タグ付けされた質問 「security」

これはおそらくnoobの質問ですが、誰かが私に与えたSSH公開鍵がパスフレーズを持っているかどうかをどのように判断できますか？ ユーザー用のSSHキーを生成していない状況がありますが、サーバーに配置するすべてのSSHキーにパスフレーズがあることを確認したいのですが、パスフレーズは秘密キーの一部にすぎないと感じています。 ありがとう！

13 linux  security  ssh 

IIS 5.0では、既定でアプリケーションプールのIDアカウントはASPNETであり、偽装が有効になっていない限り、WebサイトはそのアプリケーションプールのIDのアカウントで実行されます。 ただし、IIS 7.0には、Webサイトが使用するアカウントを構成できる場所が2つあります。アプリケーションプールレベルおよびWebサイトレベル。 WebサイトIDがアプリケーションプールIDをオーバーライドすることを期待していましたが、そうではないことがわかりました。 それで、違いは何ですか？

13 security  iis  iis-7  application-pools 

ここで夢を見ているかもしれませんが、 しかし、キーロガーソフトウェアを検出するための信頼できる方法はありますか？私は主に開発者ですが、いくつかのサーバーを実行していますが、私が最も心配しているのは、私のシステムのソフトウェアキーロガーであり、静かに保つのに適しています。 個人のシステムにすべてのRDPパスワードを盗み出すソフトウェアキーロガーがないことを確認する方法はありますか？

13 security 

Internet Storm Centerによると、SSHゼロデイエクスプロイトがそこにあるようです。 ここにいくつかの概念実証コードといくつかのリファレンスがあります： http://secer.org/hacktools/0day-openssh-remote-exploit.html http://isc.sans.org/diary.html?storyid=6742 これは深刻な問題と思われるため、すべてのLinux / Unixシステム管理者は注意する必要があります。 この問題が時間通りに修正されない場合、どうすれば自分を守ることができますか？または、一般的にゼロデイ攻撃をどのように処理しますか？ *提案を返信に掲載します。

13 linux  security  ssh  hacking  exploit 

現在のところ、この質問はQ＆A形式には適していません。回答は事実、参考文献、または専門知識によってサポートされると予想されますが、この質問は議論、議論、世論調査、または広範な議論を求める可能性があります。この質問を改善し、場合によっては再開できると思われる場合は、ヘルプセンターをご覧ください。 8年前に閉鎖されました。 サプライヤーから6か月ごとにパスワードの変更を強制されることを通知するメールを受け取ったばかりなので、ユーザーが使用するパスワード有効期限ポリシーとその使用理由を知りたいと思います。

13 password  security 

閉じた。この質問は意見に基づいています。現在、回答を受け付けていません。 この質問を改善したいですか？この投稿を編集して事実と引用で答えられるように質問を更新してください。 5年前に閉鎖されました。 長所と短所を知りたい。システム管理者がパスワードを使用してユーザーアカウントリストを保持するという考えに賛成する理由と、それらのユーザーにパスワードの変更を許可しない理由。 Windowsのようなシステムは、ユーザーが自分のパスワードセキュリティを維持し、自由にパスワードを変更できるようにするという考えを奨励しているように思えます。プライバシーの必要性と、同僚の言葉がシステムのログに同意しない場合に自分自身を保護するためのアリバイを持っているユーザーの必要性を高く評価できます。しかし同時に、ユーザーが非公開にしたい資料へのアクセスが必要な場合に、ユーザーのパスワードをファイルに保存することを正当化する人もいます。 私はこのアイデアについて教育を受けたいと思っています。

13 security  password  privacy  permissions 

Webアプリケーション（.net）を実稼働環境にデプロイする場合、統合セキュリティを使用する方がよいのですか、それとも重要ですか？ ハッカーがWebサーバーを破壊したとしても、マシンになりすましやすいので、それほど問題にはならないようです。 考え？

13 sql-server  security  web-applications 

Linux（Debian）サーバーでシャドウパスワードとPHPのcrypt_blowfishサポートを有効にするにはどうすればよいですか？ PHPではCRYPT_BLOWFISHとして知られているOpenBSDスタイルのBlowfishベースのbcryptを参照しています。 私が知る限り、Debianパッケージはありませんが、このハッシュアルゴリズムをPHPで有効にするには他にどのようなオプションが必要ですか？ 注： PHPのcrypt（）関数は、基盤となるオペレーティングシステムによって提供されるCライブラリcrypt（3）関数と比較的直接インターフェースします。 更新 パッケージの命名は、それが可能なほど明確ではありません（すべきです）。PEAR CRYPT_BLOWFISHパッケージは迅速を考慮して、ドロップインPHPのmcrypt拡張モジュールの交換で双方向フグの暗号化。 また、Debian BCryptパッケージ は、「通常の」双方向ブローフィッシュアルゴリズムの実装でもあります。 私が探しているのは、パスワードをハッシュするためのBcrypt-hash実装です。

