タグ付けされた質問 「security」

セキュリティは製品ではなく、プロセスです。

30
セキュリティ監査人はバカです。彼が望む情報をどのように彼に与えるのですか?
サーバーのセキュリティ監査員は、2週間以内に次のことを要求しています。 すべてのサーバー上のすべてのユーザーアカウントの現在のユーザー名とプレーンテキストパスワードのリスト 過去6か月間のすべてのパスワード変更のリスト、再びプレーンテキスト 過去6か月間に「リモートデバイスからサーバーに追加されたすべてのファイル」のリスト SSHキーの公開キーと秘密キー ユーザーがパスワードを変更するたびに彼に送信された、プレーンテキストのパスワードを含むメール LDAP認証を使用してRed Hat Linux 5/6およびCentOS 5ボックスを実行しています。 私の知る限り、そのリストのすべては入手が不可能または非常に困難ですが、この情報を提供しないと、移行期間中に支払いプラットフォームへのアクセスが失われ、収入が失われます新しいサービス。この情報を解決または偽造する方法についての提案はありますか? すべてのプレーンテキストパスワードを取得する唯一の方法は、全員にパスワードをリセットさせ、設定した内容をメモしてもらうことです。過去6か月間のパスワード変更の問題を解決することはできません。その種のものをさかのぼってログに記録することはできないためです。同じことがすべてのリモートファイルの記録にも当てはまります。 すべてのパブリックおよびプライベートSSHキーを取得することは可能ですが(面倒ですが)、ユーザーとコンピューターはわずかしかありません。これを行う簡単な方法を見逃していない限り? 彼が求めていることは不可能だと何度も説明してきました。私の懸念に応えて、彼は次のメールで返信しました。 私は10年以上のセキュリティ監査の経験とレッドハットのセキュリティ手法の完全な理解を持っているので、何が可能で何ができないかについてあなたの事実を確認することをお勧めします。この情報を入手できる企業はないということですが、私はこの情報がすぐに利用できる場所で何百もの監査を実施しました。[一般的なクレジットカード処理プロバイダー]クライアントはすべて、新しいセキュリティポリシーに準拠する必要があり、この監査は、これらのポリシーが正しく実装されていることを確認することを目的としています*。 *「新しいセキュリティポリシー」は監査の2週間前に導入されたもので、ポリシーが変更されるまで6か月間の履歴ログは必要ありませんでした。 要するに、私は必要です。 6か月分のパスワード変更を「偽造」し、有効に見えるようにする方法 6か月間のインバウンドファイル転送を「偽造」する方法 使用されているすべてのSSH公開鍵と秘密鍵を収集する簡単な方法 セキュリティ監査に失敗すると、カード処理プラットフォーム(システムの重要な部分)にアクセスできなくなり、別の場所に移動するのに2週間かかります。私はどのようにねじ込まれていますか? アップデート1(23日土) すべてのご回答に感謝します。これが標準的な慣行ではないことを知って非常に安心しています。 現在、状況を説明する彼へのメールの返信を計画しています。あなたの多くが指摘したように、私たちは、プレーンテキストのパスワードにアクセスする方法はないはずであると明示的に示しているPCIに準拠する必要があります。メールを書き終わったら投稿します。残念ながら、彼はただ私たちをテストしているとは思わない。これらは現在、会社の公式のセキュリティポリシーに含まれています。ただし、当分の間、車輪を動かしてPayPalに移動するように設定しました。 アップデート2(土23日) これは私が作成したメールで、追加/削除/変更するものについての提案はありますか? こんにちは[名前]、 残念ながら、主にプレーンテキストパスワード、パスワード履歴、SSHキー、リモートファイルログなど、要求された情報の一部を提供する方法はありません。これらの事柄が技術的に不可能であるだけでなく、この情報を提供できることは、PCI基準に違反することと、データ保護法の違反になることの両方になります。 PCI要件を引用するには、 8.4強力な暗号化を使用して、すべてのシステムコンポーネントでの送信および保存中にすべてのパスワードを読み取り不能にします。 私たちのシステムで使用されるユーザー名とハッシュ化されたパスワードのリスト、SSH公開キーと許可されたホストファイルのコピーを提供できます(これにより、サーバーに接続できる一意のユーザーの数、および暗号化使用される方法)、パスワードセキュリティ要件とLDAPサーバーに関する情報ですが、この情報はオフサイトに持ち込まれない場合があります。現在、PCIおよびデータ保護法に準拠したままこ​​の監査に合格する方法はないため、監査要件を確認することを強くお勧めします。 よろしく、 [私] 会社のCTOとアカウントマネージャーでCCを行います。CTOがこの情報が利用できないことを確認できることを望んでいます。また、PCI Security Standards Councilに連絡し、彼からの要望を説明します。 更新3(26日) 交換したメールは次のとおりです。 RE:最初のメール。 説明したように、この情報は、適切に管理されたシステムで有能な管理者が簡単に利用できる必要があります。この情報を提供できなかったため、システムのセキュリティ上の欠陥に気づいており、それらを明らかにする準備ができていないと思わせます。私たちの要求はPCIガイドラインに沿っており、両方を満たすことができます。強力な暗号化とは、ユーザーがパスワードを入力している間にパスワードを暗号化する必要があるだけで、後で使用できるように回復可能な形式に移動することを意味します。 これらのリクエストにはデータ保護の問題はありません。データ保護は企業ではなく消費者にのみ適用されるため、この情報に問題はないはずです。 ただ、何ができない、でも... 「強力な暗号化とは、ユーザーがパスワードを入力している間だけパスワードを暗号化する必要があることを意味しますが、後で使用できるように回復可能な形式に移動する必要があります。」 私はそれを額に入れて壁に置きます。 私は外交にうんざりし、このスレッドに彼を向けて、私が得た反応を見せました。 この情報を提供することは、PCIガイドラインのいくつかの要件と直接矛盾します。私が引用したセクションにはstorage 、「ディスク上のデータを保存する場所への実装」とさえ書かれています。ServerFault.com(sys-adminの専門家向けのオンラインコミュニティ)でディスカッションを開始しましたが、大きな反響があり、この情報はすべて提供できないことを示唆しています。自由に読んでください https://serverfault.com/questions/293217/ …
2307 security  pci-dss 

