タグ付けされた質問 「security」

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか？ 質問を更新することがありますので、話題のサーバー障害のため。 4年前に閉鎖されました。 物理的なアクセスにさらされているLinuxサーバーを保護する方法を考えています。私の特定のプラットフォームは、PC Enginesブランドのalix2d13マザーボード上の小型フォームファクターLinuxサーバーです。サイズが小さいと、攻撃者によって施設から持ち去られるリスクが増えます。 サーバーへの物理的なアクセスがあると仮定します。 1）ROOT-PASSWORD：コンソールケーブルをサーバーに接続すると、パスワードのプロンプトが表示されます。パスワードがわからない場合は、シングルユーザーモードでマシンを再起動し、パスワードをリセットできます。Voilà、ルートアクセスを取得します。 上記のセキュリティを確保するには、GRUBメニューにパスワードを挿入します。これにより、サーバーを再起動してシングルユーザーモードを開始するときに、GRUBパスワードを入力する必要があります。 2）GRUB_PASSWORD。マシンをシャットダウンした場合、ハードドライブを取り出して別のワークステーションにマウントすると/boot、GRUBパスワードを見つけることができるgrub.cfgファイルを含むディレクトリを参照できます。GRUBパスワードを変更するか、削除することができます。 明らかに、私たちが大規模な実稼働マシンについて話すとき、おそらく物理的なアクセスはないでしょう。それ以外は、たとえ誰かがサーバーに物理的にアクセスしても、シャットダウンしません。 物理的に簡単に盗むことができるサーバーでのデータ盗難を防ぐための可能な解決策は何ですか？ 私がそれを見る方法、含まれているデータへの何らかの方法でアクセスすることができます。

13 linux  security 

バックグラウンド 私は、VPNシングルサインオンを達成するための最良の方法を決定するために、OS Xログインプロセスのより良い理解を収集しようとしています。 間違っている場合は修正してください。 launchd(8)を呼び出してgettyent(3)、ttys(5)実行元loginwindow.appを決定し/dev/consoleます。 loginwindow.appsystem.login.console認可データベースが以下のメカニズムを指定する認可権限の取得を試みます（それらの機能の私の理解とともにリストされています）。特権のあるものはauthdプロセス内で（rootとして）実行され、特権のないものはSecurityAgentプロセス内で（_securityagentとして）実行されます。 builtin:policy-banner（設定されている場合、ログインウィンドウバナーを表示します）。 loginwindow:login （資格情報のプロンプト）。 builtin:login-begin builtin:reset-password,privileged（Apple IDを使用してパスワードをリセットします）。 builtin:forward-login,privileged （起動時にEFIから資格情報を転送します）。 builtin:auto-login,privileged （ブート時に自動ログイン資格情報を適用します）。 builtin:authenticate,privileged（呼び出すpam_authenticate(3)ためのauthorizationサービス、設定、「UID」コンテキスト値）。 PKINITMechanism:auth,privileged （TGTを取得してKerberosを初期化します）。 builtin:login-success loginwindow:success （ログインセッションを不正なリモートアクセスから保護します;システムのutmpおよびutmpxデータベースにログインを記録します;コンソール端末の所有者と許可を設定します）。 HomeDirMechanism:login,privileged （ユーザーのホームディレクトリをマウントします）。 HomeDirMechanism:status （ホームディレクトリのマウントの進行状況を表示します）。 MCXMechanism:login （構成プロファイルを適用します）。 loginwindow:done （ユーザーの設定をリセットして、グローバルシステムのデフォルトを設定し、ユーザーの設定を使用してマウス、キーボード、およびシステムサウンドを設定し、ユーザーのグループ権限を設定し、ディレクトリサービスからユーザーレコードを取得し、その情報をセッションに適用し、ユーザーのコンピューティングをロードします環境-設定、環境変数、デバイスとファイルのアクセス許可、キーチェーンアクセスなどを含む、Dock、Finder、およびSystemUIServerを起動し、ユーザーのログイン項目を起動します）。 ご質問 各メカニズムの機能の理解を確認したいと思います。 ソースコードは公然と利用可能ですか？ 非builtinメカニズムは、の下/System/Library/CoreServices/SecurityAgentPluginsにあるプラグインによって定義されていることは知っていますが、ビルド元のソースは見つかりません。また、builtinメカニズムがどこで定義されているかもわかりません。 ソースが利用できない場合、メカニズムはどこにも文書化されていますか？ 観察 どのようにすることができloginwindow:login、それが呼び出された場合は資格情報を要求する前 builtin:forward-loginとbuiltin:auto-login、GUIをバイパスさせることがそのいずれか？そのような資格情報のコンテキストを検査し、存在する場合はスキップしますか？奇妙に思えます。 さらに、アップルの802.1X認証テクニカルホワイトペーパーで説明されているように： ログインウィンドウモードが設定され、ユーザーがログインウィンドウでユーザー名とパスワードを入力すると、2つのことが起こります。まず、ログインウィンドウは、ユーザーが入力したユーザー名とパスワードを使用して、802.1X経由でコンピューターをネットワークに対して認証します。802.1X認証が成功すると、ログインウィンドウは同じユーザー名とパスワードを外部ディレクトリに対して認証します。 その認証の第2段階はpam_opendirectory.soモジュールによって処理され、存在するネットワークに依存しているため、第1段階（802.1Xを介したネットワークへの認証）は必ずその前に発生する必要があります。つまり、builtin:authenticateメカニズムの前に発生する必要があります。 loginwindowプラグインバイナリの簡単な検査から、このような802.1X認証を処理しているように見えますが、そのプラグイン内で呼び出される唯一のメカニズムbuiltin:authenticateはloginwindow:loginです。このメカニズムはログインプロンプトを表示するだけでなく、802.1X認証も試みると考えるのは正しいですか？（もしそうなら、それは少しずさんな私見のように見えるだけでなく、EFI /自動ログインからのクレデンシャルを802.1Xログインウィンドウ認証に使用できないことを示唆しています。）

