タグ付けされた質問 「security」

Paranoidは、Sys / Net管理者が（明らかにセキュリティ上の理由から）持っている（暗黙の）「要件」と見なされていますか？ 過度に妄想的であるようなことはありますか？または、他の人を信頼し、統合失調症のゴーグルを通してシナリオを完全に疑問視するべきではありませんか？ セキュリティに関しては、この特性に「中間」がありますか？（基本的には、私が求めていることでしょう誰が、であるあなたは雇います？） 更新：私は人々が「パラノイア」という言葉にそれほど強調することを期待していなかった。あまり深く考えないでください。別の単語を使用することもできますが、Paranoiaはセキュリティでよく使用される単語です。たくさんのIT関係者から「あまりにも妄想的」や「もっと妄想的である必要がある」と聞いたことがあります。

12 security 

これは開発上の問題とは思えないかもしれませんが、本質的にはそうです。方法を説明させてください。開発の主な焦点は、動的コンテンツページです。一部のお客様から、古い静的コンテンツ用にサーバー内のスペース（有料）を許可するように依頼されました。顧客に別のドメインへのftpアカウントを与えることでこれを達成するために使用します。（たとえば、顧客ドメインはcustomer.comですが、otherdomain.com / customerstaticを介して静的コンテンツにアクセスしていました）。 ここで、Linuxサーバーで顧客にsftpアカウントを提供するセキュリティを強化したいと考えています。シェル環境でopenssh / sftp-serverを使用しているため、ログインまたはコマンドを実行できません。 問題は、本質的に多くのファイルシステムファイルがデフォルト（drwxr-xr-x）であるということです。これは、すべてのユーザーがディレクトリのコンテンツと場合によってはいくつかのファイルを読み取ることができることを意味します。ファイルシステム全体を-rwxr-x--xに変更することは賢明なことだとは思いません。なぜなら、その読み取り許可が必要なシステムファイルの数がわからないからです。 過去に誰かがこの問題に直面したことがあります。持っているなら、その道を教えてくれませんか？ ありがとう

12 linux  security  sftp  html  dynamic 

現在のところ、この質問はQ＆A形式には適していません。回答は事実、参考文献、または専門知識によってサポートされると予想されますが、この質問は議論、議論、世論調査、または広範な議論を求める可能性があります。この質問を改善し、場合によっては再開できると思われる場合は、ヘルプセンターをご覧ください。 8年前に閉鎖されました。 ロックされています。この質問とその回答はロックされています。なぜなら、質問はトピックから外れていますが、歴史的に重要だからです。現在、新しい回答やインタラクションを受け入れていません。 他の誰かが所有する実際のシステムをハッキングすることは倫理的ですか？利益のためではなく、セキュリティの知識をテストし、新しいことを学ぶためです。私は、システムに損害を与えないハッキングについてのみ話しますが、セキュリティホールがあることを証明します。

12 security  hacking 

では/etc/ssh/sshd_config、と呼ばれるオプションがありAcceptEnv、SSHクライアントは、環境変数を送信することができます。多数の環境変数を送信できる必要があります。これらはクライアントからのすべての接続で変更されるため、サーバー上のログインスクリプトにそれらを配置することはより困難になります。 私はそれ"AcceptEnv *"が安全でないと読んだ。配置するように設定されているすべての環境変数のリストを取得しようとする前に、その理由を理解したいと思います。 なぜ安全でないと考えられますか？例を入手できますか？

12 linux  security  ssh  environment-variables 

小型（Windowsベース）サーバーを実行しています。ログを確認すると、パスワード推測によるハッキングの試みが（成功しなかった）安定して流れていることがわかります。これらの試みをソースIPアドレスの所有者に報告しようとするべきでしょうか、それとも最近の試みは完全に正常であると考えられているのでしょうか。

12 security  hacking  abuse 

プライベート/パブリックのdsa-keypairを作成しました。公開鍵をサーバーに入れました ~/.ssh/authorized_keys すべてが他のサーバーと同じように設定されていますが、サーバーは私の努力を無視しているようです。

12 security  ssh  login 

外部ユーザーがイントラネット専用のWebアプリケーションにアクセスするための安価なVPNソリューションとして、SSHトンネリングの実装を検討しています。 現在、OpenSSHがインストールされたUbuntu Server 10.04.1 64ビットを使用しています。 WindowsボックスでPuttyを使用して、sshサーバーへのローカルポートにトンネルを作成しています。 start putty -D 9999 mysshserver.com -N 次に、Firefoxにlocalhost：9999でSOCKSプロキシを使用するように指示します。 -Nフラグは、クライアント側からインタラクティブシェルを無効にします。サーバー側でこれを行う方法はありますか？ ルートアクセスの無効化、rsaキー認証の使用、およびデフォルトポートの変更。この目的のために私が従うべき他の明らかなセキュリティ慣行はありますか？私の目標は、単にWebトラフィックをトンネリングできるようにすることです。

12 security  ssh  proxy  shell  socks 

2つの場所があるとしましょう。両方の場所には、独自の高速インターネット接続があります。すべてのコンピューターが他のすべてのコンピューターを見ることができるように、これら2つのネットワークをどのように結合しますか？ ドメインコントローラが必要ですか、それともワークグループでこれを行うことができますか？ 明らかな解決策はVPNのようですが、VPNはルーターにのみ実装できますか？ネットワーク上のコンピューターは構成不要ですか？