13
侵害されたサーバーに対処するにはどうすればよいですか?
これは、標準的な質問 Serverのセキュリティについて-イベントを侵害への対応(ハッキング) 参照します: LAMPサーバーを保護するためのヒント ルート侵害後に再インストールしますか? Canonicalバージョン 1つ以上のサーバーがハッカー、ウイルス、またはその他のメカニズムによって侵害されていると思われます。 私の最初のステップは何ですか?サイトに到着したら、サーバーを切断し、「証拠」を保存する必要がありますか、他の最初の考慮事項はありますか? サービスをオンラインに戻すにはどうすればよいですか? 同じことをすぐに再発しないようにするにはどうすればよいですか? このインシデントから学習するためのベストプラクティスまたは方法論はありますか? インシデントレスポンスプランをまとめたい場合、どこから始めますか?これは災害復旧または事業継続計画の一部ですか? 元のバージョン 2011.01.02-私たちのサーバーが何らかの形で侵害され、プロバイダーに対するDOS攻撃が発生したため、私は日曜日の午後9時30分に仕事に取り掛かり ます。インターネットへのサーバーアクセスがシャットダウンされたため、5〜600を超えるクライアントサイトが現在ダウンしています。現在、これはFTPハック、またはコードのどこかの弱点である可能性があります。そこに着くまでわからない。 これをすばやく追跡するにはどうすればよいですか?サーバーをできるだけ早くバックアップしないと、私たちは多くの訴訟に巻き込まれます。どんな助けも大歓迎です。Open SU​​SE 11.0を実行しています。 2011.01.03-ご協力ありがとうございました。幸いなことに、このサーバーの責任者は私だけではなく、最も近い人でした。この問題を解決することはできましたが、他の多くの状況には当てはまらない場合があります。私たちがやったことを詳しく説明します。 サーバーをネットから取り外しました。インドネシアの別のサーバーでサービス拒否攻撃を実行(実行しようとしています)し、有罪者もそこに拠点を置いていました。 サーバー上に500を超えるサイトがあることを考慮して、最初にサーバー上のどこから来たかを特定しようとしました。ただし、SSHアクセスを引き続き使用して、攻撃が開始されたときに編集または作成されたすべてのファイルを検索するコマンドを実行しました。幸いなことに、問題のあるファイルは冬の休暇中に作成されたため、その時点ではサーバー上に他の多くのファイルは作成されていませんでした。 その後、ZenCart Webサイト内のアップロードされた画像フォルダー内にある問題のあるファイルを特定することができました。 短いタバコの休憩の後、ファイルの場所のため、不十分に保護されたファイルアップロード機能を介してアップロードされたに違いないと結論付けました。いくつかのグーグル検索の後、レコード会社の写真のために、ZenCart管理パネル内でファイルをアップロードできるセキュリティ脆弱性があることがわかりました。(実際に使用したこともないセクション)、このフォームを投稿するとファイルがアップロードされただけで、ファイルの拡張子はチェックされず、ユーザーがログインしているかどうかもチェックされませんでした。 これは、攻撃用のPHPファイルを含む、任意のファイルをアップロードできることを意味しました。感染したサイトでZenCartを使用して脆弱性を保護し、問題のあるファイルを削除しました。 仕事は終わり、私は午前2時に家にいました 道徳 -常にZenCartまたはその他のCMSシステムのセキュリティパッチを適用してください。セキュリティ更新プログラムがリリースされると、世界中の人々がこの脆弱性を認識します。-常にバックアップを行い、バックアップをバックアップします。-これらのような時間にそこにいる誰かを雇用または手配します。Server Faultのパニック投稿に依存することを防ぐため。
601 hacking  security 

