タグ付けされた質問 「security」

統合Windows認証をIISで動作させるのに苦労している人々の報告が何千もあることは知っていますが、それらはすべて適用されないWebページまたは既に試したソリューションにつながるようです。私は以前にこのようなサイトを何十も展開したことがあるので、サーバー/構成で何か奇妙なことが起こっているか、あまりにも長い間見ていて明らかなものを見ていません。 簡単に言えば、すべてがローカルマシン上で完全に動作しますが、実稼働サーバー上ではバラバラになります。 ローカルマシンで： マシンはWindows 7 Ultimate、Service Pack 1、IIS 7.5を実行しています。 IISとVS Web開発サーバーの両方を使用して、サイトは正常にテストされました。 IISサイト構成では、Windows認証を除くすべての認証方法が無効になっています。 ローカルマシンはどのドメインにもありません。 設定されるプロバイダーは、ネゴシエートおよびNTLMです（ネゴシエート：Kerberosではありません）。 拡張保護はオフです。 テストされたすべてのブラウザ（IE、Firefox、Chrome）にチャレンジプロンプトが表示され、（ローカル）Windowsアカウントでローカルホストドメインにログインできます。 テストされたすべてのブラウザは、不透明なローカルIPアドレスを使用しても機能します。したがって、ブラウザ自体は、サイトが「ローカル」または「リモート」のどちらであるかを気にしません。 現在ログインしているユーザーを表示する表示行をWebページに追加しました。これには、期待どおりの内容（ログインしているローカルユーザー）が表示されます。 リモートマシンで： サーバーはWindows Server 2008 R2、IIS 7.5を実行しています。 Webページをロードすると、すぐに 401.2エラーが発生します。認証ヘッダーが無効なため、このページを表示する権限がありません。 チャレンジプロンプトは表示されません。 IISサイト構成では、Windows認証を除くすべての認証方法が無効になっています。 リモートマシンはどのドメインにもありません。 設定されるプロバイダーは、ネゴシエートおよびNTLMです（ネゴシエート：Kerberosではありません）。 拡張保護はオフです。 リモートマシン（リモートデスクトップセッション）では、ドメインがローカルホストか外部IPアドレスかに関係なく、Internet Explorerに同じエラーが表示されます。 ローカルマシンからリモート Webサイトを表示しようとすると、エラーは401のままですが、401が少し異なります。サブコードはなく、次のテキストが含まれています。無効な資格情報によりアクセスが拒否されました。 Windows認証 IISの役割機能がされてインストールされています。 WindowsAuthenticationモジュールがされ（サーバー・レベルで）追加します。 Windows認証をオフにして基本認証を有効にすると、まったく同じエラーが発生します。 Windows認証を無効にし、匿名を有効にすると（明らかに）サイトは読み込まれます。 Microsoftサポートのトラブルシューティング手順のすべてを既に実行しました：IISのHTTP 401エラーのトラブルシューティング 別のマイクロソフトサポートページに表示されている回避策を既に試しました（NTLMを唯一の方法として強制するため）。 最後に大事なことを言い忘れましたが、401.2エラーのFREBを有効にしようとしましたが、結果は何の役に立つものでもないようです。 MODULE_SET_RESPONSE_ERROR_STATUS ModuleName IIS Web Core Notification …

21 security  iis  authentication  iis-7.5  http-authentication 

Linux環境でのスーパーユーザーのアクティビティを追跡するための最良のアプローチは何ですか。 具体的には、次の機能を探しています。 A）キーストロークをセキュリティで保護されたsyslogサーバーに記録する B）シェルセッションを再生する機能（scriptreplayのようなもの） C）理想的には、これはサーバーに物理的にアクセスすることなく回避することが不可能な（または非常に難しい）ものでなければなりません。 これをセキュリティ/監査の観点から考えてください。異なるシステム管理者（またはサードパーティ）がサーバーで特権操作を実行できるようにする必要がある環境で。 すべての管理者は自分の名目上のアカウントを持ち、必要に応じて再生できるように、すべての対話型セッションを完全にログに記録する必要があります（たとえば、重要なファイルを削除または変更するためにmcを使用した場合、それだけでは不十分です）その人がmcコマンドを発行したことを知ってください; mcの起動後に何が行われたかを正確に確認する方法が必要です。 追加のメモ： wombleが指摘しているように、サーバーで変更を実行するためにroot権限でログインするのではなく、構成管理システムを使用して変更するのが最善のオプションかもしれません。そのため、このようなシステムがなく、同じサーバー上の異なるユーザーにルートレベルのアクセスを許可する必要がある状況を想定しましょう。 私はこれを秘密裏に行うことにまったく興味がありません：ルート権限でサーバーにログインするすべての人は、セッションが記録されることを完全に認識します（たとえば、コールセンターのオペレーターが会話が記録中） 誰も一般的なスーパーユーザーアカウント（「ルート」）を使用しない 私はttyrpldを知っており、私が探していることをやっているようです。しかし、その前に、変更されていないカーネルを使用することでこれを解決できるかどうかを知りたいと思います。シェルまたはカーネルにパッチを当てることなく、スーパーユーザーアカウントの完全な監査を可能にする、特にDebian（または一般にLinux）用のツールがあるかどうかを知りたいです。

