タグ付けされた質問 「security」

logcheckがインストールされたDebian 6.0を実行しているサーバーがあります。昨日、私はこのメッセージを受け取りました： Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4). これが誰なのかわかりませんが、彼が偶然そこにいたのではないかと思います。 さて、どうすればいいですか？ 最初にしたことは、sshパスワード認証を無効にして、公開/秘密キーに切り替えたことです。また、authorized_keysファイルを確認し、公開鍵のみを見ました 次は何？ 他の人が私のマシンで何をしたかを知るにはどうすればよいですか？

11 linux  security  ssh  debian  ssh-keys 

目標は、ユーザーがターミナルサーバーで不要なプログラムを実行できないようにすることです。 私は、新しいApplocker機能が古いソフトウェア制限ポリシーよりも100％優れており、後者の代替として推奨されると言っているマイクロソフトなどからの多くの記事を読みました。 カーネルモードの実行以外に、Applockerの真の利点を理解できるかどうかはわかりません。その機能のほとんどは、ソフトウェア制限ポリシーで再現できます。 同時に、それは非常に役に立たない1つの大きな欠点があります：それは拡張可能ではなく、制限したいカスタムファイル拡張子を追加することはできません。 SRPに対するApplockerの利点は何ですか？また、ソフトウェア制御には何をお勧めしますか？

11 windows-server-2008  security  group-policy 

私が理解したように、EAP-TTLSとPEAPは、ワイヤレスネットワークに実装された場合、同じレベルのセキュリティを共有します。どちらも証明書によるサーバー側認証のみを提供します。 EAP-TTLSの欠点は、Microsoft Windowsの非ネイティブサポートであるため、すべてのユーザーが追加のソフトウェアをインストールする必要があります。 EAP-TTLSの利点は、安全性の低い認証メカニズム（PAP、CHAP、MS-CHAP）をサポートできることですが、最新の適切に安全なワイヤレスシステムでそれらが必要な理由は何ですか？ あなたはどう思いますか？PEAPの代わりにEAP-TTLSを実装する必要があるのはなぜですか？ほとんどのWindowsユーザー、中程度のLinuxユーザー、そして最も少ないiOS、OSXユーザーがいるとしましょう。

11 security  wifi  radius  peap 

私は時々やりますecho "secret" | mysql -u root -p ...。今、私はここでセキュリティについて心配しています：すべてのプロセスをリストする誰かがパスワードを見ることができますか？ 確認するには、「ps aux」の出力にecho "test" | sleep 1000秘密のechoコマンドが表示されていませんでした。だから私はそれが安全だと思います-しかし、セキュリティの専門家はそれを確認できますか？:)

11 security  shell 

さまざまなWebサイトをホストするWebサーバーがあります。外部からアクセスできる2つのサービスはSSHとApache2です。これらは、それぞれ非標準ポートと標準ポートで実行されています。他のすべてのポートは、arno-iptables-firewallを介して明示的に閉じられます。ホストはDebianテストを実行しています。 nmapを使用してホストをスキャンすると、PCごとに異なる結果が生成されることに気付きました。ホームネットワーク（BT Homehubの背後）のラップトップから、次のものを取得します。 Not shown: 996 filtered ports PORT STATE SERVICE 80/tcp open http 554/tcp open rtsp 7070/tcp open realserver 9000/tcp open cslistener 一方、nmap 5.00とnmap 5.21を実行しているノルウェーのLinuxボックスを使用する米国ベースのサーバーからスキャンすると、次のようになります。 Not shown: 998 filtered ports PORT STATE SERVICE 80/tcp open http 9000/tcp open cslistener 私の内部ネットワークまたはISPがうまくいっていることを願っていますが、確信が持てません。 を実行しnetstat -l | grep 7070ても何も生成されません。ポート554についても同様です。 誰もが私が見ている特異性を説明できますか？