21
前のIT担当者からのバックドアをどのように検索しますか?
私たちは皆それが起こることを知っています。苦い年配のIT担当者がバックドアをシステムとネットワークに残して、新しい担当者と楽しんで、会社が彼なしではいかに悪いことがあるかを示します。 これを個人的に経験したことはありません。私が経験したほとんどのことは、去る直前に物を壊して盗んだ人です。しかし、これは確実に起こります。 それで、完全に信頼できないネットワークを引き継ぐとき、すべてが安全で安全であることを保証するためにどんなステップが取られるべきですか?
358 security 

6
Linuxウェブサーバー上で、ウェブサイトのファイル/フォルダーにはどのような権限が必要ですか?
これは、Linux Webサーバー上のファイル許可に関する標準的な質問です。 複数のWebサイトをホストするApache2を実行しているLinux Webサーバーがあります。各Webサイトには、/ var / www /に独自のフォルダーがあります。 /var/www/contoso.com/ /var/www/contoso.net/ /var/www/fabrikam.com/ ベースディレクトリ/ var / www /はroot:rootが所有しています。Apacheはwww-data:www-dataとして実行されています。Fabrikam Webサイトは、2人の開発者、AliceとBobによって管理されています。Contosoの両方のWebサイトは、1人の開発者Eveによって管理されています。すべてのWebサイトでは、ユーザーが画像をアップロードできます。Webサイトが侵害された場合、影響は可能な限り制限する必要があります。 Apacheがコンテンツを提供し、Webサイトが攻撃から保護され、開発者が変更を加えることができるように、アクセス許可を設定する最適な方法を知りたいです。Webサイトの1つは次のように構成されています。 /var/www/fabrikam.com /cache /modules /styles /uploads /index.php これらのディレクトリとファイルにアクセス許可をどのように設定する必要がありますか?私はどこかであなたがウェブサイトで777許可を決して使うべきではないことを読みましたが、どんな問題を引き起こす可能性があるのか​​分かりません。繁忙期には、Webサイトはいくつかのページを自動的にキャッシュし、結果をキャッシュフォルダーに保存します。Webサイトの訪問者によって送信されたすべてのコンテンツは、アップロードフォルダーに保存されます。