21 linux  security  audit 

着信sshセッションを監視するLinuxソフトウェアはありますか。以前の仕事で、たとえばRed Hatからのサポートが必要な場合は、マシンにSSHで接続して、彼らが何をしているかを見ることができると言われました。 私は彼を助けるために友人のマシンにsshしたいのと同じような状況にありますが、私は彼が教育目的で何をしているかを見て、悪意のあることをしないようにしたいです。 助言がありますか？ ありがとう

21 linux  security  ssh  monitoring 

ルートパスワードを削除し、リモートログインを無効にし、基本的に管理者がsudoを使用して管理アクションを実行することを要求する必要がありますか？

21 linux  security  authentication  login  root 

ロックされています。この質問とその回答はロックされています。なぜなら、質問はトピックから外れていますが、歴史的に重要だからです。現在、新しい回答やインタラクションを受け入れていません。 / dev / [u] randomよりも速い方法はありますか？時々、私は次のようなことをする必要があります cat / dev / urandom> / dev / sdb ランダムなデバイスは「あまりにも」安全であり、残念ながら遅すぎます。wipe安全な削除を行うための同様のツールがあることは知っていますが、Linuxにはオンボードの手段もいくつかあると思います。

21 linux  security 

私はHerokuがまだ初期の頃からファンでした。ただし、AWS Elastic Beanstalkを使用すると、インスタンスの特性をより詳細に制御できるという事実が気に入っています。Herokuで気に入っていることの1つは、アプリをデプロイでき、管理する必要がないことです。私は仮定して Herokuのは、すべてのOSのセキュリティアップデートが適時に適用されている保証することです。アプリが安全であることを確認するだけです。 Beanstalkに関する私の最初の調査では、インスタンスを構築および構成しますが、その後、より手動の管理プロセスに移行することが示されています。セキュリティ更新プログラムは、インスタンスに自動的に適用されません。2つの懸念領域があるようです。 新しいAMIリリース-新しいAMIリリースがヒットすると、最新の（おそらく最も安全な）を実行したいと思われます。しかし、私の調査では、最新のAMIバージョンを表示するには新しいセットアップを手動で起動し、その新しいバージョンを使用する新しい環境を作成する必要があることが示されているようです。インスタンスを新しいAMIリリースにローテーションするより良い自動化された方法はありますか？ リリースの間に、パッケージのセキュリティ更新プログラムがリリースされます。それらも同様にアップグレードしたいようです。私の調査では、人々がコマンドをインストールしてyumアップデートを時々実行することを示しているようです。ただし、新しいインスタンスは使用法に基づいて作成/破棄されるため、新しいインスタンスには常に更新があるとは限りません（つまり、インスタンスの作成から最初のyum更新までの時間）。そのため、パッチが適用されていないインスタンスが存在する場合があります。また、新しいAMIリリースが適用されるまで、インスタンスに絶えずパッチを適用します。私のもう1つの懸念は、おそらくこれらのセキュリティ更新プログラムはAmazonのレビューを経ていない（AMIリリースのように）ため、アプリが自動的に更新されない可能性があることです。Dreamhostは、レビューなしで完全に自動的にdebianアップデートを適用していたため、12時間の停止があったことを知っています。同じことが私に起こらないようにしたい。 私の質問は、AmazonはHerokuのような完全に管理されたPaaSを提供する方法を提供していますか？または、AWS Elastic Beanstalkは実際には単なるインストールスクリプトに過ぎず、その後は自分で（監視ツールとデプロイツールが提供するものを除いて）自分自身になりますか？

21 security  cloud  elastic-beanstalk 

FreeBSDにFTPサーバーを設置しているときに、インターネットでこれを見つけました。 nologinを/ etc / shellsに入れると、これらのアカウントをFTPで使用できるバックドアが作成される可能性があります。 （参照：http : //osdir.com/ml/freebsd-questions/2005-12/msg02392.html） 誰がこれがなぜなのか説明できますか？そして、なぜnologinのコピーを取り、それを/ etc / shellsに入れるとこの問題が解決しますか？

21 security  ftp  shell  login 

サーバーを外部の攻撃から保護するために、多くの時間とコラムが費やされています。これは完全に有効です。なぜなら、攻撃者が物理的なアクセスを取得するよりも、インターネットを使用してサーバーを破壊する方が簡単だからです。 ただし、一部のIT専門家は、物理サーバーセキュリティの重要性を強調しています。ほとんどではないにしても、最も深刻なセキュリティ侵害の多くは組織内部から実行されます。 サーバーまたはサーバールーム自体にアクセスする必要のないオンサイトアクセスを持つユーザーからサーバーをどのように保護しますか？ それはキュービクル内のITマネージャーの机のすぐ隣にありますか、それとも電子カードと生体認証アクセスでいくつかのドアの後ろにロックされていますか？ 誰かがサーバーに物理的にアクセスできるようになったら、どのような保護策が講じられていますか？ もちろん、これは組織によって異なり、ビジネスニーズやビジネスニーズによって異なりますが、プリントサーバーでさえも、印刷される機密データ（契約および従業員情報）にアクセスできるため、一見しただけではないこともあります。

