAの代わりに)パスワード認証を許可すると、セットアップは正常に実行されます。
487 windows  ssh  git  rsa  private-key 

7
サーバールームで何かが燃えています。どうすればそれがすぐに識別できますか?
先日、サーバールームからひどい燃えるような匂いがすることに気付きました。簡単に言えば、UPSユニットで燃え尽きるバッテリーモジュールの1つになりましたが、それを理解するまでに数時間かかりました。私たちがそれを理解できた主な理由は、UPSディスプレイが最終的にモジュールの交換が必要であることを示したことです。 ここに問題がありました:部屋全体が匂いで満たされていました。匂いがすべてに染み込んでいたので、においテストを行うのは非常に困難でした(言うまでもなく、私たちは頭がおかしくなりました)。臭いが最も強かったので、実稼働データベースサーバーをほぼ誤ってダウンさせました。重要な点は問題ないように見えました(CPU温度は60℃で、ファンの速度は問題ありませんでした)が、確信がありませんでした。たまたま燃えたバッテリーモジュールは、ラック上のサーバーとほぼ同じ高さで、わずか3フィートしか離れていませんでした。これが本当の緊急事態だったら、惨めに失敗していたでしょう。 現実的には、実際のサーバーハードウェアが燃焼する可能性は非常にまれであり、ほとんどの場合、UPSが原因であると考えています。しかし、複数の機器を備えた複数のラックを使用すると、すぐに推測ゲームになります。どの機器が実際に燃え尽きているのか、どのようにして迅速かつ正確に判断しますか?この質問は、部屋の大きさ、換気、場所などの環境変数に大きく依存することを理解していますが、どんな入力でも歓迎します。
454 hardware 

8
IPv4サブネットはどのように機能しますか?
これは、IPv4サブネットに関する標準的な質問です。 関連する: IPv6サブネット化はどのように機能し、IPv4サブネット化とどのように異なりますか? サブネットはどのように機能しますか?また、手作業または頭の中でどのように行いますか? 誰かが概念的にもいくつかの例を使って説明できますか?Server Faultにはサブネット化に関する多くの宿題の質問があります。そのため、回答を使用してServer Fault自体にそれらを示すことができます。 ネットワークがある場合、それを分割する方法をどのように見つけますか? ネットマスクが与えられた場合、そのネットワーク範囲が何であるかをどのように知ることができますか? スラッシュの後に数字が続く場合がありますが、その数字は何ですか? サブネットマスクだけでなく、ワイルドカードマスクもある場合がありますが、同じように見えますが、違いますか? 誰かがこれのバイナリを知ることについて何か言及しましたか?
439 networking  subnet  tcpip  ipv4 


2
htopステータスバーの色は正確に何を意味しますか?
デフォルトでhtopは、プロセッサ、メモリ、およびスワップの色付きのステータスバーを表示します。左から右に、バーはいくつかのしきい値に応じて緑、青、黄色、および赤に色分けされます。 メモリバーの緑と青のレベルが小さく、残りのほとんどすべてが黄色の場合はどういう意味ですか?スワップバーは空です。htopの色設定は「デフォルト」です。

9
パスワードを使用してSSHログインを自動化する方法
パスワードを使用してSSHログインを自動化する方法 テストVMを構成しているので、強力なセキュリティは考慮されません。最小限の構成で許容可能なセキュリティを確保するためにSSHが選択されました。 例) echo password | ssh id@server これは機能しません。 誰かが私を誘導したいくつかのトリックでこれをやったことを覚えていますが、今使ったトリックを思い出せません...
419 ssh  password  automation 

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.