9
Heartbleed:それは何で、それを軽減するオプションは何ですか?
これは、Heartbleedのセキュリティ問題の理解と修正に関する正規の質問です。 CVE-2014-0160別名「Heartbleed」とは何ですか?原因、OpenSSLのOSおよびバージョンの脆弱性、症状は何ですか?悪用の成功を検出する方法はありますか? システムに影響があるかどうかを確認するにはどうすればよいですか?この脆弱性はどのように軽減できますか?私の鍵または他の個人データが危険にさらされていることを心配する必要がありますか?他にどのような副作用を心配する必要がありますか?


5
私はDDoSの下にいます。私に何ができる?
これは、DoSおよびDDoSの軽減に関する標準的な質問です。 今日ホストするWebサイトで大量のトラフィックスパイクが見つかりました。1秒間に数千の接続が得られ、利用可能な帯域幅の100 Mbpsをすべて使用していることがわかります。すべてのリクエストがタイムアウトするため、誰も私のサイトにアクセスできません。また、SSHもタイムアウトするため、サーバーにログインすることさえできません。これは数回前に発生し、そのたびに数時間続き、それ自体で消えました。 時折、私のウェブサイトには別の明確だが関連する問題があります:私のサーバーの負荷平均(通常.25程度)は最大20以上のロケットであり、他のケースと同じように誰も私のサイトにアクセスできません。また、数時間後に消えます。 サーバーを再起動しても解決しません。サイトに再びアクセスできるようにするために何ができますか? 関連して、1〜2日の間、サービスを開始するたびに、特定のIPアドレスから接続を取得してクラッシュすることを一度発見しました。私が再びそれを起動するとすぐに、これは再び起こり、再びクラッシュしました。それはどのように似ていますか、それについて何ができますか?
179 security  ddos 

3
キーペアのメールアドレスを変更できますか?
SSHに使用するRSAキーペアを作成しました。これにはメールアドレスが含まれています。(公開鍵の最後に。) メールアドレスを変更しました。 キーのメールアドレスを変更することは可能ですか、それともキーの一部であり、新しいものを作成する必要がありますか?
134 security  rsa 

7
CTRL-ALT-DELでログインすると、Windowsの安全性はどのように向上しますか?
Windowsにログインすると、そのページでCTRL-ALT-DELWindowsの安全性が何らかの形で向上すると言われています。ログインする前に特定のキーの組み合わせを押すことでシステムの安全性が向上するメカニズムを理解できたことはありません。ログインするために任意のキーを押すVMS、UNIX、または関連システムに出会ったことはありません- ENTERログインプロンプトを取得するために押す古い端末ベースのUNIXを除きます。 CTRL-ALT-DELログインする前に押す必要があると、Windowsはより安全になりますか?
120 windows  security 

