タグ付けされた質問 「security」

サーバーフォールトで回答できるため、 この質問はStack Overflowから移行されました。 9年前に移行され ました。 「強力なmysqlユーザーパスワードは必要ありません。それを使用するためには、サーバーに既にアクセスしているからです」という調子に対する議論がありました。私たちは、ライブのビジネスWebサイトで標準的な英語の辞書の単語である4桁のパスワードについて話しています。 私自身の知識と経験で答えに影響を与えることなく、私は彼らに無関心なサードパーティソースからのいくつかの応答を見せたいです。誰もこれにチャイムするのを気にしますか？プログラミング/実用的な答えをいただければ幸いです。

23 php  mysql  security  password 

ホスティング環境をより適切に構成するために、IISで使用されるIUSRおよびIWAMアカウントの適切な説明を探しています。 なぜそこにいるのですか？ それらの違いは何ですか？ 名前は意味のあるものを表していますか？ 行うべきベストプラクティスの変更はありますか？ IISには、アプリケーションプールをネットワークサービス、ローカルサービス、またはローカルシステムとして実行するオプションもあります。したほうがいい？ 私のWebサーバーはドメインの一部ですが、これにより状況はどのように変わりますか？ サーバーに複数のサイトを展開するときにこれらのアカウントの独自のバージョンを作成することは一般的であるように思われます。 いつ自分のIUSRおよびIWAMアカウントを作成したいですか？ これらの追加のアカウントを作成して、正しいアクセス許可を与えるにはどうすればよいですか？ 私は、IIS 6とIIS 7の両方をほとんどデフォルトの構成で使用しています。

23 windows  security  iis 

Active Directoryのどこかに、「[コンピュータ]から最後にログオンした」が書き込まれる/保存される、または解析できるログがあることを望んでいますか？ 最後にログオンしたPCを知りたいのは、ネットワーク経由でリモートサポートを提供するためです-ユーザーはほとんど移動しませんが、私が相談しているのはその朝（ログインしたとき）に更新されていることを知りたいです、おそらく）少なくとも。 また、参照可能な既知の場所にユーザー名とコンピューター名を書き込むログインスクリプトも検討していますが、一部のユーザーは一度に15日間ログアウトすることを好みません。 ログインスクリプトを使用するエレガントなソリューションがある場合は、必ずそれを言及します-しかし、それがたまたまステーションのロックを解除するために動作する場合、それはさらに良いでしょう！

23 active-directory  remote-access  user-management  security  logon-scripts 

ロックされています。この質問とその回答はロックされています。なぜなら、質問はトピックから外れていますが、歴史的に重要だからです。現在、新しい回答やインタラクションを受け入れていません。 何年もの間、さまざまなネットワークベースのIDSおよびIPSシステムを試してきましたが、結果に満足できませんでした。システムを管理するのが難しすぎるか、古い署名に基づいた有名なエクスプロイトでのみトリガーされるか、単に出力とチャットが多すぎます。 いずれにせよ、彼らが私たちのネットワークを本当に保護しているとは思わない。場合によっては、有効な接続をドロップしたり、単純に失敗したりするために、有害でした。 過去数年間で状況が変わったと確信していますが、最近推奨されているIDSシステムは何ですか？有効なヒューリスティックがあり、正当なトラフィックについて警告しませんか？ または、優れたファイアウォールと強化されたホストに依存する方が良いでしょうか？ システムを推奨する場合、そのシステムが機能していることをどのように確認しますか？ 以下の回答で述べたように、ホストベースの侵入検知システムはネットワークベースのIDSと密接に関連しているため、ホストの侵入検知システムに関するフィードバックも得ましょう。 現在の設定では、合計帯域幅が50 Mbpsの2つの個別のネットワークを監視する必要があります。ここでは、IDSを実行できるデバイスやサービスのリストではなく、実際のフィードバックを探しています。

