タグ付けされた質問 「security」

質問： VMが破損（ハッキング）した場合、同じ物理マシン上で実行されている他のVMで何が危険になりますか？ 同じ物理ホストで実行されているVM間には、どのようなセキュリティ上の問題がありますか？ それらの（潜在的な）弱点や問題のリストはありますか（作成できますか）？ 警告： 多くの仮想化のタイプ/ソリューションが存在し、さまざまな弱点があることを知っています。ただし、特定のベンダーのバグではなく、仮想化技術に関する一般的なセキュリティ問題を主に探しています。 実際の事実、（深刻な）研究、経験した問題、技術的な説明を提供してください。具体的に。意見を述べないでください。 例： 2年前、MMU（他のマシンのメインメモリへのアクセス、私は思う）に関連するセキュリティ問題があるかもしれないと聞いたことがありますが、それが今日の実用的な脅威であるのか、単に理論的な研究であるのかわかりません件名。 編集： GnuPGが別の VMで実行されている場合でも、L3 CPUキャッシュを悪用することにより、同じ物理マシンでGnuPG秘密鍵を取得できる「Flush + Reload」攻撃も見つかりました。GnuPGにはパッチが適用されています。

12 security  virtualization  virtual-machines  hacking  hypervisor 

のように入力するとsudo apt-get install firefox、要求されるまですべてが機能します。 After this operation, 77 MB of additional disk space will be used. Do you want to continue [Y/n]? Y 次に、エラーメッセージが表示されます。 Failed to fetch: <URL> 私のiptablesルールは次のとおりです。 -P INPUT DROP -P OUTPUT DROP -P FORWARD DROP -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT …

12 security  iptables  firewall 

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか？ 質問を更新することがありますので、話題のサーバー障害のため。 5年前に閉鎖されました。 インフラストラクチャグループの一部は、RHEL 6の新機能を活用するためにアップグレードしたいと考えています。過去には、NSAガイド（www.nsa.gov/ia/_files/os/redhat/rhel5-guide- i731.pdf）RHEL 5およびCentOS 5インストールを保護します。このガイドは非常に貴重です。 そこにいる人は、RHEL / CentOS 6を同様の方法で保護した経験がありますか？もしそうなら、どのリソース（書面または相談）を活用しましたか？ 一部の同僚から、バージョン6とバージョン5はさまざまな点で大幅に異なると聞きましたが、その違いを十分に説明していなかったため、セキュリティに大きな穴を残したくありません。 RHEL 6のRed Hat独自のガイド（http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/index.html）は本当に十分ですか？ 機能的な理由がない限り、NSAのようなグループが保護しようとしているバージョンに固有のガイドを作成できるようになるまで、5から6へのアップグレードを控えるべきだと言う人はいますか？ より適切なフォーラムに導かれている場合でも、ご意見をお寄せください。 よろしく、 マイク

12 security  documentation  rhel6 

書かれたWebアプリケーションの次のものに対する8進形式の完璧な最小許可は何ですか？ ユーザーがアップロードした静的ファイル（images / swf / jsファイル）が存在するディレクトリ 管理者が静的ファイル（images / swf / jsファイル）をアップロードしたディレクトリが存在するディレクトリ アプリケーションで使用されるライブラリが存在するディレクトリ 実行可能/閲覧可能なサーバー側スクリプトが存在するディレクトリ 既存のファイル（txtまたはxml）がサーバー側のコードによって編集されるディレクトリ ここに私の提案と正当化があります 555、誰もが読み書きでき、誰も実行できません 544、所有者だけが書き込み、他の全員が読み取りのみ、誰も実行不可 000、誰も読み取り、書き込み、実行する必要はありません、Webサーバーでのみ使用されますか？ 661、所有者は読み取り、書き込み、他の全員は実行のみ可能 600、所有者は読み取り、書き込み（必要ない場合があります）、他の誰も何もできない 今、私は2つのことに興味があります： 最初のリストで見逃したWebベースのアプリケーションで一般的に使用されているものはありますか？ 2番目のリストにあなたが同意しないものはありますか？あなたの代替案は何ですか？なぜそれが優れていますか？

