タグ付けされた質問 「security」

マサチューセッツ州の新しい個人情報保護法を順守するために、私の会社は（とりわけ）個人情報が電子メールで送信されるときは常に暗号化されていることを確認する必要があります。これを行う最も簡単な方法は何ですか？基本的に、私は受信者の側で最小限の労力で済むものを探しています。可能な限り、プログラムをダウンロードしたり、キーペアなどを生成するための手順を実行したりする必要はまったくありません。したがって、コマンドラインのGPGタイプのものはオプションではありません。メールシステムとしてExchange ServerとOutlook 2007を使用しています。 電子メールを簡単に暗号化してから、キーを使用して受信者をFAXで送信するために使用できるプログラムはありますか？（または、受信者がダウンロードしてメールを復号化できる公開キーを含むウェブサイトへのリンクをメールに含めることができますか？）これらの暗号化されたメールの多くを送信する必要はありませんが、送信する人は特に技術的ではないので、できるだけ簡単にしたいです。良いプログラムの録音は素晴らしいでしょう。ありがとう。

17 networking  security  email  encryption 

PHP-FPMがセッションフォルダーに書き込むことができないため、多くのスクリプトを実行するのに問題があります。 "2009/10/01 23:54:07 [エラー] 17830＃0：* 24 FastCGIがstderrに送信：" PHP警告： 不明：open（/ var / lib / php / session / sess_cskfq4godj4ka2a637i5lq41o5、O_RDWR） 失敗：行0の不明で許可が拒否されました（13） PHP警告：不明：セッションデータ（ファイル）の書き込みに失敗しました。確認してください session.save_pathの現在の設定が正しいこと （/ var / lib / php / session）アップストリームの読み取り中に0行目の不明で これは明らかに許可の問題です。セッションフォルダーの所有者/グループは、WebサーバーのユーザーNGINXです。PHP-FPMはnobodyあたかも実行されるため、nginxグループに追加するのはそれほど簡単ではありません。 一時的な解決策は、のパーミッション設定することです/var/lib/php/sessionへの777-でも、私は、「ベストプラクティス」ではありません感じています。 フォルダーへのデーモン書き込みアクセスを割り当てる必要があるが、次のように実行されている場合のベストプラクティスは何nobodyですか？

17 linux  security  php  centos 

Dropboxのファイル共有/バージョン管理/バックアップの全社的な使用に関して留意すべき特定のセキュリティ上の懸念はありますか？また、リスクを制限するために推奨される特定のオプションまたは設定はありますか？

17 security  backup  file-sharing  versioning  dropbox 

現在、Webに面したWindowsサーバーの展開を開始しています。 サーバーを保護する方法を教えてください。どのソフトウェアを使用していますか？ Linuxでは、Fail2banを使用してブルートフォースを防止し、Logwatchを使用してサーバーで何が起こっているかを毎日レポートします。Windowsにこれらのソフトウェアに相当するものはありますか？そうでない場合、サーバーを保護するために何を使用することをお勧めしますか？

17 windows  security  web-server  iis-7.5 

かなりの数のルールを含むセキュリティグループがいくつかあります。わずかな違いに対応するためだけに多数のセキュリティグループに対して同じルールを再作成するのではなく、セキュリティグループをコピーして開始点として使用したり、継承を使用したりすることはできますか？

17 security  amazon-web-services 

gitを使用して、Linuxサーバー全体をバージョン管理下に置くことを考えています。その背後にある理由は、悪意のある変更/ルートキットを検出する最も簡単な方法かもしれないということです。システムの整合性を確認するために必要だと思うすべて：レスキューシステムを使用して毎週Linuxパーティションをマウントし、gitリポジトリがまだ調子が悪いかどうかを確認し、システムに加えられた変更を検出するためにgitステータスを発行します。 ディスク容量の明らかな浪費とは別に、他の負の副作用はありますか？ それは完全にクレイジーなアイデアですか？ 少なくとも/ devと/ procを除外する必要がある可能性が高いので、ルートキットをチェックする安全な方法ですらありますか？

