タグ付けされた質問 「security」

DROWN攻撃に対してPostfix + Dovecotサーバーにパッチを適用しました（sslv2とsslv3を無効にしました）。 https://test.drownattack.com Shows :25 vulnerable to CVE-2016-0703 :110 vulnerable to CVE-2016-0703 ... 私は、コマンドラインで接続した場合その後、OpenSSLののs_client使用して-ssl2スイッチを、プロトコルがサポートされていません。これをスキャナーによる誤検出と見なすことはできますか？

14 security  ssl 

RedHatボックスのセキュリティ強化手順に取り組んでおり、有効期限が切れるとユーザーがパスワードを変更できないようにすることが可能かどうかを知りたかった。 クライアントの1人の要件は、一時アカウントを介してのみサーバーにアクセスできることです。つまり、ユーザー資格情報が作成されたら、パスワードは4時間以内に期限切れになり、パスワードが期限切れになると、rootのみがそれを変更できるようになります。 最初の要件（4時間後に有効期限が切れるパスワード）の場合、passwordMaxAge = 144000を設定することで達成できると思います。しかし、パスワードの有効期限をオフにしない限り、ユーザーが期限切れのパスワードを変更できないようにする方法はまだ見つかりませんでした。 誰でも助けることができますか？

14 security  redhat  pam  hardening 

Google はSSLv3プロトコルの脆弱性を発表しました ...セキュア接続のプレーンテキストをネットワーク攻撃者が計算できるようにします。 この脆弱性には、CVE-2014-3566とマーケティング名POODLE が指定されています。 ` https://www.example.com/にWebサイトがある場合、この脆弱性が私に影響を与えるかどうかはどうすればわかりますか？

14 security  https 

私は、SFTP専用のDockerコンテナを作成中です。このコンテナは、独自のchrooted環境でファイルをアップロードおよび管理するためだけに複数の人が使用するコンテナです。 紙の上では、かなり安全です。bashログインのすべての形式を無効にし、その中で他のプロセスを実行しません。ただし、もう少し強化したいと思います。 このコンテナがSFTPサーバーであるという目的を除いて、このコンテナが内部からインターネットにアクセスするのを防ぎたい。 物事を明確にするために：私は外の世界が私のコンテナにアクセスするのを防ぐ方法を知っています-私は入ってくるiptablesルールを設定でき、Docker runコマンドでSFTPポートのみを公開できます。 ただし、コンテナ内で実行されたときに、次のコマンドを（例として）失敗させたいと思います。 curl google.com 私の意図は、ハッキングされたコンテナが受ける可能性のある損害を減らすことです（スパムメールの送信などに使用することはできません）。

14 ssh  security  sftp  docker 

私のOracle DBA同僚は、本番サーバーでのルートアクセスを要求しています。 彼は、サーバーの再起動やその他のタスクなどの操作を実行するために必要であると主張しています。 彼にOracleユーザー/グループとOracleユーザーが属するdbaグループを設定したため、私は彼に同意しません。すべてが順調に実行されており、DBAが現在ルートアクセス権を持っていることはありません。 また、インフラストラクチャの相互作用の誤解に関連するあらゆる種類の問題を回避するために、スケジュールされたサーバーの再起動などのすべての管理タスクを適切な管理者（この場合はシステム管理者）が行う必要があると思います。 sysadminsとOracle DBAの両方からの入力を希望します-Oracle DBA が実稼働環境でrootアクセスできる理由はありますか？ 同僚がこのレベルのアクセスを本当に必要とする場合は提供しますが、セキュリティとシステムの整合性の懸念から、そうすることを非常に恐れています。 私は賛否両論を探しているのではなく、この状況に対処するために私がとるべき方法に関するアドバイスを探しています。

14 linux  security  redhat  oracle 

私が使用した： usermod -L myUser このアカウントのパスワードを無効にします。パスワードがわからないと仮定して、無効になっていることを確認するにはどうすればよいですか。 マニュアルページによると、それは配置します！暗号化されたパスワードの前にありますが、それを確認する方法もわかりません。