23 networking  security  intrusion-detection 

この投稿を改善したいですか？引用や回答が正しい理由の説明など、この質問に対する詳細な回答を提供します。十分な詳細のない回答は、編集または削除できます。 Windows Server 2003はMicrosoftの非常に優れたオペレーティングシステムであり、私たちは日常的にこれに依存しています。 私はそれを「より新しく」より「現代的」なものに置き換えるべきだと聞いたことがあります。 なぜこれを行う必要がありますか？ アップグレードしない場合の影響は何ですか？

22 windows-server-2003  security 

リモートsshアクセスとルートアクセスがあります。物理的にアクセスできません。私は何かを起動することを含む解決策を探していません。現在実行しているものからこれを行いたいです。 OSはSL6です。必要なものをすべてRAMにロードし、ddなどを使用してディスク全体を安全に消去する方法はありますか？明らかに、これは最終的には機能しないボックスになり、私の意図した結果になります。 これが可能になるはずです。 さらに2つの興味深い追加： sshを実行し、screenを実行し、ddコマンドを実行して、切り離すことができます。終了したら、1週間後にログインします。:) どういうわけか進行状況バーがありますか？ 更新：chrootオプションを使用するようになりました。現在実行中： mkdir /dev/shm/ramdisk/ && cd ramdisk && mkdir bin lib64 && cd /lib64 && cp ld-linux-x86-64.so.2 libc.so.6 libdl.so.2 libpthread.so.0 librt.so.1 libtinfo.so.5 /dev/shm/ramdisk/lib64 && cd /bin && cp bash dd /dev/shm/ramdisk/bin && cd /dev/shm/ramdisk && chroot . これは動作します（！）が、まだ/ dev / zeroと/ dev / sdaが必要です。何かアイデアはありますか？ 更新 …

22 linux  security  dd  secure-delete 

UFWのマニュアルページには、iptablesのレート制限を設定できることが記載されています。 ufwは、接続レート制限をサポートしています。これは、総当たりログイン攻撃から保護するのに役立ちます。IPアドレスが過去30秒間に6つ以上の接続を開始しようとした場合、ufwは接続を拒否します。詳細については、 http：//www.debian-administration.org/articles/187 を参照してください。典型的な使用法は次のとおりです。 ufw limit ssh/tcp 残念ながら、これは私が見つけることができるすべてのドキュメントです。私はUFWに固執し、より複雑なiptablesコマンドを使用したくない（物事を「複雑でない」状態に保つため）。 ufwを使用して、ポート80のすべての着信（発信ではない）トラフィックを30秒あたり20接続に制限するにはどうすればよいですか？ポート30000〜30005のレート制限を無効にするにはどうすればよいですか？レート制限はすべてのポートでデフォルトで有効になっていますか？

22 security  firewall  brute-force-attacks  ufw  rate-limiting 

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか？ 質問を更新することがありますので、話題のサーバー障害のため。 6年前に閉鎖されました。 このHacker Newsのストーリーは、FTPの欠点に関するものです。FTPを設定する唯一の理由は、それが簡単だからです。 私はscpすでに知っていて使用していsshますが、サーバーへのアクセスを許可せずに誰かとファイルを共有したい場合があります。ファイルをアップロードおよびダウンロードできるようにしたいが、それ以外は何もしないようにし、それらを単一のディレクトリに制限したい。また、それらの接続をのように暗号化する必要がありますssh。 これらの基準を満たすFTPの代替手段は何ですか？

22 security  ftp  sftp 

Windows 2008およびIIS7を実行しているサーバーからホストしたすべてのサイトのさまざまなIPアドレスをブロックしようとしています。IIS7マネージャーの機能ビュー（http://technet.microsoft.com/en-us /library/cc733090(WS.10).aspx）、しかしそのようなアイコンはありません。 IISマネージャーでそのUIを取得するにはどうすればよいですか？