11 security  debian  port 

私の質問は次のとおりです。Debian6.0（Squeeze）でデフォルトで有効になっているのは、どのバッファオーバーフロー/スタックスマッシング防御（ある場合）ですか？ Ubuntuには、各Serverエディションリリースの主要なセキュリティ機能を示す便利な要約表がありますが、Debianに似たものは見つかりませんでした。Ubuntuの言及： スタックプロテクター（gccの-fstack-protector） ヒーププロテクター（GNU C Libraryヒーププロテクター） ポインターの難読化（glibcに保存されているポインターの一部は難読化されています） アドレス空間レイアウトランダム化（ASLR）（スタックASLR; Libs / mmap ASLR; Exec ASLR; brk ASLR; VDSO ASLR） Position Independent Executables（PIE）として構築されたいくつかのデーモン Fortify Source "-D_FORTIFY_SOURCE = 2"で構築されたいくつかのデーモン（？） Debian 6.0は、どの程度まで同様の手法を使用しますか（デフォルト）？

11 security  debian  debian-squeeze 

私は電子保護された健康情報（ePHIまたはPHI）を扱っており、HIPAA規制では、許可されたユーザーのみがePHIにアクセスできるようにしています。列レベルの暗号化は、一部のデータにとっては価値があるかもしれませんが、名前などのPHIフィールドの一部を検索するような機能が必要です。 透過的データ暗号化（TDE）は、データベースとログファイルを暗号化するためのSQL Server 2008の機能です。私が理解しているように、これにより、MDF、LDF、またはバックアップファイルへのアクセスを取得したユーザーは、ファイルが暗号化されているため、ファイルに対して何もできなくなります。TDEはSQL Serverのエンタープライズバージョンと開発者バージョンにのみ搭載されており、エンタープライズは特定のシナリオではコストがかかりすぎます。SQL Server Standardで同様の保護を取得するにはどうすればよいですか？データベースとバックアップファイルを暗号化する方法はありますか（サードパーティツールはありますか）？または、ディスクが別のマシン（LinuxまたはWindows）に接続されている場合、ファイルが使用されないようにする方法はありますか？ 同じマシンからファイルへの管理者アクセスは問題ありませんが、ディスクが取り外されて別のマシンに接続された場合の問題を防止したいだけです。そこにあるこの解決策のいくつかは何ですか？

11 sql-server  security  windows-server-2008-r2  hipaa 

サーバーがルート化された場合（たとえば、このような状況）、最初にすべきことの1つは封じ込めです。一部のセキュリティスペシャリストは、すぐに修正プログラムを入力せず、フォレンジックが完了するまでサーバーをオンラインに保つことを推奨します。これらのアドバイスは通常APT向けです。時々Script kiddieの違反があった場合は異なります。そのため、早めに修正（修正）することもできます。修復の手順の1つは、サーバーの封じ込めです。ロバート・モアの回答から引用-「被害者を強盗から切り離す」。 サーバーは、ネットワークケーブルまたは電源ケーブルを引っ張って収容できます。 どちらの方法が良いですか？ 以下の必要性を考慮に入れる： さらなる被害から被害者を守る 成功した法医学の実行 （おそらく）サーバー上の貴重なデータを保護する 編集：5つの仮定 想定： 早期に検出されました：24時間。 早期に回復したい：ジョブの1人のシステム管理者の3日間（フォレンジックと回復）。 サーバーは、サーバーメモリの内容をキャプチャするスナップショットを取得できる仮想マシンまたはコンテナーではありません。 起訴を試みないことにします。 攻撃者が何らかの形式のソフトウェア（おそらく高度な）を使用している可能性があり、このソフトウェアがサーバー上で実行されていると思われます。

11 rootkit  security 

私はちょうどサイトを閲覧していて、この質問を見つけました：私のサーバーは非常にハッキングされました。基本的に質問は次のとおりです。私のサーバーがハッキングされました。私は何をすべきか？ 最良の答えは優れているが、それは私の心の中でいくつかの質問を提起しました。推奨される手順の1つは次のとおりです。 「攻撃された」システムを調べて、攻撃がセキュリティの侵害に成功した方法を理解します。攻撃が「どこから来たのか」を見つけるためにあらゆる努力を払ってください。そうすれば、あなたが抱えている問題を理解し、将来システムを安全にするために対処する必要があります。 私はシステム管理者の仕事をしていないので、私はこれをどのように始めるかわかりません。最初のステップは何ですか？サーバーのログファイルを確認できることは知っていますが、攻撃者として最初に行うことはログファイルを消去することです。 攻撃の成功方法をどのように「理解」しますか？