17 linux  security  git  rootkit 

SLES 10.1を使用していますが、vsftpdを設定してルートログインを許可しようとしています。誰もこれを行う方法を知っていますか？ これまでのところ、私はこれを持っています： local_enable=YES chroot_local_user=NO userlist_enable=YES userlist_deny=NO userlist_file=/etc/vsftpd.users そして、/ etc / vsftpd.usersにルートを追加しました。ログインしようとすると、次のようになります。 $ ftp susebox susebox.example.comに接続しました。 220-FTPサーバー（ユーザー 'me@example.com'） 220 ユーザー（susebox.example.com:(none））：root 331-パスワード： 331 パスワード： リモートホストによって接続が閉じられました。 C：\> ところで、答えがわからない場合は、ルートログインを許可しない方法について私に迷惑をかけないでください。私は自分が何をしているかを知っており、結果として生じる可能性のある時空連続体の破裂に対する完全な責任を受け入れます。

17 security  login  root  ftp  sles 

最近、基本的にIPMIシステムを実行するBMCが組み込まれたSuperMicro X8DTU-Fマザーボードを購入しました。これは、ARMプロセッサーで実行される小さなLinuxシステムであることが判明しました。 残念ながら、それはソフトウェアのボートロードを実行していますが、その多くは必要ありませんし、ファイアウォールの内側に置くこともできません。ただし、IPMI機能が必要です。これらのいずれかを使用したことがある人は、物を保護する方法についていくつかの具体的な提案を持っていますか？それは本質的にROMファイルシステムであるものから起動し、それが実行するさまざまなサーバーのいずれかをオフにするフックさえないようです... また、さまざまなサービスすべてを通じてシステムにアクセスするために使用できる名前とパスワードのリストを確認する方法にも興味があります。デフォルトはADMIN/ ですがADMIN、/ confまたは/ etc内のファイルには「ADMIN」がありません。不思議な「テスト」ID /conf/shadowを含む/conf/webshadowファイルがありますが、これは私にとっても特に快適なものではありません。

17 security  ipmi  supermicro 

TrustWaveの脆弱性スキャナーは、RDPを実行しているWindows 10マシンが原因でスキャンに失敗します。 Sweet32（CVE-2016-2183）として知られる64ビットのブロックサイズ（DESや3DESなど）の誕生日攻撃のブロック暗号アルゴリズム 注：RDP（リモートデスクトッププロトコル）を実行しているWindows 7/10システムでは、無効にする必要がある脆弱な暗号には「TLS_RSA_WITH_3DES_EDE_CBC_SHA」というラベルが付いています。 IIS Crypto（Nartac）を使用して、「ベストプラクティス」テンプレートとPCI 3.1テンプレートを適用しようとしましたが、どちらにも安全でない暗号（TLS_RSA_WITH_3DES_EDE_CBC_SHA）が含まれています。 この暗号を無効にすると、このコンピューターから多くのWindowsステーションへのRDP が機能しなくなります（一部の2008 R2および2012 R2サーバーでも機能します）。RDPクライアントは、単に「内部エラーが発生しました」とイベントログを提供します。 TLSクライアント資格情報の作成中に致命的なエラーが発生しました。内部エラー状態は10013です。 いずれかのサーバーのサーバーイベントログを確認し、これら2つのメッセージを確認しました リモートクライアントアプリケーションからTLS 1.2接続要求を受信しましたが、クライアントアプリケーションでサポートされている暗号スイートはいずれもサーバーでサポートされていません。SSL接続要求が失敗しました。 次の致命的なアラートが生成されました：40。内部エラー状態は1205です。 発信RDPを中断せずにセキュリティの脆弱性を修正するにはどうすればよいですか？ または、上記が不可能な場合、各RDPホストで実行できることはありますか？ --- 更新＃1 --- Windows 10マシンでTLS_RSA_WITH_3DES_EDE_CBC_SHAを無効にした後、複数のRDPホストに接続しようとしました（それらの半分は「内部エラー...」で失敗しました）。そこで、接続できるホストの1つと接続できないホストの1つを比較しました。両方とも2008 R2です。両方に同じRDPバージョンがあります（6.3.9600、RDPプロトコル8.1がサポートされています）。 テンプレートファイルを比較できるように、IIS Cryptoを使用して現在の設定で「テンプレートの保存」を行うことにより、TLSプロトコルと暗号を比較しました。それらは同一でした！したがって、問題が何であれ、ホスト上の欠けているスイートの問題ではないようです。以下は、Beyond Compareのファイルのスクリーンショットです。 この問題の原因となる2つのRDPホストとその修正方法の違いは何ですか？