21 security  datacenter 

私の理解から、DNSはUDPとポート53を使用します。ポート番号53への着信UDPパケットがブロックされなかった場合、どのような望ましくないことが起こる可能性がありますか？ 更新：パケットは、大学が運営するローカルDNSサーバーまたは大学が運営する権限のあるDNSサーバーを発信元または宛先とします。

20 domain-name-system  security  udp 

DRAMチップは非常に密集しています。調査により、隣接するビットはランダムに反転できることが示されています。 ECCを備えたサーバーグレードのDRAMチップでバグがランダムに発生する可能性はどれくらいですか（CMU-Intelの論文では、たとえば1年で1つの障害が発生した未知のチップの番号9.4x10 ^ -14を引用しています）。 メモリを購入する前に、バグが修正されたかどうかを知るにはどうすればよいですか？ CentOS 7などでテナントや非特権ユーザーなどによる特権エスカレーションを行う悪意のある試みに対処するにはどうすればよいですか？ 参照： 悪用されたRow Hammer DRAMバグ、物理メモリへのアクセスのロックを解除 アクセスせずにメモリ内のビットを反転する：DRAM障害エラーの実験的研究 GoogleのPoCリポジトリ プロジェクトゼロの評価

20 security  memory  ecc  bug 

CentOSやScientific LinuxなどのRedHatベースのディストリビューションを実行しているマシンがあります。インストールされたパッケージに既知の脆弱性がある場合、システムが自動的に通知するようにします。FreeBSDはports-mgmt / portauditポートでこれを行います。 RedHatはyum-plugin-securityを提供し、Bugzilla ID、CVE ID、またはアドバイザリID によって脆弱性をチェックできます。さらに、Fedoraは最近yum-plugin-securityのサポートを開始しました。これはFedora 16で追加されたと思います。 Scientific Linux 6は、2011年後半の時点でyum-plugin-securityをサポートしていませんでした。これは、同梱さん/etc/cron.daily/yum-autoupdate毎日RPMを更新します、。ただし、これはセキュリティ更新のみを処理するとは思わない。 CentOSはをサポートyum-plugin-securityしていません。 CentOSとScientific Linuxのメーリングリストの更新を監視していますが、これは退屈で、自動化できるものが必要です。 CentOSおよびSLシステムを保守する私たちにとって、次のことができるツールがあります。 現在のRPMに既知の脆弱性がある場合、自動的に（プログラム的に、cronを介して）通知します。 オプションとして、セキュリティの脆弱性に対処するために必要な最小限のアップグレードを自動的にインストールします。これはおそらくyum update-minimal --securityコマンドラインにありますか yum-plugin-changelog各パッケージの変更ログを印刷して、特定の文字列の出力を解析するために使用することを検討しました。すでにこれを行うツールはありますか？

20 centos  security  redhat  yum  scientific-linux 

私が勤務するオフィスでは、ITスタッフの他の3人のメンバーが、ドメイン管理者グループのメンバーであるアカウントを使用して常にコンピューターにログインしています。 管理者権限（ローカルまたはドメイン）でログインすることに深刻な懸念があります。そのため、日常のコンピューター使用には、通常のユーザー特権を持つアカウントを使用します。ドメイン管理者グループの一部である別のアカウントも持っています。自分のコンピューター、サーバーの1つ、または別のユーザーのコンピューターで高い特権を必要とする何かをする必要があるときに、このアカウントを使用します。 ここでのベストプラクティスは何ですか？ネットワーク管理者は、常にネットワーク全体（またはローカルコンピューター）の権限でログインする必要がありますか？

20 windows  security  best-practices 

サーバーフォールトで回答できるため、 この質問はStack Overflowから移行されました。 10年前に移行され ました。 これは私のFTPフォルダーの1つにアップロードされました。私はApacheには慣れていませんが、まだ興味があります-このファイルがコミットしようとしている卑劣な行為の種類を誰かに教えてもらえますか？ありがとう！ RewriteEngine On RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR] RewriteCond %{HTTP_REFERER} …

20 apache-2.2  security  mod-rewrite  .htaccess 

SSH経由でログインするほとんどの（すべてではない）ユーザーにchroot jailをセットアップしたいと思います。opensshの最新バージョンでは可能だと聞いたことがありますが、その方法を見つけることができませんでした。ハウツーはすべて、古いバージョンにパッチを適用することについて話しているため、パッチは使用できなくなりました。 debian etchを実行しています。

20 security  ssh  debian  chroot 

Windows Server 2008マシンでSSHデーモンを使用してCygwinを実行しています。私はイベントビューアを見ていましたが、先週かそこらで、異なるIPからの1秒あたり5〜6回のログイン試行の失敗（ブルートフォース）に気付きました。 これらのIPを1つずつ手動でブロックするのではなく、どのように自動ブロックできますか？ ありがとう、アーマッド

20 windows-server-2008  security  ssh  automation  audit