13 security  mac-osx  authentication  login  pam 

アプリケーション いくつかのCamelルートを使用してWebサーバーからアップロードされたファイルを取得し、それらを処理し、結果を含む電子メールを送信する小さなJavaアプリケーションがあります。 このアプリケーションが実行されていたサーバーは廃止されました。現時点では、Webサーバー（実際には多目的サーバー）にJREをインストールするよう管理者を説得することはできないため、低電力のハードウェアで実行する必要があります。 恐怖 私は自分でJavaアプリケーションエンジニアであり、生活のためにJEEコードを書いており、1週間に数万ユーロの価値があるB2Bトランザクションを処理しています。しかし、Java自体は安全でないという神話に反論する信頼できるソースを見つけるのに問題があります。 JREのインストールに対する管理者の2つの主な議論： JavaアプリケーションはすべてのRAMを使い果たします Javaには脆弱性がいっぱいです 真実？ JavaアプリケーションがRAMを食い尽くす場合。さて... Xmxに適切な値を設定する必要があると思います。できた 現在、Javaの多くの脆弱性について話している多くの情報源があります。これらのソースは、主に米国レドモンドの会社の特定のオペレーティングシステムを実行しているエンドユーザーを対象としています。私の知る限り、すべてのアプレットを自動的に実行するように設定されたJavaブラウザプラグインのパッチが適用されていないバージョンでは、感染によってドライブの犠牲になる可能性が非常に高いことがあります。通勤中に電車の中でイベイオンと無防備なセックスをしているときに性感染症にかかるリスクがあるように。 しかし、サーバーアプリケーションやヘッドレスで実行されているJREについて話す世界的なinterwebzでだれも見つけることができませんでした。それはまったく別のことです。 それとも私はここに何かが欠けていますか？ [編集2014-08-28]明確化：私はサーバー上のJavaのみに関心があります。JavaプラグインやJavaで開発された特定のソフトウェアの問題は気にしません。