5
Dockerコンテナ内でセキュリティ更新を処理する方法は?
サーバーにアプリケーションを展開する場合、通常、アプリケーションがそれ自体にバンドルするものと、提供するプラットフォーム(オペレーティングシステムおよびインストール済みパッケージ)に期待するものとが分離されます。これの1つのポイントは、プラットフォームをアプリケーションとは無関係に更新できることです。これは、たとえば、アプリケーション全体を再構築せずにプラットフォームが提供するパッケージにセキュリティ更新プログラムを緊急に適用する必要がある場合に役立ちます。 従来、セキュリティアップデートは、パッケージマネージャコマンドを実行して、オペレーティングシステムにパッケージの更新バージョンをインストールするだけで適用されてきました(たとえば、RHELの「yum update」)。しかし、コンテナイメージがアプリケーションとプラットフォームの両方を本質的にバンドルするDockerなどのコンテナテクノロジーの出現により、コンテナを備えたシステムを最新の状態に保つ標準的な方法は何ですか?ホストとコンテナの両方に独自の独立したパッケージのセットがあり、ホスト上で更新および更新が必要な場合、コンテナ内のパッケージは更新されません。Dockerコンテナが特に注目されているRHEL 7のリリースでは、コンテナのセキュリティ更新を処理するRedhatの推奨される方法を聞くのは興味深いでしょう。 いくつかのオプションについての考え: ホスト上のパッケージマネージャーにパッケージを更新させても、コンテナー内のパッケージは更新されません。 更新を適用するためにすべてのコンテナイメージを再生成する必要があると、アプリケーションとプラットフォームの分離が崩れるようです(プラットフォームを更新するには、Dockerイメージを生成するアプリケーションビルドプロセスにアクセスする必要があります)。 実行中の各コンテナ内で手動コマンドを実行するのは面倒で、アプリケーションリリースアーティファクトからコンテナが次に更新されるときに変更が上書きされる危険があります。 したがって、これらのアプローチはどれも満足のいくものではありません。

6
ホストごとのパスワードを使用してansibleを安全に実装するにはどうすればよいですか?
ansibleを使用して、既存のサーバーのグループを管理したいと思います。ansible_hostsファイルを作成し-K、単一のホストのみをターゲットとするコマンドで(オプションを使用して)正常にテストしました ansible -i ansible_hosts host1 --sudo -K # + commands ... 私の問題は、各ホストのユーザーパスワードが異なることですが、Ansibleでこれを処理する方法が見つかりません。 を使用すると-K、前もって単一のsudoパスワードの入力を求められるだけで、プロンプトなしで後続のすべてのホストで試行されるようです。 host1 | ... host2 | FAILED => Incorrect sudo password host3 | FAILED => Incorrect sudo password host4 | FAILED => Incorrect sudo password host5 | FAILED => Incorrect sudo password これまでの研究: StackOverflowの質問 1つの間違った答え(「を使用して-K」)と『私はパスワードなしsudoを必要と分かった』と言っ作者つの応答 Ansible docs。「パスワードなしのsudoを使用すると自動化が容易になりますが、必須ではありません」(エンファシス鉱山) このセキュリティStackExchangeの質問は、読み取りとしてNOPASSWD必要なものです …
108 security  sudo  ansible 