11 networking  routing  internet  security 

プレーンなEC2環境内では、IAMロールと認証情報（インスタンスのメタデータから自動的に取得される）を使用して、他のAWSリソースへのアクセスを管理するのは非常に簡単です。CloudFormationを使用するとさらに簡単になり、特定のアプリケーションロールをインスタンスに割り当てると、その場でロールを作成できます。 Dockerに移行し、Mマシンとその上で実行されるNアプリケーションがあるようなM-to-N展開を行う場合、アプリケーションごとのAWSリソースへのアクセスを制限するにはどうすればよいですか？インスタンスのメタデータにはホスト上の誰でもアクセスできるため、すべてのアプリケーションが同じデプロイメント環境内の他のすべてのアプリケーションのデータを表示/変更できるようにします。 そのような環境で実行されているアプリケーションコンテナにセキュリティ資格情報を提供するためのベストプラクティスは何ですか？

11 security  amazon-web-services  docker  amazon-iam 

CVE-2014-6271の元のテストを理解しました。 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" しかし、CVE-2014-7169の更新されたテストと対応する出力に混乱しています。 $ env X='() { (a)=>\' sh -c "echo date"; cat echo sh: X: line 1: syntax error near unexpected token `=' sh: X: line 1: `' sh: error importing function definition for `X' Thu …

11 security  bash 

WebサーバーにHTTPリクエストを送信するときに、SSL証明書を拒否するブラウザーの数を調べたいと思います。現在、ほとんどの最新ブラウザで認識されているように見える無料のCAを使用していますが、ブラウザとオペレーティングシステムの組み合わせを徹底的にテストすることなく、いくつかの数値を取得したいと思います。 証明書の検証が失敗するとブラウザが接続を終了することを理解していますが、Apacheがこれを検出する方法はありますか？特定の診断情報を取得する予定はありません-証明書/ SSLの問題があったという事実だけで十分です。

11 apache-2.2  security  ssl  ssl-certificate 

ddos攻撃を防ぐために、IPごとに200以上のリクエストをドロップします。これは、IPごとのリクエストカウントを検出するために使用したコマンドです。 netstat -alpn | grep :80 | awk '{print $5}' |awk -F: '{print $(NF-1)}' |sort | uniq -c | sort -nr 今、私は入力と出力を削除するためにIPtablesに200以上のリクエストを行ったすべてのIPアドレスを追加したい。

11 networking  security  iptables  command-line-interface 

env変数をsshシェルに渡すためのの使用PermitUserEnvironmentとファイルに関するかなりの数の記事を読みました~/.ssh/environment。公式のsshdドキュメントと他のいくつかのリソースは、これを行うことによるセキュリティ上のリスクを示唆しています。 環境処理を有効にすると、ユーザーはLD_PRELOADなどのメカニズムを使用して、一部の構成でアクセス制限をバイパスできます。 アクティベーションのセキュリティ上の問題はPermitUserEnvironment何ですか？これらの環境変数でDB接続の詳細を保持しようとしていましたが、これはお勧めですか？

11 security  ssh  environment-variables 

Windows 2008ドメインでパスワードを変更できないユーザーがいました。彼は、選択したパスワードがそれらを満たしていると確信していても、複雑さの要件に関する不可解なメッセージを彼に与えていました。自分でテストして確認しました。 私が思い出すと、彼の最後のパスワードは、マイクロソフトが推奨するデフォルトの10日間のように、最近設定されたようです。 彼は私に非常に良い質問をしましたが、答えられませんでした。なぜパスワードの最低年齢が設定されるのでしょうか？これはどのようにセキュリティに合理的に利益をもたらすでしょうか？彼はまた、この10日間でパスワードが危険にさらされる可能性があり、それを変更できない可能性があることを指摘しました。 パスワードの最低年齢を強制する正当な理由はありますか？

11 active-directory  security  password 

私は最近多くの反発を受けています。 Googleアプリアカウントが侵害されたと思ったが、アプリアカウントにアクティビティはなく、悪意のあるユーザーが確認できることはありません。 電子メールは常にランダムなユーザー名（onSecNtV1@mydomain.comなど）から送信されるため、未登録ユーザーからの電子メールの送信を禁止する方法を見つけようとしました。何も見つかりませんでした。 心配なのは、メッセージにX-Google-DKIM-Signatureがあり、「Googleがメッセージを配信しようとしました」ということです。これは、信頼できるクライアントから送信された電子メールを意味しますか？（Gmailのみを使用） AFAIKスパマーは電子メールのあらゆるフィールドを自由に偽装できますが、DKIMは（現代の）サーバーにこれらの検証不可能な電子メールをドロップさせるべきです。 リークがどこにあるか考えていますか？ バウンスバックの例を次に示します。 Delivery to the following recipient failed permanently: spoonbillzi7@etisbew.com Technical details of permanent failure: Google tried to deliver your message, but it was rejected by the server for the recipient domain 174.133.125.2 [174.133.125.2]. The error that the other server returned was: 553 sorry, that …

11 security  email  g-suite  email-bounces  dkim