16 windows  security  ssl  rdp 

ハードディスクを含むラップトップを手渡す必要があります。暗号化されていないので、少なくともすぐに消去したかった。私はこれがSSDで最適ではないことを知っていますが、私は単なる読みやすいよりも良いと思いました。 現在、ライブUSBスティックのワイプを実行していますが、非常に遅いです。なぜだろうか。もちろん、そのデバイスをワイプすること以外、コンピューター上ではほとんど何も起きていないので、エントロピーが低くなる可能性があると思います（entropy_availによると、それは1220にあります）。電話をかけるだけでも同様に良いでしょうか dd if=/dev/random of=/dev/sda1 bs=1k 四回？または、ランダム性を高めるものを呼び出す方法はありますか？または、ボトルネックはどこかで完全に異なっていますか？

16 security  ssd  dd  secure-delete 

定期的なオンサイトバックアップ（耐火金庫に保管）に加えて、AESで暗号化されたテープを月に一度オフサイトに送信します。したがって、ある日、エイリアンの熱線によって気化した場合、少なくとも1つの最近のバックアップから回復する必要があります。 128ビットの暗号化キーはオンサイトでのみ保存されることを除きます。したがって、真の災害の場合、実際には1つの暗号化されたバックアップが残され、それを復号化する方法はありません。 質問：暗号化キーをオフサイトに保存するための最良のポリシーは何ですか？ どの方法を選択してもセキュリティ監査に合格する必要があるため、「自宅にコピーを保管する」ことは適切ではなく、「オフサイトテープに保管する」ことは、そもそもそれらを暗号化する目的に反します。検討中のオプションには、次のものがあります。 銀行のセーフティボックス パスワードで保護された形式でクラウドまたは地理的に離れたネットワークに保存されます（たとえば、KeepassやPassword Safeなどのソフトウェアを使用） もちろん、2番目のオプションには別の疑問があります。そのパスワードをどのように安全に保つかです。

16 security  backup  encryption 

sshで実行されているgitサーバーがあり、各ユーザーはシステム上にUNIXアカウントを持っています。 2人のユーザーがリポジトリにアクセスできる場合、コミットユーザー名と電子メールはgitクライアントによって送信および制御されるため、どのユーザーがどのコミットを実行したかをどのようにして確認できますか。 ユーザーが同じ承認権限を持っている場合でも、ユーザーが別のユーザーになりすまそうとするのではないかと心配しています。

16 git  security  audit 

コンピューターの管理コンソールまたはコマンドラインから、ユーザーのパスワードの有効期限を決定する方法はありますか？ 注：ドメインの一部ではないサーバーについて、この質問をしています。

16 windows-server-2008  security 

ネットワークの外部からアクセスするリモートデスクトップサーバー（ターミナルサービス）を公開する必要があると考えています。現時点では、ネットワーク内からのみアクセスできます。 ファイアウォールを開いてポートを転送するのは簡単だと思います。 ただし、マシン自体をどのように保護するのですか？また、これに関するベストプラクティスは何ですか？私の懸念は、ハッカーがそれに侵入することで働くことができることです。 ベストプラクティスのガイドライン/推奨事項は大歓迎です。 編集： 見つけた製品に関する質問： IP、MACアドレス、コンピューター名などで着信RDP接続をフィルター処理する 誰もこれのセキュリティについてコメントできますか？私はそれを使用してマシン名/ Macでアクセスを制限することもできますか？他の誰かがそれを使用しましたか？

16 security  remote-desktop 

ルートサーバーへのアクセスを外部システム管理者に許可したいのですが、彼が自分のサーバーに対して何をしているか、例えば、やりたくないデータをコピーするなど、必ず確認してください。また、編集されていない読み取り専用であっても、アクセスされたファイルを追跡したいと思います。 どうやってやるの？

16 security  freebsd