14 ubuntu  security 

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか？ 質問を更新することがありますので、話題のサーバー障害のため。 8年前に閉鎖されました。 現在、VisualSVN Serverを使用していますが、ホームネットワークでのみアクセスできます。最終的には他の人がそれにアクセスしますが、今のところは私だけで、私はコーヒーショップ（またはどこでも）に行き、家から離れて仕事ができるようになりたいです。 現在、サーバーにアクセスしていますhttp://user-pc:xx/svn/Projects/。ポートXXをサーバーに転送するようにルーターをセットアップする場合、サーバーを保護するためにどのような手順を実行する必要がありますか？ 私はこれをWindowsで行っていますが、通常のコマンドプロンプトを広範囲に使用している間は、SVNをあまり使用しておらず、現在までTortoiseSVN以外を使用していないことに注意してください。 編集：攻撃者が行うことができる唯一の有害なことは、私が知っていることです：私のポート番号、ユーザー名、およびパスワードを推測してリポジトリに入ることです。しかし、ことわざにあるように、私は自分が知らないことを知りません。 そのため、ポートが開いた後に行われる可能性のあるあらゆる種類の攻撃に対して考慮しなければならないことと同じくらい、必ずしもステップバイステップの指示を求めているわけではありません（確かにそれも欲しいです）。

14 windows  security  firewall  svn  visualsvn-server 

iLOがWANに接続できるほど安全かどうか疑問に思っています。いくつかの記事を探しましたが、見つかりませんでしたか？ どのようにiLOを保護しますか？ファイアウォールの内側に置きますか？ iLOを使用してWANからアクセスできるファイアウォールを使用しますか？

14 security  ilo 

私はいくつかのubuntuボックスを最新に保ち、パッチを適用しようとしています（10.4.2 LTS）、私が得てきた1つの提案は無人アップグレードの設定です（https://help.ubuntu.com/community/ AutomaticSecurityUpdates）。 過去には、主に更新プロセス中に何かを壊すという妄想のために、自動更新の設定に反対していました。しかし今、私はこれがどれほど有効であるか（そして、パッチを当てていない可能性のあるサーバーを持っている場合と比較してどれくらいのリスクがあるか）に疑問を抱き始めています。これは正気ですか？ Puppetのセットアップも進めていますが、モジュールの作成/ Puppetへのサーバーの移行は遠いようです。

14 ubuntu  security  update  patch 

議論のために、www.example.orgのWebサイトにサービスを提供するApache Webサーバーがあると仮定します。このドメイン名は、192.168.1.100のパブリックIPアドレスに解決されます（これはパブリックIPのふりをします）。 議論は、私は私のIPで自分のドメインを指摘した人について何かできることはありますか？誰でも私のIPでドメインを指すことができることを示しています。Apacheはこれをデフォルトで防止しませんが、管理者はブラックリストを使用してこれらを一度に処理できます。 ただし、詐欺で使用するために、詐欺師が数十（またはそれ以上）のドメインを登録することが一般的になってきています。次の攻撃の可能性が心配です。 詐欺師は数百のドメイン名を登録し、それらを私の専用IPアドレスに向けます。 詐欺師は、詐欺ドメインで検索エンジンを誘導します。したがって、私のコンテンツを使用して、検索エンジンでの地位を高めます。 その後、詐欺師はドメイン名を移動して、詐欺/ポルノ、または競合するビジネスなどをホストする独自のサーバーを指すようにし、検索エンジンでの地位の恩恵を享受します。これらのドメインの一部は、コメントスパムでも使用される場合があります。 利益!! 私は過去にこのトリックを使用して、数十のドメインが関与する詐欺師を見たことがあると思います。当時は詐欺の影響を理解していなかったため、これらのドメインが誤って設定されていると想定していました。 この邪悪なSEOトリックに用語はありますか？SEOマスカレード？DNSの迂回？ Apacheを使用してこれを防ぐにはどうすればよいですか？私は、デフォルトを使用することに基づいて、「ホワイトリスト」の修正を検討しているVirtualHosts、ServerNames＆ServerAliasesので、ApacheはこれらのみホワイトリストされているServerNamesは「に表示される要求に応答することをHost:」ヘッダー。それ以外はすべて拒否されます（または特定のページにリダイレクトされます）。ただし、これが最善のアプローチかどうかはわかりません。 たとえば、Serverfault.comのIPを指すようにドメインhttp://thisisnotserverfault.stefanco.com/を構成しました。結果はhttp://thisisnotserverfault.stefanco.com/で確認できます。