22 security  iis-7  ip  denial-of-service 

MySQLサーバーをセットアップしていmysql-rootますが、インストール中にAnsibleにパスワードを設定させたいです。 インターネットの助けを借りて、私はこの解決策を思いつきました。 - name: Set MySQL root password before installing debconf: name='mysql-server' question='mysql-server/root_password' value='{{mysql_root_pwd | quote}}' vtype='password' - name: Confirm MySQL root password before installing debconf: name='mysql-server' question='mysql-server/root_password_again' value='{{mysql_root_pwd | quote}}' vtype='password' - name: Install Mysql apt: pkg=mysql-server state=latest mysql_root_pwdAnsible Vaultからロードされた変数です。これは正常に動作しますが、サーバー上ではログに多くの行があります： Apr 10 14:39:59 servername ansible-debconf: Invoked with value=THEPASSWORD vtype=password …

22 security  ansible 

Ubuntu Precise 12.04で実行されているOpenSSH 5.9p1サーバーがあり、内部ネットワークとインターネットの両方からの接続を受け入れます。インターネットからの接続には公開鍵認証を要求しますが、内部ネットワークからの接続には公開鍵またはパスワード認証を受け入れます。これを実装するようにOpenSSHを構成できますか？

22 linux  security  ssh  ssh-keys 

この質問に対する実行可能な答えを探しましたが、ほとんどの答えには、なぜそうしないかに関するアドバイスが含まれています。ただし、ここにシナリオと、それが必要な理由があります。 コンソールアプリがあり、各ユーザーの.profileにはアプリの起動コマンドがあり、起動するコマンドの直後に、システムからログアウトする「終了」コマンドがあります。提供されているインターフェイスを介してのみこのコンソールアプリにアクセスできるようにしたいのです。起動時に、アプリはユーザーにアプリを介してアクセスできるクライアントのリストを提示します。各クライアントには独自のデータディレクトリがあります。ユーザーには、アクセスが必要なクライアントのみにアクセスが許可されます。 問題は次のとおりです。ユーザーにSSHアクセスを許可すると、SFTPクライアントを使用してログインできるようになります。これにより、アプリのデータディレクトリに直接アクセスできるようになります。アクセスするべきではないデータディレクトリにアクセスします。 telnet / FTPの組み合わせを使用する場合、これは非常に簡単なことでしたが、インターネット上のどこからでもユーザーにアクセスを許可したいので、SFTPからそれらをシャットダウンする方法を見つけることができませんでした。引き続き、アプリを実行できるシェルへのアクセスを許可します。

21 linux  ssh  security  sftp 

最近、新しいRedHat EL5.6サーバーが私の管理下に置かれました。過去12か月間、どのような種類のパッケージの更新にもほとんど注意が払われていないことがすぐにわかります。 通常、私はそれが壊れていないかどうかの考え方です-それを修正しないでください。ただし、サーバーをRHNに登録し、yum-securityプラグインを使用してセキュリティ更新を確認した後、1100を超える「セキュリティ」更新が利用可能です。 誰か同じような状況がありましたか？更新対象と、ボックスで実行されているもの（本番サーバー）に影響を与える可能性があるかどうかを知りたいので、すべてを更新するのは嫌です。ただし、この慣行に従っていると、1100パッケージの正誤表を1行ずつ確認する必要があります。より効率的なソリューションはありますか？

21 security  redhat  yum 

Server、X-Powered-Byおよび他の同様のヘッダーの使用は何ですか？コンセンサスは、自動脆弱性スキャナーがどのソフトウェアのどのバージョンを扱っているかをすぐに認識せず、自動脆弱性発見が難しくなるように、それらを削除する必要があるようです。 サイトがIIS 7で実行されており、X-Powered-ByASP.NETバージョン4であることを世界中に知らせることが本当に役立つシナリオはありますか？

21 security  http-headers 

従来、すべてのウイルス対策プログラムとIPSシステムは、署名ベースの技術を使用して機能します。ただし、これはゼロデイ攻撃の防止にはあまり役立ちません。 したがって、ゼロデイ攻撃を防ぐために何ができますか？

21 firewall  anti-virus  security