13 security  java  web  headless  vulnerabilities 

CryptoLockerを防ぐ方法を調査しているときに、グループポリシーオブジェクト（GPO）やウイルス対策ソフトウェアを使用して、次の場所で実行アクセスをブロックするようにアドバイスするフォーラムの投稿を見ました。 ％アプリデータ％ ％localappdata％ ％temp％ ％UserProfile％ 圧縮アーカイブ 明らかに、フォーラムで書かれたものはすべて注意して取るべきです。ただし、主にマルウェアがこれらの場所から実行されることを好むため、これを行う利点があります。もちろん、これは正当なプログラムにも影響を与える可能性があります。 これらの場所への実行アクセスをブロックすることの欠点は何ですか？ 利点は何ですか？

13 windows  security  malware 

私たちのビジネスは、ギフトカードのオンラインストアであるYouGotaGift.comです。2日前に、誰かがYoGotaGift.comと呼ばれるWebサイトを作成し（uがありません）、Webサイトにプロモーションがあるというメールキャンペーンを多くの人に送信しました、Webサイトにアクセスすると（プロのIT担当者として）すぐに詐欺サイトであると特定されますが、多くの人はとにかくそのサイトで取引を行い、支払いを受け取ることはありません。 そこで、パニックモードに切り替えて、何をすべきかを試してみました。CTOとして私がしたことは次のとおりです。 ウェブサイトをPayPalに報告しました（サイトで利用可能な唯一の支払い方法）が、明らかに、ウェブサイトを閉じるには長い時間と多くの紛争のあるトランザクションが必要です。 ウェブサイトをドメイン登録会社に報告し、協力しましたが、ウェブサイトを停止するには裁判所またはICANNからの法的命令が必要です。 ホスティング会社にウェブサイトを報告しましたが、まだ返答はありません。 WHOISデータを確認しましたが、会社情報をコピーし、郵便番号と電話番号の2桁を変更したのは無効です。 ウェブサイトをドバイの地元警察に報告しましたが、ウェブサイトをブロックするには多くの時間と調査が必要です。 顧客ベースにメールを送信し、HTTPSサイトにいることを常に確認し、購入時にドメイン名を確認するよう伝えます。 私の主な懸念は、メールを受け取ったと報告した多くの人（10人以上）がメーリングリストに登録されているため、誰かが私たちのサーバーから情報を入手しているのではないかと心配したことです。 システムアクセスログをチェックして、誰もSSHにアクセスしていないことを確認しました。 データベースアクセスログをチェックして、誰もDBにアクセスしていないことを確認しました。 ファイアウォールのログをチェックして、サーバーに誰もアクセスしていないことを確認しました。 その後、懸念がメールキャンペーンの送信に使用しているメールソフトウェアに切り替わり、以前はMailChimpを使用しましたが、アクセスしていたとは思いませんでしたが、今はSendyを使用しており、アクセスしたのではないかと心配しました、サイトフォーラムを確認しましたが、Sendyを使用して脆弱性を報告した人は誰もいませんでした。また、メーリングリストに登録された多くの電子メールは、詐欺サイトから電子メールを取得できなかったと報告したため、少し安心しました体はデータに到達しませんでした。 だから私の質問は： メーリングリストやデータを誰も手に入れられないようにするために、さらに何ができますか？ 報告してサイトを削除するにはどうすればよいですか？ サーバーまたはデータへの不正アクセスが疑われる場合、パニックモードリストはありますか？ このような将来のインシデントをどのように防ぐことができますか？