14 apache-2.2  domain-name-system  security 

一般的に、サーバー上でインターネット向けソフトウェアを実行するために、いつ新しいユーザーアカウントを作成する必要がありますか？ たとえば、共有のDebianサーバー（たとえばDreamhost経由）を使用しており、WordPress、Redmine、Ruby on Rails、Djangoを使用しているWebサイトを実行したい場合、Mercurialを提供したいリポジトリも。 Dreamhostサーバーおよび他の多くの同様のセットアップサーバーでは、これはすべて単一のユーザーアカウントで実行できますが、そのアプローチにはいくつかの欠点があります。 より長い.bashrc その1つのアカウントが危険にさらされると、そのアカウントで実行されているすべてのサイトも危険にさらされます。 一方、多くのユーザーアカウントを持つことは、特にインストールされたソフトウェアに関して同一の要件があるユーザーの場合、追跡するのが少し苦痛になる可能性があります。たとえば、WordPressを実行しているWebサイトごとに1つのアカウントを持つことは、やり過ぎかもしれません。 ベストプラクティスは何ですか？それは単に、ユーザーアカウントごとにホストされたサイト（またはホストされたリポジトリなど）の数をパラノイアのレベルに比例して減らすという質問ですか？ これについてのあなたの意見を投稿し、その理由を説明してください。 また、プライベートサーバーまたはVPSで行われるアプローチが共有サーバーで行われるアプローチとは異なると考える理由がある場合は、それらの概要を説明してください。

14 linux  security  web-server  user-accounts 

実稼働ネットワークをVLANなしの構成からタグ付きVLAN（802.1q）構成に移行することを計画しています。この図は、計画された構成をまとめたものです。 重要な詳細の1つは、これらのホストの大部分が実際には単一のベアメタルマシン上のVMになることです。実際、物理マシンはDB01、DB02、ファイアウォール、およびスイッチのみです。他のすべてのマシンは、単一のホストで仮想化されます。 これまでの懸念事項の1つは、このアプローチが複雑であり（複雑すぎて暗示されている）、VLANがセキュリティの錯覚を提供しているだけであることです。 仮想化により複数のVLANが単一の物理スイッチポートに使用される場合、これは有効な懸念事項ですか？このリスクを防ぐために、VLANを適切に設定するにはどうすればよいですか？ また、VMWare ESXには「仮想スイッチ」と呼ばれるものがあると聞きました。これはVMWareハイパーバイザーに固有ですか？そうでない場合は、KVM（私の選択したハイパーバイザー）で使用できますか？それはどのように作用しますか？

14 security  virtualization  vlan 

fail2ban、sshdfilter または同様のツールを実行する価値はありますか。ログインしようとするIPアドレスをブラックリストに登録しますか？ これは「適切に保護された」サーバー上のセキュリティシアターであると主張しているのを見てきました。ただし、スクリプトキディがリストの次のサーバーに移動する可能性が高いと思います。 私のサーバーは「適切にセキュリティで保護されている」とし、ブルートフォース攻撃が実際に成功することを心配していません。 更新：パスワードのブルートフォース推測に関する多くのコメント-私はこれについて心配していなかったことに言及しました。おそらく、もっと具体的にして、fail2banがキーベースのsshログインのみを許可するサーバーにメリットがあるかどうかを尋ねるべきだったのでしょう。

14 security  ssh  fail2ban 

私は興味がある。私はISPとインターネットの中間者がどのようにすべてのDNS要求を記録および追跡し、基本的に多くのログにブレッドクラムの痕跡を残し、広告目的でDNSハイジャックを許可するかについて読み続けています（私はあなたをCox Communicationsに注目しています！） プライバシー/セキュリティの他の方法に関係なく、自分のローカルネットワークでDNSサーバーを実行できるかどうかを具体的に知りたいと思います。これは、実際にルートDNSサーバーのゾーン情報を持っています（.com、.net ,. org）ドメイン。 基本的にドメイン内のマシンをマップするだけのDNSをセットアップできることは知っていますが、基本的には、ルートDNS情報のコピー/転送を独自のDNSサーバーに保存して、DNSへのインターネットへのアクセスをバイパスすることができますWebブラウジングのための情報はありますか？ はっきりしていることを願っています。DNSサーバーに自分の内部ネットワークに関する情報だけを持たせたくありません-大きなインターネットDNSサーバーが持っている情報と重複させたいのですが、その情報をDNSサーバーにローカルに置きたいです。 DNS用にBGPゾーン転送のようなものはありますか？ 更新：基本的に外部DNSチェーンからローカルキャッシュに大量にこの情報を「スクレイピング」して、必要なときに準備を整え、ドメインレコードを明示的に要求するときにそれらをキャッシュできる製品/ OSSソフトウェアはありますか？

14 domain-name-system  security  privacy 

のために： ウェブサイトのセキュリティを強化する 帯域幅の要件を減らす メールアドレスの収集を防ぐ

14 performance  security  robots.txt