タグ付けされた質問 「security」

TFS Integration Toolを実行するには、TFSの「Team Foundation Service Accounts」グループにユーザーを追加する必要があります。 私は、TFSを実行しているマシンとTFSインストールの両方の管理者です（つまり、TFS管理者グループに所属しています）。 Team Foundation Server管理コンソールを使用してこれを実行しようとすると、追加オプションがグレー表示されます。 これを行う方法に関するアイデアはありますか？

16 security  team-foundation-server 

サーバーの小規模ネットワークがあり、一般的なセキュリティを強化したいと思います。VPNを設定するのに十分な時間/お金/妄想がありません-システムのセキュリティを強化する基本的な方法は何ですか？ 1つは、ユーザーにキーの送信とパスワードの入力の両方を要求することです。"ssh key password"についてのすべてはパスワードなしでのsshingであるため、これはGoogleにとってはやや困難です。:-) 私が常にいじりたいと思っていたスキームの1つは、着信接続がdyndns IPアドレスのホワイトリストからのみ来るように要求することです。いくつかのセキュリティヘッドがこのアイデアの考えで吐き出すことは知っていますが、問題の事実は、ボックスを悪用するために非常に大きな複雑さを追加することです。 どう思いますか？他に何がありますか？

16 security  ssh 

私のウェブサイトはaltoonadesign.comです。ブラウザに直接入力すると、正しいサイトに移動します。ただし、「altoona design」を検索して私のサイトへのリンクをクリックすると、悪意のあるサイトにリダイレクトされます。 私はこれをChromeのgoogleとIEのbingで試しました。常に同じ結果の異なるコンピューター上で。URLを直接入力すると、実際のサイトに移動し、検索結果のリンクをクリックすると、悪意のあるサイトにリダイレクトされます。 これがどのように起こっているのか、どのように取り消すのか、将来どのように防ぐのかはわかりません。 更新 ここからリンクをクリックすると、悪意のあるサイトにも移動するため、リンクをクリックすることでそれが行われますが、直接入力してもリダイレクトされません...どうですか？

16 web  security 

Googleや個人データを調べている他の関係者から離れたいと考えているため、安全なメールソリューションが必要です。 自分のメールサーバーを設定するにはどれくらいのPITAが必要ですか？代わりに、優れたプライバシーポリシーと暗号化されたデータを備えた外部プロバイダーを利用する必要がありますか？ 私はDebianを実行するVPS（専用IP +逆DNS）を持っています。私はかなり有能なLinux管理者であり、いくつかのウェブサーバー、ホームネットワークをセットアップし、仕事中のシステム管理者の肩越しに見ています。 私が現在VPSに持っているセキュリティは、iptablesと、必要最低限​​のもの（現在は基本的にirssiとlighttpd）のインストール/実行に限定されています。 メールサーバーを設定するときに、考慮すべきことがたくさんありますか？多くのソリューションを実装しない場合、送信メールは他のサーバーでスパムとしてマークされますか？信頼性の高いスパムフィルターの設定は困難ですか？保存したメールを簡単に暗号化できますか？

16 linux  security  email-server 

いくつかの新しいUbuntuサーバーをセットアップしていますが、それらのデータを盗難から保護したいと思います。脅威モデルは、ハードウェアを望んでいる攻撃者、またはデータを望んでいるむしろ素朴な攻撃者です。 このセクションに注意してください。 脅威モデルには、データを要求する賢い攻撃者は含まれません。私は彼らが以下の1つ以上を行うと思います： マシンを継続的に稼働させるために、UPSを電源ケーブルに接続します。 ホストがネットワーク接続を維持するのに十分な範囲の無線ネットワークを介してトラフィックをブリッジするイーサネットブリッジのペアをコンピューターとネットワークターミネーションポイントの間に挿入します。 ボックスを開き、メモリバスでプローブを使用して興味深いものを取得します。 TEMPESTデバイスを使用して、ホストが何をしているかを調べます。 法的手段（裁判所命令など）を使用して、データの開示を強制する 等 暗号化されたパーティションのディスク上のデータの一部または理想的にはすべてを、ある種の外部メディアでアクセスするために必要なキーマテリアルとともに使用することです。キーマテリアルを保存するために考えられる2つの方法は次のとおりです。 ネットワーク経由でアクセス可能なリモートホストに保存し、ブートプロセス中に取得するのに十分なネットワークを構成します。取得は、セキュリティで保護されたホストに割り当てられたIPアドレスにのみ許可され（したがって、暗号化されたデータが別のネットワーク接続で起動された場合、暗号化されたデータへのアクセスを許可しません）、マシンが盗まれたことが検出された場合、管理者によって無効にされます。 何らかの方法で、ホスト自体よりもはるかに盗むのが難しいUSBストレージデバイスに保存します。部屋の別のコーナーや別の部屋につながる5メートルのUSBケーブルの端など、ホストから離れた場所に配置すると、攻撃者がそれを奪う可能性が大幅に低下します。動かないものにチェーンするなど、何らかの方法でそれを保護するか、安全な場所に入れることで、さらにうまくいきます。 これを設定するための私のオプションは何ですか？前に言ったように、（/ etcを含まない小さなブートパーティションは別として）すべてを暗号化することをお勧めします。そうすれば、ファイルをどこに置くか、どこに置くかを心配する必要がなくなります。誤って着陸します。 Ubuntu 9.04を実行しています（違いがある場合）。