13 security  web  phishing  scam 

ここには、満足できる方法で解決したい（必要な）少し具体的な問題があります。私の会社には複数の（IPv4）ネットワークがあり、それらは中央にあるルーターによって制御されています。典型的な小さな店のセットアップ。これで、制御外のIP範囲を持つ1つの追加ネットワークがあり、制御外の別のルーターでインターネットに接続されています。他社のネットワークの一部であり、セットアップしたVPNを介して結合されたプロジェクトネットワークと呼びます。 これの意味は： これらは、このネットワークに使用されるルーターを制御し、 このネットワーク内のマシンにアクセスできるように、物事を再構成できます。 ネットワークは、3つの場所をカバーするため、一部のVLAN対応スイッチを介して物理的に分割されています。一端には、他の会社が制御するルーターがあります。 このネットワークで使用されているマシンに会社のネットワークへのアクセスを許可する必要があります。実際、それらを私のActive Directoryドメインの一部にすると良いかもしれません。それらのマシンで働く人々は私の会社の一部です。しかし、外部の影響から会社のネットワークのセキュリティを損なうことなく、そうする必要があります。 このアイデアにより、外部制御ルーターを使用したあらゆる種類のルーター統合が実現します だから、私の考えはこれです： IPv4アドレス空間を受け入れ、このネットワークのネットワークトポロジは制御されません。 これらのマシンを社内ネットワークに統合するための代替手段を探しています。 私が思いついた2つの概念は次のとおりです。 何らかのVPNを使用する-マシンにVPNにログインさせます。最新のウィンドウを使用しているおかげで、これは透過的なDirectAccessになる可能性があります。これは基本的に、会社のラップトップが入っているレストランネットワークと変わらない他のIPスペースを扱います。 または、このイーサネットセグメントへのIPv6ルーティングを確立します。しかし、これはトリックです-サードパーティが制御するルーターに到達する前に、スイッチ内のすべてのIPv6パケットをブロックします。単一のパケット。スイッチは、そのポートに着信するすべてのIPv6トラフィックを（イーサネットプロトコルタイプに基づいて）別のVLANにプルすることにより、うまく処理できます。 スイッチを使用してアウターをIPv6から隔離することに問題があると誰もが考えていますか？セキュリティホールはありますか？このネットワークを敵対的として扱う必要があるのは残念です-はるかに簡単です-しかし、そこにいるサポート要員は「疑わしい品質」であり、法的側面は明確です-私たちはそれらを会社に統合するときに義務を果たすことができません彼らが管轄下にある間、私たちは発言権を持っていません。

13 security  network-design 

特定のファイルが過去2日間にアクセスされたかどうかを判断する必要があります。 これはWindows Server 2008 R2で可能ですか？

13 windows  security 

ユーザー名/パスワードだけでなく、クライアント証明書を使用して、Windowsサーバーへの（RDP）アクセスを制限するにはどうすればよいですか？ 証明書を作成し、これをサーバーにアクセスできるすべてのコンピューターにコピーすることを想像してください。 これはIPベースのルールほど制限されませんが、すべてのコンピューター/ラップトップが特定のドメインにあるわけではなく、IPの範囲を修正するわけではないため、柔軟性が追加されます。

13 security  authentication  rdp  certificate 

Apacheで名前ベースの仮想化を設定する方法についてこのチュートリアルに従ってきましたが、本当にうまくいきました。 チュートリアルでは、基本的にconfigファイルをsites-availablecalled に追加し、yourdomain.comそれをにリンクするようにしましたsites-enabled。 デフォルトでは、Apacheにはsites-available、defaultおよびに2つのサイト構成ファイルが含まれていますdefualt-ssl。 これらのファイルを編集するか、sites-enabledディレクトリからリンクを削除する必要がありますか？ これを（ローカルで）/var/www試してみたところ、デフォルトではデフォルトのサイトがルートディレクトリを指しているため、誰かがサーバーのIPに直接アクセスした/var/www場合、デフォルトのvhost構成は、別のディレクトリを指すように変更されるsites-enabledか、？から削除されますか？ サーバーが名前ベースの仮想化に使用されている場合、デフォルトのサイトで一般的に何が行われているのか疑問に思っていますか？ 私自身のWebサーバーを実行するのは初めてなので、この不正確な情報を受け取った場合は申し訳ありません。