12 linux  permissions  web-applications  security 

私はpfSenseについてのいくつかのフォーラムで、pfSenseを仮想化することは危険だと言っていました。述べられた理由は、攻撃者がpfsenseをハイパーバイザーへの攻撃の踏み台として使用し、それを使用して他の仮想マシンにアクセスし、最終的にすべてをオフラインにする可能性があるためです。 私には夢中に聞こえますが、そのアイデアには現実が刻まれていますか？仮想サーバーでルーターを実行するのは悪い考えですか？

12 virtualization  router  pfsense  security 

私たちは、RHEL、Solaris、Windows 2003、およびWindows 2008サーバーが混在する比較的小さなショップです（システム管理者の数に関して）。合計で約200台のサーバー。 管理者アカウント（rootLinuxおよびadmnistratorWindows）には、データセンターの場所とサーバーの文書化された他のプロパティに依存するパスワードスキームがあります。 Linuxでの現在のプラクティスは、共有できる非特権アカウントを作成するsuことrootです。Windowsベースのシステムでは、管理者権限を持つ追加のアカウントを作成します。これらのアカウントは両方とも同じパスワードを共有します。 これは非常に非効率的であることが証明されています。誰かが私たちの店を出るとき、私たちは： 管理者アカウントのパスワードスキームを変更する サーバーごとに新しい管理者パスワードを生成する 新しい非管理者アカウントのパスワードを考え出す すべてのサーバーをタッチして、パスワードを変更します 同様の環境のだれかが、これらの資格情報を管理するより健全な方法を提案できるかどうかを知りたかったのです。いくつかの関連情報： ほとんどのサーバーはADドメインの一部ですが、すべてがADドメインの一部ではありません。 私たちはすべてのLinuxサーバーをPuppetで管理しています（キー認証は私が考えたオプションでしたが、上記の3番目の懸念にしか対処しません）。 CobblerでLinuxサーバーをプロビジョニングします。 ハードウェアの約10％がVMWare専用です。そのような場合、サーバービルドにはVMWareテンプレートを使用します。 どんなアイデアや提案も大歓迎です。これは長い間残っている問題であり、最終的に解決したいと思います。

12 linux  windows-server-2008  security  active-directory  puppet 

現在、クレジットカードデータは処理していますが、保存はしていません。authorize.net APIを使用して、独自に開発したアプリケーションを介してカードを認証します。 可能であれば、サーバーに影響を与えるPCIのすべての要件（Anti-Virusのインストールなど）を分離された個別の環境に制限したいと思います。コンプライアンスを維持しながらそれを行うことは可能ですか？ もしそうなら、何が十分な隔離を構成しますか？そうでない場合、その範囲が明確に定義されている場所はありますか？

12 security  pci-dss 

コードを変更せずにクロスドメインHTTPアクセス制御を実装しようとしています。 このブロックで正しいアクセス制御ヘッダーを返すApache（2）サーバーがあります。 Header set Access-Control-Allow-Origin "*" Header set Access-Control-Allow-Methods "POST, GET, OPTIONS" ブラウザがHTTP OPTIONSリクエストを送信したとき（REQUEST_METHOD環境変数に保存されている）、Apacheがコードを実行しないようにする必要があります200 OK。 要求方法がOPTIONSの場合に「200 OK」と応答するようにApacheを構成するにはどうすればよいですか？ このmod_rewriteブロックを試しましたが、アクセス制御ヘッダーが失われます。 RewriteEngine On RewriteCond %{REQUEST_METHOD} OPTIONS RewriteRule ^(.*)$ $1 [R=200,L]

12 apache-2.2  security  mod-rewrite  http 

404ログを調べると、次の2つのURLに気付きました。どちらも1回発生しました。 /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ そして /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00 問題のページには、半ダースの異なる許容値をlibrary.php持つtype変数が必要idです。次に変数が必要です。したがって、有効なURLは library.php?type=Circle-K&id=Strange-Things-Are-Afoot IDはすべてmysql_real_escape_string、データベースのクエリに使用される前にすべて実行されます。 私は新人ですが、これらのリンクの両方がwebrootに対する単純な攻撃であるように思えますか？ 1） 404以外のこれらの種類の事柄から保護する最善の方法は？ 2）責任のあるIPをパーマバンする必要がありますか？ 編集：また、これに気づいた /library.php=http://www.basfalt.no/scripts/danger.txt 編集2： 3つの攻撃すべての攻撃IPは216.97.231.15、ロサンゼルスのすぐ外にあるLunar Pagesと呼ばれるISP に由来します。 編集3：金曜日の朝、現地時間にISPに電話して、電話で連絡できる人と問題について話し合うことにしました。ここに結果を24時間ほどで投稿します。 編集4：私は最終的に彼らの管理者にメールを送り、彼らは最初に「彼らはそれを探していた」と答え、1日後に「この問題は今すぐ解決されるべきだ」と答えた。悲しいことに、それ以上の詳細はありません。