16 security  encrypting-file-system  boot 

フィリピンにはユーザーがいないWebアプリがありますが、スパマー、カードテストカード、その他の望ましくないアクティビティが絶えず攻撃されています。ログから、フィリピンにIPがあり、最初にgoogle.phまたは他の.phサイトから自分のサイトを見つけていることがわかります。 かなり優れたフィルターとセキュリティチェックが用意されているので、それほど大きなダメージを与えることはありませんが、それでも飽きています。彼らは帯域幅を使い果たし、データベース、悪用ログ、セキュリティログをがらくたにし、アカウントをタームする時間を無駄にします。 フィリピン市民の大多数はスパマーではなく、私を悩ますすべての国をブロックすることはできませんが、現時点では、解決策はフィリピンから私のウェブアプリへのすべてのトラフィックをブロックすることだと思います。（私は、国全体のIPブロックをブロックすることは素晴らしい習慣ではなく、多くの問題を抱えていることを知っていますが、この国については例外を作りたいです。） （私は彼らがIPアドレスをスプーフィングする可能性があることを知っていますが、少なくとも私は彼らにそれを少し動作させることができます。） いくつかのgeoipサービスがあることを知っています。誰でも無料または安価なサービスを知っていますか？または、特定の国からのトラフィックを除外する他の方法はありますか？ 必要に応じて、Apache 2でPHPを実行しています。

16 security  spam  geoip  abuse 

私のクライアントには、ボットネットからのブルートフォースログイン試行の対象となるサーバーがあります。サーバーとクライアントのクライアントの気まぐれにより、ファイアウォール、ポートの変更、またはログインアカウント名の変更による試行を簡単にブロックすることはできません。 攻撃にさらされたままにすることを決定しましたが、パスワードを安全に保つ方法を見つけます。管理者と他のコンサルタントの一部は、パスワードローテーションソフトウェアをインストールして、10分ごとにパスワードをローテーションし、ログインする必要があるユーザーに新しいパスワードを提供することが最善であると判断しました。 総当たり攻撃は毎秒2回発生しています。 12〜15文字の強力なパスワードを実装する方が簡単で無料のソリューションであることを実証する必要があります。私は数学でこれを証明する方法を知っていますが、私は「私たちのパスワードには多くの可能な順列があり、攻撃者は1日にn回しか試行できないので、x /パスワードを推測するまでに、平均で2日かかります。」これのより標準的な「証拠」はありますか？

16 security  password  hacking  brute-force-attacks 

ロックされています。この質問とその回答はロックされています。なぜなら、質問はトピックから外れていますが、歴史的に重要だからです。現在、新しい回答やインタラクションを受け入れていません。 ユーザーが対処しなければならないことで、ユーザーがこれまでに行った中で最も不正なことは何ですか？明らかに、私たちは皆、非友好的なユーザーからかなり多くの悪意を見てきましたが、いわゆる友好的なユーザーからはどうでしょうか？ 私の場合、pingトンネルである必要があると思います。発信ICMPパケットを使用してSSHトンネルを伝送し、ファイアウォールを回避します。[完全な開示：このツールのWindowsへの移植に貢献しました;）] （コミュニティWikiとして再開）