13 apache-2.2  security  virtualhost  namevirtualhost 

TL; DR 私たちの小さなネットワークは、ある種のワーム/ウイルスに感染していると確信しています。ただし、Windows XPマシンを苦しめているだけのようです。Windows 7マシンとLinux（そうです）コンピューターは影響を受けていないようです。ウイルス対策スキャンでは何も表示されませんが、ドメインサーバーは、さまざまな有効および無効なユーザーアカウント、特に管理者でのログイン試行の失敗を数千回記録しています。この未確認のワームの拡散を防ぐにはどうすればよいですか？ 症状 一部のWindows XPユーザーは、完全に同一ではありませんが、同様の問題を報告しています。これらはすべて、ソフトウェアによって開始されるランダムなシャットダウン/再起動を経験します。いずれかのコンピューターで、NT-AUTHORITY \ SYSTEMによって明らかに開始され、RPC呼び出しに関係するシステムの再起動まで、カウントダウンのダイアログがポップアップします。特に、このダイアログは、古いRPCエクスプロイトワームの詳細についての記事で説明されているものとまったく同じです。 2台のコンピューターが再起動すると、ログインプロンプト（ドメインコンピューター）で再起動しましたが、管理者としてログインしていなくても、リストされているユーザー名は「admin」でした。 ドメインを実行しているWindows Server 2003マシンで、さまざまなソースからの数千のログイン試行に気付きました。管理者、管理者、ユーザー、サーバー、所有者など、さまざまなログイン名をすべて試しました。 一部のログにはIPがリストされていましたが、一部はリストされていませんでした。（失敗したログインの）ソースIPアドレスを持っていたもののうち、2つはリブートが発生している2台のWindows XPマシンに対応しています。ちょうど昨日、外部IPアドレスからのログイン試行の失敗に気づきました。tracerouteは、外部IPアドレスがカナダのISPからのものであることを示しました。そこから接続するべきではありません（VPNユーザーもいます）。そのため、外国のIPからのログイン試行で何が起こっているのかまだわかりません。 これらのコンピューターにはある種のマルウェアが存在することは明らかであり、その目的の一部は、ドメインアカウントのパスワードを列挙してアクセスを試みることです。 これまでに行ったこと 何が起こっているのかを理解した後、私の最初のステップは、すべての人が最新のアンチウイルスを実行し、スキャンを行ったことを確認することでした。影響を受けたコンピュータのうち、1台は期限切れのウイルス対策クライアントを持っていますが、他の2台はノートンの現在のバージョンであり、両方のシステムの完全スキャンでは何も見つかりませんでした。 サーバー自体は定期的に最新のアンチウイルスを実行しており、感染は確認されていません。 そのため、Windows NTベースのコンピューターの3/4は最新のアンチウイルスを使用していますが、何も検出していません。しかし、主にさまざまなアカウントへのログイン試行が何千回も失敗したことから明らかなように、何かが起こっていると確信しています。 また、メインファイル共有のルートにはかなりオープンなアクセス許可があることに気づいたので、通常のユーザーの読み取りと実行に制限しました。管理者にはもちろんフルアクセスがあります。また、ユーザーにパスワードを（強力なパスワードに）更新してもらい、サーバーの管理者に名前を変更してパスワードを変更します。 私はすでにネットワークからマシンを取り出し、新しいマシンに交換されていますが、これらのことはネットワークを介して拡散する可能性があることを知っているので、まだこの最下部に到達する必要があります。 また、サーバーには特定のポートのみが開かれたNAT /ファイアウォール設定があります。Linuxのバックグラウンドであるため、ポートが開いているWindows関連サービスの一部についてはまだ完全に調査していません。 それで？ そのため、すべての最新のアンチウイルスは何も検出しませんでしたが、これらのコンピューターには何らかのウイルスがあると確信しています。これは、XPマシンのランダムな再起動/不安定性と、これらのマシンから発生する何千ものログイン試行に基づいています。 私がやろうとしているのは、影響を受けるマシンでユーザーファイルをバックアップし、次にウィンドウを再インストールして、ドライブを新しくフォーマットすることです。また、他のマシンへの拡散に使用された可能性のある共通ファイル共有を保護するために、いくつかの対策を講じています。 このすべてを知って、このワームがネットワーク上の他の場所にないことを確認するために私は何ができますか？そして、どのようにそれが広がるのを止めることができますか？ 私はこれが描かれた質問であることを知っています、しかし、私はここの私の深さから出ていて、いくつかのポインターを使うことができました。 見てくれてありがとう！

