タグ付けされた質問 「security」

HTTP（S）とSSH（ポート80、443、22）を使用して基本的なWebサーバーを実行しているほとんどのサイトで機能する基本的なサーバーiptablesスクリプトを作成しようとしています。結局のところ、ほとんどのVPSはこれらの開始ポートルールのみを必要とし、後で必要に応じてメールポートまたはゲームポートを追加できます。 これまでのところ、次のルールセットがあり、より良いスクリプトや追加可能な改善点を誰かが知っているのかどうか疑問に思っていました。 *filter # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT # Accepts all established inbound connections -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Allows …

15 linux  security  firewall  iptables  best-practices 

タイトルが示すように、Linuxボックスがあります。私が知る限り、hosts.allow / hosts.denyまたはiptablesを使用して保護できます。違いは何ですか？使用できる別のメカニズムはありますか？

15 linux  security  iptables 

過去数日間でPCがどのように使用されたかについて、可能な限りすべてを見つけたいと思います。誰がログインしたかのように、PCがロックされていた時間と、PCにログインしたユーザーアクティビティに関するその他の情報。 最後のコマンドを使用して、誰がどのくらいの期間ログインしたかを知ることができます。発見できるその他の情報。

15 linux  security  logging 

ファイアウォールの高度なセキュリティマネージャ/インバウンドルール/ルールプロパティ/スコープタブには、ローカルIPアドレスとリモートIPアドレスを指定する2つのセクションがあります。 アドレスがローカルまたはリモートアドレスとして適格である理由と、その違いは何ですか？ この質問は通常のセットアップではかなり明白ですが、リモート仮想化サーバーをセットアップしているので、よくわかりません。 私が持っているのは、2つのインターフェースを持つ物理ホストです。物理ホストは、パブリックIPでインターフェイス1を使用します。仮想化マシンは、パブリックIPでインターフェイス2に接続されています。2つの間に仮想サブネットがあります-192.168.123.0 ファイアウォールルールを編集する際、ローカルIPアドレスエリアまたはリモートIPアドレスエリアに192.168.123.0/24を配置すると、Windowsの動作はどうなりますか？それは何か違うことをしますか？ これを依頼する理由は、ファイアウォールがアクティブな状態で2つのドメイン通信を機能させるのに問題があるためです。私はファイアウォールの経験が豊富なので、何をしたいのかはわかっていますが、ここで何が起こっているかのロジックは私を免れ、これらのルールは1つずつ編集するのは退屈です。 編集：これら2つのルールの違いは何ですか： ローカルサブネット192.168.1.0/24からのトラフィックにSMBポートにアクセスさせます リモートサブネット192.168.1.0/24からのトラフィックにSMBポートへのアクセスを許可する IPが192.168.1.1のLANポートがある場合、違いはないと思います イアン

15 windows-server-2008  security  windows-firewall 

誰でもWindowsまたはLinux用の無料のシンプルなOCSPサーバーを推奨できますか？

15 security  certificate  ocsp 

システム管理に関連して観察する悪い習慣のリストがあると面白いと思います。例えば： 常にrootサーバーで使用する アカウントパスワードの共有 コードにパスワードを挿入する まだtelnetを使用しています ... 私は主にセキュリティに興味がありますが、あなたの悪い習慣はセキュリティ関連である必要はありません。悪い習慣の話も歓迎します。

15 security 

リモートログインを有効にしたMac OS Xマシン（10.5を実行しているMac mini）があります。インターネットへのsshdポートを開いて、リモートでログインできるようにします。 セキュリティ上の理由から、パスワードを使用してリモートログインを無効にし、有効な公開キーを持つユーザーのみがログインできるようにします。 Mac OS Xでこれを設定する最良の方法は何ですか？

15 security  ssh  mac-osx  password  keys 

エッジサーバーとは何ですか？それらへのいくつかの参照が表示されますが、定義は表示されません。

15 security  firewall  hardware  gateway 

ハッキング後のlinux boxのフォレンジック分析を行う主な手順は何ですか？ 汎用のLinuxサーバーmail / web / database / ftp / ssh / sambaだとしましょう。そして、他のシステムをスキャンし、スパムを送信し始めました。

15 linux  security  hacking  forensic-analysis 

Jenkins CIを実行しています。一般的に私たちは提供したいと思います 特定のグループから認証されたユーザーへのフルアクセス 匿名ユーザーへの完全な読み取りアクセス 特定のプロジェクトへの匿名ユーザーのブロック（完全） 私たちは、使用のUNIXユーザー/グループデータベースおよびプロジェクトベースのマトリクス認証戦略を。ポイント（1）と（2）はうまく機能しますが、（3）を達成するのに苦労しています。 私たちは試しました： でグローバルセキュリティ匿名に対するすべての権利を削除し、その後でそれを付与するプロジェクトベースのセキュリティけど（でもメインジェンキンスページへの）すべての匿名の要求は、ログインページを生成することにした後、 でグローバルセキュリティが権利次の手順で追加：ビュー読むには、ジョブ・発見は、ジョブ・リードは（仕事しませんでした）（仕事しませんでした）（仕事しませんでした）、Overal-読む-この最後のものは、しかし、動作するように見えました匿名ユーザーにあまりにも多くの権限が与えられ、特定のプロジェクトへのアクセスを制限することができませんでした。 tl; dr 匿名のために完全に非表示/ブロックされたいくつかのプロジェクトを含む、完全にオープンな（読み取り専用）Jenkins CIが必要です。