16 security 

パスワードの使用法の性質上、管理者が記憶することを期待できないパスワードのストレージをどのように処理しますか？といった： 全員が管理者権限を持つ自分のアカウントを使用してログオンするときの管理者/ルートパスワード 構成時にのみ設定されるサービスアカウントのパスワード。たとえば、SqlServerAgent、SharePointSearchServiceなど。 Google Webmaster Tools、GoDaddy / VeriSign、MSDNなど、会社全体のWeb登録 さまざまな分野で単一のパスワードを再利用したくはありません。検討したオプション： ネットワーク共有上の暗号化されたファイル 共有KeePassデータベース パスワードで保護されたWiki 各エリアに小さな変更を加えた単一のベースパスワード これは、職場でロックされたデスクのノートブックに保存されている1回限りのパスワードを使用して、パスワードで保護されたPFXファイルを自宅からインストールしようとすると思い浮かびます。

16 security  password 

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか？ 質問を更新することがありますので、話題のサーバー障害のため。 7年前に閉鎖されました。 二要素認証にRSA SecurIDの代替を使用し、推奨しますか？

16 security  authentication  securid 

ほとんどの場合、Linuxボックスなどの強化に関する検索を実行すると、リストには、特に説明のないMartianパケット（IP）のログのセクションが常にあります。 net.ipv4.conf.all.log_martians =1 net.ipv4.icmp_ignore_bogus_error_responses =1 私はいくつかのグーグルをしましたが、それはmartiansパケットが攻撃のソースなどであるようには見えません。誰もが光を当てることができますか？ ありがとうございました

16 linux  networking  security 

DjangoアプリケーションをElastic Beanstalkにデプロイしました。環境変数設定インターフェイスを使用して、APIキーをソースに保存する代わりに保存します（こちら/programming//a/17878600を参照）。 これを行った後、Beanstalkが環境変数と呼ぶものは実際にはシェル環境変数ではなく（ここで/programming//a/24564832/378638で言及されているように）、設定ファイルのインスタンスに（こちら/programming//a/24566283/378638で説明されています）。 これは私にとってセキュリティの問題のようです。これは、ソースから秘密鍵を保護する目的に反しませんか？それらはレポに含まれていないことは理解していますが、インスタンスでは引き続きアクセス可能です。 リスクを誤解していますか？私は継承によってシステム管理者ですので、ここで私の無知を許してください。設定ファイルを介してBeanstalk変数をシェル環境変数としてロードし、ファイルはルートからのみアクセスできるため、先に進む必要がありますか、それとも私の懸念は有効ですか？ありがとうございました。

15 security  python  deployment  elastic-beanstalk 

私はコンピューターのセキュリティの最強の背景を持っていませんが、昨日、会社のサーバーの1つがホストによってシャットダウンされました。 WebサイトやAPIを含むいくつかのWebサービスアプリケーションをホストするパブリックIPが割り当てられたサーバーです。私のサーバーは「サービス拒否攻撃を外部エンティティに中継するために使用されているオープンDNSリゾルバを実行している」と言われました。 これは何を意味するのでしょうか？この攻撃はどのように機能しますか？そして、このようにシステムが悪用されないようにするにはどうすればよいですか？ 私の場合、問題のサーバーはWindows Server 2012上にあり、Active DirectoryドメインのDNSを提供しています。

15 domain-name-system  active-directory  windows-server-2012  ddos  security 

phpスクリプトからサービスを再起動できるようにしたい。www-userアカウントで実行します。 これらのアクションを実行する好ましい方法は何ですか？ 私は、クロンコマンドでファイルを作成し、CRONで読み取ることができますが、解決策はかゆいです。 私が考えているのは、ルートの下で実行され、任意のルートアクションを実行できないように事前定義された「メソッド」を許可する小さなサービスです。 このためのツールはありますか？

15 linux  security  web-server  root 

現在、WebサーバーはDMZにあります。Webサーバーは内部ネットワーク内では何も見ることができませんが、内部ネットワークはWebサーバーを見ることができます。DMZと内部ネットワークの間のファイアウォールの穴をイントラネット内の1つのWebサーバーのみにパンチすることはどれくらい安全ですか？私たちはいくつかのバックオフィスアプリケーション（すべて1つのサーバー上にある）とインターフェイスすることに取り組んでおり、このデータを保持しているIBM iサーバーと直接通信できれば、このプロジェクトを実行するのがはるかに簡単になります（ Webサービス経由）。 私の理解から（そして私はブランドを知りません）、私たちは別のファイアウォールを持つプライマリIPとは異なる外部IPを持つDMZのための1つのファイアウォールを持っています。別のファイアウォールは、Webサーバーとイントラネットの間にあります。 だから次のようなもの： Web Server <==== Firewall ===== Intranet | | | | Firewall Firewall | | | | Internet IP1 Internet IP2

15 security  firewall  dmz