13 windows  windows-server-2003  security  network-monitoring  malware 

大企業は、新興企業が構築したWebソフトウェアを使用する前に、ソフトウェアのレビューを行っています。Linuxをホストに使用していますが、これは適切に保護および強化されています。 セキュリティレビューアーの規制では、すべてのコンピューターとサーバーにウイルス対策プログラムが必要です。明らかに、Linuxがウイルスに感染することはないということを彼らに伝えることはうまくいきません。 サードパーティのセキュリティ記事またはリソースを使用して、要件を下げるように説得することができますか、またはClamAVをインストールして1日に1回CPUを燃焼させる必要がありますか？

13 linux  security  anti-virus 

運用サーバーへの自動展開のためのmsdeploy Web展開エージェントサービスの使用を評価しています。 見つけられないことの1つは、潜在的なセキュリティへの影響です。 1つには、Webサーバーはもちろんセキュリティで保護されているため（ファイアウォールとロードバランサーの背後）、外部からのhttp（s）トラフィックのみが許可されます。 それでも、Web展開エージェントは、http（s）からアクセスできるため、IIS（外部に面している唯一のもの）と統合して実行されます。そのため、IISでホストされているWebを介してエージェントにアクセスできる可能性があるのではないかと心配しています。 実稼働環境で使用する場合、msdeployはどの程度安全ですか？ 更新：実稼働WebサーバーはIIS7を実行しています。

13 security  msdeploy 

ネットワークのパフォーマンスの問題をトラブルシューティングしながらtraceroute、さまざまなWebサイトで実行しました。次のWebサイトは繰り返し完了しませんtraceroute。 yahoo.com amazon.com ebay.com ご質問 これらのサイトtracerouteは完了できないネットワークを保護していますか？ これはこれらのWebサイトのネットワークに基づいており、ネットワークパフォーマンスの問題とは無関係であると思われます。それは安全な仮定ですか？ ebay.comのTracerouteの例 $ traceroute ebay.com traceroute: Warning: ebay.com has multiple addresses; using 66.135.205.13 traceroute to ebay.com (66.135.205.13), 64 hops max, 52 byte packets 1 10.10.100.1 (10.10.100.1) 56.518 ms 2.390 ms 2.082 ms 2 mo-69-34-118-1.sta.embarqhsd.net (69.34.118.1) 9.943 ms 10.007 ms 10.177 ms 3 mo-69-68-209-249.dyn.embarqhsd.net (69.68.209.249) …

13 security  networking 

入力されたすべてのコマンドがログサーバーに送られるようにします。すべてのログをログサーバーに送信するsyslog-ngがすでに構成されています。 これを行うためのありとあらゆる方法に興味があります。不正なユーザーとセキュリティについての議論が期待されますが、最初の主要な目的は、単にセッションをログに記録することです。すべてのセッションはSSH経由ですが、コンソール接続コマンドもログに記録する必要があります。どんなシェルでもこれを実現したいのですが、主なものはbashです。（繰り返しますが、不正なユーザーが独自のシェルを作成できることは知っています...）

13 security  logging  shell 

私たちのサイトは、中国に解決するIPアドレスを持つボットから絶えず攻撃を受け、システムを悪用しようとしています。それらの攻撃は成功していませんが、サーバーリソースの絶え間ない流出です。攻撃のサンプルは次のようになります。 2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 …

13 security  web-server  iis-6  asp.net  ids