15 security  configuration  jenkins  hudson 

最近、DrayTek Vigor 2830ルーターでDoS防御設定を見つけましたが、これはデフォルトで無効になっています。私はこのネットワークで非常に小さなサーバーを実行していますが、サーバーを24時間365日稼働させることは非常に重要です。 DoS防御が何らかの問題を引き起こす可能性があるかどうか、私は少し確信がありません。DoS攻撃はまだ経験していませんが、起こりうる攻撃を避けたいと思います。DoS防御設定を有効にしない理由はありますか？

15 security  router  denial-of-service  draytek 

これは一見すると馬鹿げた（または不名誉な）質問のように思えるかもしれませんが、詳しく説明します... 特定の種類のファイルが会社のマシンにダウンロードされないように、会社のネットワークとプロキシにあらゆる種類の対策を実装しています。ほとんどのファイルは、それらのファイルをクリックしてダウンロードすると、exeの内部のzipファイルもブロックされます。 ただし、一部の「進取の気性のある」ユーザーは、ダウンロードを正常に機能させることができます。たとえば、私は誰かの後ろに立っていて（私を知らない、またはどの部門で働いていたのか）、目の前で ".exe"で終わるURLを ".exe？"に変更し、ブラウザが動きました。すぐに「不明な」ファイルタイプをダウンロードしました。それ以来、この穴を塞いでいますが、ネットワークセキュリティを迂回してファイルをダウンロードし、ソフトウェアをチェックする不正な手段を他の誰かが知っているかどうかを知りたいと思います。 あるいは、もしあなたがいくつかの商用ソフトウェアを知っているなら、あなたがそれを誓うことができることは防弾であり、我々はしばらくそれを試用することができる。 助けていただければ幸いです...

15 security  proxy 

私は今少しおかしくなりました。最近委託したリモートサーバーにSSH接続しています。私はこれをルートとしてやっています。fail2banをインストールしましたが、ログに大量の禁止IPがありました。 前回ログインしたときに、端末が本当に遅れていることに気付き、インターネット接続が切断されました。約5分後にバックアップを購入したとき、サーバーに再度ログインし、「誰」にログインし、2人のrootユーザーがログインしていることに気付きました。接続が終了すると、最後のセッションからのプロセスはサーバーで停止しましたか？ 接続が最初に切断されたときに、「書き込みに失敗しました：パイプが壊れています」で接続が終了しました。他のルートとのbashセッションを終了しました。sshセキュリティについてはあまり知りませんが、セッションがハイジャックされる可能性はありますか？これを確認する方法はありますか？sshを使用してログインを続ける必要があります。どのような予防策を講じる必要がありますか？私が何らかの方法でプロキシを経由してサーバーに到達した場合（中間攻撃者のように）、彼らは私のsshセッションをハイジャックできますか？

14 linux  ssh  security  unix  hacking 

ドメイン管理者アカウント（災害復旧シナリオの場合を除いて使用しない）には、LastLogonTimeStamp属性に最近の日付があることがわかりました。私の知る限り、誰もこの期間（および数か月後）にこのアカウントを使用するべきではありませんでしたが、一部のバカがスケジュールされたタスクを実行するように設定している可能性があります。 セキュリティログイベントの量（および分析用のSIEMツールの不足）のため、アカウントの実際のlastLogon時間（レプリケートされた属性ではない）があるDCを特定したかったのですが、ドメイン内のすべてのDCを照会しました。また、管理者のlastLogonはそれぞれ「なし」です。 これはフォレスト内の子ドメインなので、誰かがこの子ドメイン管理者アカウントを使用して親ドメインで何かを実行している可能性があります。 LastLogonTimestampに記録されている時間帯に、16のフォレストDCから発生する可能性のある2,000万のイベントを調べる以外に、どのDCがログオンを行っているかを判断する方法はありますか？最初に親ドメインDCをターゲットにできると思います（子DCは認証を行っていないようです）。 説明 [ repadmin以下に従って使用後の原因をゼロ化した後に追加] この要求の元々の理由は、ITセキュリティチームが、なぜデフォルトドメイン管理者アカウントで頻繁にログオンしているのか疑問に思っていたためです。 ログオンしていないことはわかっていました。「Kerberos S4u2Self」と呼ばれるメカニズムが存在することがわかりました。これは、ローカルシステムとして実行されている呼び出しプロセスが何らかの権限昇格を行っている場合です。それはありませんネットワークのドメインコントローラ上で管理者としてログオン（インタラクティブではないが）。非対話型であるため、これがlastLogonDCのアカウントに存在しない理由です（このアカウントは現在のドメインコントローラーにログオンしたことがありませんでした）。 この記事では、ログがpingを実行し、セキュリティチームに子猫がいる理由を説明します（事態を悪化させるために、ソースマシンはServer 2003です）。そして、それを追跡する方法。https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/ 教訓- lastLogon属性に関するレポートは、管理者のログオンに関する場合にのみITセキュリティチームに提供します。

14 active-directory  security  domain 

ドメイン内のアカウントの1つが危険にさらされた場合のシナリオを準備しています。 アカウントを無効にすることは私の最初の回答になりますが、数週間前にここにペンテスターがいて、数か月前に去った管理者ユーザーのハッシュ化されたログインを使用できました。 これまでの2つの答えは次のとおりです。 アカウントを削除して再作成します（新しいSIDを作成しますが、ユーザーのドラマも作成します） パスワードを少なくとも3回変更し、アカウントを無効にします あなたの方法は何ですか、または何をお勧めしますか？

14 active-directory  security