13 security  debian  hash 

TLS圧縮に対するCRIME攻撃（CVE-2012-4929、CRIMEはssl＆tlsに対するBEAST攻撃の後継です）について読みましたが、Apacheに追加されたSSL圧縮を無効にすることでこの攻撃からWebサーバーを保護したいです2.2.22（バグ53219を参照）。 httpd-2.2.15に付属するScientific Linux 6.3を実行しています。httpd 2.2のアップストリームバージョンのセキュリティ修正は、このバージョンにバックポートする必要があります。 # rpm -q httpd httpd-2.2.15-15.sl6.1.x86_64 # httpd -V Server version: Apache/2.2.15 (Unix) Server built: Feb 14 2012 09:47:14 Server's Module Magic Number: 20051115:24 Server loaded: APR 1.3.9, APR-Util 1.3.9 Compiled using: APR 1.3.9, APR-Util 1.3.9 構成でSSLCompressionをオフにしようとしましたが、次のエラーメッセージが表示されます。 # /etc/init.d/httpd restart Stopping httpd: [ OK ] Starting …

13 apache-2.2  security  tls  mod-ssl 

私はここ数年、CentOSボックスで遊んでいます。だから私は端末にかなり満足しています。しかし、chrootは安全ではないと主張し、それらの投稿の量が怖いという多くのブログ投稿を読みました。本当にそうですか？どうして？ chrootを使用して、シェルまたはコマンドをまったく使用せずに、特定のコンテキストでSFTPのみのユーザーをロックダウンします。それで、本当に、それに関するセキュリティ問題は何ですか？ 質問はStackOverflowから追放されます。

13 linux  centos  security  chroot 

MySQLの検索エンジンとfail2banでインターネットを検索すると、fail2banログをMySQLに入れることで多くの結果が得られますが、失敗したMySQLのログイン試行とそれらのIPの禁止を監視したいと思います。 アプリケーションでは、MySQLのポートを開いたままにしておく必要がありますが、セキュリティを強化するためにデフォルトポートを変更しています。ただし、セキュリティを強化するために、fail2banでMySQLログを監視したいと思います。 MySQLのfail2banを構成するためのクイックガイドはありますか？すでにインストールされており、他のいくつかのサービスで作業しているので、インストール部分をスキップして、構成ファイルの構成またはその他必要なものにすぐにジャンプできます。

13 mysql  security  iptables  fail2ban 

私が使用しているサーバーはUbuntu 10.10です。セキュリティを確保するために、サーバーがクライアントに送信するバナーを編集します。 ポート22でホストにtelnetを実行すると、実行しているSSHの正確なバージョンが表示されます（SSH-2.0-OpenSSH_5.3p1 Debian-3ubuntu4）。状況は、MySQLとCyrusでも同じです。 助言がありますか？少なくともSSHの場合は？ ありがとう

13 linux  security 

Apache Httpdを実行しているサーバーでいくつかのWebサイトをホストしています。各Webサイトには、独自のドメインまたはサブドメインと仮想ホストがあります。したがって、デフォルトのドキュメントルートは必要ありません。それは無効にすることがDocumentRootで/etc/httpd/conf/httpd.conf？

13 apache-2.2  security  httpd.conf  documentroot 

私はバインドで遊んでいると、このソフトウェアが、たとえば、chrootで実行されているCentOSにある理由を疑問に思い始めました。私を誤解しないでください、私はバインドが何であり、chroot（jail）が何であるかを知っています。しかし、私の主な質問は、chrootなしでバインドを実行することは非常に安全ではないということです。 刑務所なしでセットアップすることは本当に有害ですか（他のサービスやソフトウェアよりも）。システムでは、chrootなしで実行されている多くのプロセスがあり、それらのいずれかの侵害は非常に危険だと思いますが、chrootなしで実行されている他のソフトウェアよりもnamedがより危険なのはなぜですか？

12 linux  security  bind  chroot 

サービス環境としての擬似プラットフォームを実装しています。Infrastructure as a Serviceに匹敵する非常にシンプルなセットアップです。基本的に、クライアントはそれぞれ独自のサーバーにアクセスでき、OSを維持し、クライアントはOSへのアクセスを制限します。理由により、サーバーへの完全なローカル管理者アクセスをクライアントに許可することはできませんが、クライアントは（IIS、SQL Serverなど）内のWebホスティングツールへの完全なアクセスが必要です。私はこのセットアップがどれほど複雑かを完全に認識していますが、これらの決定は私の頭上で行われ、私の声は問題で聞かれ、無視されました。 問題： ローカル以外の管理者にIISマネージャー（サイトを委任するだけでなく、IISマネージャー全体）への管理アクセスを許可することは可能ですか？もしそうなら、どのように？ ありがとう！

12 security  windows-server-2008-r2  iis-7.5