20
サーバーをファイアウォールする必要があるのはなぜですか?
注意してください:私はこれを火炎戦争にすることに興味はありません!ファイアウォールソリューションに多大な労力を費やし、必要性を信じるように教え込まれているため、多くの人がこの主題について強く信じていることを理解しています。 ただし、セキュリティの専門家である人々からの回答を探しています。これは重要な質問であり、答えは自分自身や私が働く会社以上のものに役立つと信じています。何年もの間、妥協することなく、ファイアウォールなしでサーバーネットワークを運用してきました。私たちが経験したセキュリティ侵害は、ファイアウォールで防ぐことはできませんでした。 私が「サーバー」と言うとき、私は常に「秘密の内部請求データベース」ではなく、「一般に提供されるサービス」を意味するので、私はここであまりにも長く働いてきたと思います。そのため、ファイアウォールで使用するルールでは、インターネット全体へのアクセスを許可する必要があります。また、パブリックアクセスサーバーはすべて、オフィスとは別の専用データセンターにあります。 他の誰かが同様の質問をし、私の答えは負の数に投票されました。これは、投票する人々が私の答えを本当に理解しなかったか、または私が現在していることをするのに十分なセキュリティを理解していないかのいずれかを信じさせます。 これがサーバーセキュリティへの私のアプローチです。 サーバーをインターネットに接続する前に、オペレーティングシステムのセキュリティガイドライン に従ってください。 TCPラッパーを使用して、SSH(およびその他の管理サービス)へのアクセスを少数のIPアドレスに制限します。 Muninでこのサーバーの状態を監視します。そして、Munin-node固有の重大なセキュリティ問題をデフォルト構成で修正します。 新しいサーバーをNmapします(サーバーをインターネットに接続する前にも)。このサーバーをファイアウォールする場合、これは着信接続が制限されるポートの正確なセットである必要があります。 サーバーをサーバールームにインストールし、パブリックIPアドレスを付与します。 オペレーティングシステムのセキュリティ更新機能を使用して、システムを安全に保ちます。 私の哲学(および質問の根拠)は、強力なホストベースのセキュリティによってファイアウォールが不要になるというものです。全体的なセキュリティ哲学では、ファイアウォールがある場合でも、強力なホストベースのセキュリティが依然として必要であるとされています(セキュリティガイドラインを参照)。これは、パブリックサービスをサーバーに転送するファイアウォールにより、ファイアウォールがまったくないのと同じくらい攻撃者が有効になるためです。脆弱なのはサービス自体であり、そのサービスをインターネット全体に提供することはその操作の要件であるため、サービスへのアクセスを制限することは重要ではありません。 そこならばあるインターネット全体でアクセスする必要のないサーバーで使用可能なポートは、そのソフトウェアは、ステップ1でシャットダウンする必要があり、攻撃者が脆弱なソフトウェアを介してサーバーに侵入べきステップ4で確認しました攻撃者は自分でポートを開くと、代わりにランダムなポートでアウトバウンド接続を行うことで、ファイアウォールを簡単に破ることができます(そして実行します)。セキュリティのポイントは、攻撃が成功した後に自分自身を守ることではありません-それはすでに不可能であることがすでに証明されています-そもそも攻撃者を締め出すことです。 オープンポート以外にもセキュリティに関する考慮事項があることが示唆されていますが、私にとっては、自分の信仰を守るように思えます。オペレーティングシステム/ TCPスタックの脆弱性は、ポートがそのオペレーティングシステム/ TCPスタックに直接転送されているという事実に基づいて、ファイアウォールが存在するかどうかにかかわらず、同様に脆弱である必要があります。同様に、ルーター上にファイアウォールを設置するのではなく、サーバー自体でファイアウォールを実行すると(さらに悪いことに、両方の場所で)、不要な複雑なレイヤーが追加されるようです。「セキュリティは層になっている」という哲学は理解していますが、X層のベニヤ板を重ねて屋根を作り、それらすべてに穴を開けるような点があります。別の層の合板は、その穴からの漏れを止めません 正直に言うと、ファイアウォールをサーバーに使用する唯一の方法は、既知の攻撃者からのすべてのサーバーへのすべての接続を防止する動的ルールがある場合です-スパムのRBL(偶然にも、メールサーバーの機能とほぼ同じです) 。残念ながら、それを行うファイアウォールは見つかりません。次善の策はIDSサーバーですが、それは、攻撃者が最初に実サーバーを攻撃せず、攻撃者が攻撃する前にネットワーク全体を調べることを迷惑をかけることを前提としています。また、これらは多数の誤検知を引き起こすことが知られています。
104 security  firewall 


5
/ var / log / secureの「侵入の可能性!」—これはどういう意味ですか?
VPSプラットフォームでCentOS 5.xボックスを実行しています。私のVPSホストは、接続に関するサポートの問い合わせを誤って解釈し、いくつかのiptablesルールを効果的にフラッシュしました。これにより、sshは標準ポートでリッスンし、ポート接続テストを承認しました。うるさい。 幸いなことに、SSH認証キーが必要です。私が知る限り、侵害が成功したとは思いません。ただし、/ var / log / secureに表示される内容については非常に心配しています。 Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed - POSSIBLE BREAK-IN ATTEMPT! Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139 Apr 10 06:39:31 echo …
96 linux  security  ssh  centos 

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.