11 security 

最近（しかし、これは繰り返し起こる質問でもあります）、ハッキングとセキュリティに関する3つの興味深いスレッドを見ました： 侵害されたサーバーに対処するにはどうすればよいですか？。 ハッキングされたサーバーがハッキングされた方法を見つける ファイルのアクセス許可に関する質問 最後の1つは直接関連していませんが、Webサーバーの管理を台無しにするのがいかに簡単かを強調しています。 いくつかのことができるので、何か悪いことが起こる前に、攻撃の裏側の影響を制限し、悲しい場合にどのように対応するかについての良い慣行に関してあなたの提案が欲しいです。 サーバーとコードを保護するだけでなく、監査、ログ記録、および対策も重要です。 グッドプラクティスのリストはありますか、またはWebサーバーを継続的に分析するソフトウェアまたは専門家に頼ることを好みますか（またはまったくありませんか）。 はいの場合、リストとあなたのアイデア/意見を共有できますか？ 更新 いくつかの良い興味深いフィードバックを受け取りました。 簡単なリストを用意したいので、ITセキュリティ管理者だけでなく、Web ファクトタムマスターにも役立ちます。 誰もが正しく正しい答えを出したとしても、現時点では、Robertが最も単純で明確で簡潔であり、sysadmin1138が最も完全で正確であるため、私はRobertを好みます。 しかし、ユーザーの視点と認識を誰も考慮していません。最初に考慮する必要があると思います。 ユーザーが自分のハッキングされたサイトにいつアクセスするか、ユーザーが賢明なデータを所有している場合はそれがはるかにわかります。データをどこに保存するかだけでなく、怒っているユーザーをどのように落ち着かせるかが問題になります。 データ、メディア、当局、競合他社はどうですか？

11 security  logging  hacking 

デスクトップUbuntuディストリビューションを実行しているホームサーバーがあります。私はこれを私のcrontabで見つけました * * * * * /home/username/ /.access.log/y2kupdate >/dev/null 2>&1 そして、そのディレクトリ（username /の後のスペースはディレクトリ名）を見ると、明らかにすべきでないことをしている多くのスクリプトを見つけました。 そのコンピューターをワイプし、ものを再インストールする前に、セキュリティ侵害の原因とその時期を調べたいと思います。だから、私は再び同じ穴を開けません。 どのログファイルを調べる必要がありますか？私が知っているサーバー上で実行されているサーバーは、sshdとlighttpdだけです。 このようなことが再び起こるかどうかを検出するにはどうすればよいですか？

11 linux  ubuntu  security  hacking  forensic-analysis 

次を実行するアカウントを作成したい： コンピューターをドメインに参加させます（通常のユーザーのように、10に制限されません） ADのコンピューターアカウントを確認する ADからコンピューターを削除する OU間でコンピューターを移動する 他の操作を許可したくないので、ドメイン管理者アカウントは必要ありません。 誰かが許可の面で正しい方向に私を導くことができますか？委任制御ウィザードを使用する必要があるかどうかわからない場合 乾杯、 ベン

11 security  active-directory  permissions 

いくつかの機密性の高いアプリケーションのために内部ネットワークでSSLを使用する必要があり、自己署名証明書とセットアップしたWindows Server CAによって署名された証明書に違いがあるかどうかを知る必要がありますか？CAをセットアップする必要がありますか？

11 security  ssl-certificate 

あなたのウェブサイトがハッキングされた場合、最初に何をしますか？ネットからサイトを取得しますか？またはバックアップをロールバックしますか？本当にないか？このような経験をしましたか？

11 security  website  web 

「ダイヤルイン」VPNの場合、PPTPまたはIPSEC VPNは他のVPNよりも安全ですか？

11 security  vpn  ipsec  pptp