12 security  mysql  php  hacking 

私は最近、http：//archives.neohapsis.com/archives/openbsd/2005-03/2878.htmlでLinuxでrootユーザーのログインを無効にすることに対する議論を見つけました。 誰もが公開鍵認証を使用していれば、ルートパスワードを失うリスクはないと思います。 ssh経由でルートログインを無効にすることは常に良いですか？

12 linux  security  ssh 

私はMIT 6.893の講義を読んでいますが、それはUnixでの保護は混乱であり、根本的な原則ではないと述べています。また、WindowsにはIPCを介してあるプロセスから別のプロセスに特権を渡すことができるより良い代替手段があることを指摘しています。 私の意見では、Windowsユーザーはウイルスや脆弱性の影響を受けやすいように見えますが、主な原因はほとんどのWindowsユーザーが経験の少ないコンピューターユーザーであり、Windowsプラットフォームにはユーザーが多いために攻撃者が多いことです。 WindowsとLinuxのセキュリティメカニズムと設計を比較した詳細な記事や論文はありますか？

12 linux  windows  security 

クラウドサービスを使用して、クライアントのWebサイトの1つをバックアップすることを考えています。 私（クライアント）の主な関心事は（重要度の降順） IP（企業秘密、ソースコード）、ユーザーアカウントの詳細などの保護 サービスプロバイダーが提供するアップタイム保証（Webサーバーのダウンタイムを最小限に抑えるため） 費用 アップロード/ダウンロード速度 理想的には、長く結びついていないサービスが必要です（つまり、「従量制」サービスのようなものを好むでしょう） また、別のサービスに移動することがほとんど不可能なベンダーロックインも避けたいと思います。 以下に関する一般的なガイドラインが必要です。 サービスプロバイダーの選択方法 フィールドの主な選手は誰ですか 使用するソフトウェアの推奨事項：バックアップ/復元/および保存/復元されたファイルのアップロード/ダウンロード サーバーソフトウェアは、UbuntuまたはDebianのいずれかになります（サーバーとして使用するOSについては、おそらく質問を投稿します-私はすでにUbuntuに精通しています）

12 ubuntu  security  backup  debian  cloud-storage 

ここで以前の質問を検索した後、私が所有するインスタンスに10.208.34.55のプライベートIPが割り当てられている場合、そのアドレスでアクセスできるのは他のインスタンスのみであるという一般的なコンセンサスがあるようです。見る： 2つのAmazon EC2インスタンス間のトラフィックを暗号化する方法は？ あれは正しいですか？したがって、すべてのインスタンスをLAN上にあるかのように扱い、10.XXX.XXX.XXXからのマシンを認証および信頼できます。 確認したいだけです。アマゾンは、実際の明確な技術文書を提供するよりも、The Cloudとその3文字の略語について詩的であることに興味があるようです。

12 networking  security  amazon-ec2  amazon-web-services 

インターネットで安全にパスワードを送信するための最良の方法を探しています。私が調べたオプションは、PGPと暗号化されたRARファイルです。インターネットを介してポイントaからポイントbに到達すること以外に、あまりリスクを伴うことなく実際のパラメーターはありません。

12 security  password 

お客様のCheckPointファイアウォールのファイアウォールルール（200以上のルール）を確認する必要があります。 過去にFWDocを使用してルールを抽出し、他の形式に変換しましたが、除外のエラーがいくつかありました。次に、それらを手動で分析して、コメント付きのルール（通常はOOo Calc）の改良版を作成します。 視覚化の手法はいくつかありますが、それらはすべてトラフィックの分析に使用されるため、静的分析が必要です。 それで、ファイアウォールルールを分析するためにどのプロセスに従うのかと思いました。どのツールを使用していますか（チェックポイントだけでなく）。

12 security  firewall  checkpoint