タグ付けされた質問 「security」

私は、小さな会社のActive Directoryセットアップを管理しようとするプログラマーです。ドメインコントローラーはWindows Small Business Server 2008を実行しています。 タブレットPCを使用するフィールドワーカーのスタッフがいます。タブレットのThinkVantageブロートウェアの構成の問題により、これらのユーザーはタブレットを使用するときに管理者権限を持っている必要があります。それは大丈夫です-電話で修正プログラムを歩いているときに彼らが幅広い特権を持っていると便利なので、回避策を探していません。 グループポリシーを使用して、次のシナリオを設定します。特定のセキュリティグループ（または組織単位）のコンピューターにログインする場合、特定のセキュリティグループ（または組織単位）のユーザーは、BUILTIN / Administratorsグループに属している必要があります。コンピューターをOUに入れる必要はありますが、グループごとにユーザーを割り当てたいと思います。 もちろん、フィールドワーカーは他のワークステーションの管理者であってはならず、バニラオフィスのスタッフはタブレットの管理者であってはなりません。 現在、これは各タブレットでローカルに管理されていますが、新しい雇用を追加するにつれて、面倒になりつつあります。 ここでは制限されたグループが答えだと思いますが、ADの概念と方法に確固たる基礎がなければ、それを実現するのに苦労しています。 このタスクの適切なテクニックは何ですか？それを実装するにはどうすればよいですか？

11 security  active-directory  permissions  group-policy 

SELinuxがセキュリティベーコンを保存した場所の実例を挙げることができますか？（または必要に応じてAppArmour）。あなた自身ではない場合、信頼できる経験を持つ人へのポインタ？ ラボテストではなく、ホワイトペーパーでも、ベストプラクティスでも、CERTアドバイザリでもありませんが、実際の例、実際のハッキングの試みが途中で止まったというaudit2whyのようなものですか？ （例がない場合は、Answersではなくコメントをコメントにしてください。） ありがとう！

11 linux  security  selinux 

サーバールームを従業員から保護する方法について、誰かが推奨事項を持っているかどうか知りたいと思いました。ドアにはロックがありますが、建物のマスター（メンテナンス、所有者、管理人など）がいる人は誰でも開けることができます。キーが必要であり、エントリをログに記録してさらに制限できるように近接カードロックも備えていると便利です。誰もこれをやったことがありますか？安全であることを確認する他の方法は何ですか？

11 security  server-room  physical-security 

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか？ 質問を更新することがありますので、話題のサーバー障害のため。 3年前に閉店しました。 これは本当に簡単なことだと思いますが、SFをグーグルで調べてみても何も見えませんでした。Fedoraサーバーがpingに応答しないようにしようとしていますが、どうすればよいですか？

11 networking  security  fedora  ping 

https経由で転送されたリクエストに対してリプレイ攻撃を実行することはできますか？意味、HTTPSプロトコルはと同様のメカニズム強制ないアクセス認証ダイジェストノンスがリプレイを防止するために、要求の中に導入されます。

11 security  ssl  https 

「マルウェア大学」を提供するいくつかのサイトを見てきました。マルウェアを取り除くためのトレーニングクラスです。マルウェアの除去スキル（または武器）を時々更新する必要があると思いますか？この成長する非常に複雑な脅威に対処するには、どうすればより効果的になりますか？

11 security  anti-virus  malware 

特定のフォルダー以外のドライブ/フォルダーにあるファイル（* .exeファイル）を実行しないようにWindows（XP以上）に指示する方法はありますか？要するに、「ホワイトリスト」のみから実行可能ファイルを実行したいのです。 これは、ユーザーが自宅から持ち込むガベージCDから実行可能ファイルを実行しないように依頼するよりも優れていると思います。

11 windows  security  malware 

HTTPは盗聴者に対して脆弱であるため、プライベートデータの転送にはHTTPSを使用する必要があると何度も聞いています。しかし、実際には、特定のサーファーのHTTPトラフィックを盗聴できるのは誰ですか？ISP？同じLAN上の他の人ですか？IPアドレスを知っている人はいますか？

11 networking  security  http 

ここでは、特定のアプリケーションを管理するために使用されるUNIXの非ルート共有ログインアカウントがあります。ポリシーは、共有アカウントへの直接ログインを許可しないことです。自分でログインし、「su」コマンドを使用して共有アカウントに切り替える必要があります。これは、ロギング/セキュリティを目的としています。 エージェントでSSH公開/秘密キー認証を使用し始めて、1日に1回パスワードを入力できるようにし、エージェント転送で1日の残りのパスワードプロンプトを削除できるようにしました。本当にいいです。 ただし、一部のシステムはロックダウンされているため、共有アカウントにアクセスするには「su」コマンドを使用する必要があります。あら！いつものパスワード入力に戻りましょう！ 公開/秘密キーが使用されている場合、共有アカウントへのリモートログインを許可するためのポリシーの変更を要求する合理的なチャンスがあるように、SSH公開/秘密キー認証で記録された十分な情報がありますか？ / var / log / secureで管理者に見てもらいましたが、特定のIPアドレスからのユーザーアカウントの公開キーが受け入れられたとだけ言っています。誰が公開鍵であるか、誰が秘密鍵で認証したかはわかりませんでした。

11 security  ssh  unix  authentication  logging 

閉じた。この質問は意見に基づいています。現在、回答を受け付けていません。 この質問を改善したいですか？この投稿を編集して事実と引用で答えられるように質問を更新してください。 5年前に閉鎖されました。 私たちは自分自身をホストする新しいウェブサイトを展開しています。ホワイトハットを取得する前に、ネットワーク外部から侵入テストをどのように実行しますか？

11 internet  website  security 

最近、悪意のあるSSHログイン試行の分析に関する記事を読みました。これにより、私のDebianボックスのSSHユーザー名、パスワードの組み合わせは一般的ではないかと思いました。力ずくの辞書攻撃の標的にされたのですか？/var/log/auth.log.0を見てみましょう。 Sep 23 07:42:04 SLUG sshd[8303]: Invalid user tyjuan from 210.168.200.190 Sep 23 07:42:09 SLUG sshd[8305]: Invalid user tykeedra from 210.168.200.190 Sep 23 07:42:14 SLUG sshd[8307]: Invalid user tykeem from 210.168.200.190 Sep 23 07:42:19 SLUG sshd[8309]: Invalid user tykeshia from 210.168.200.190 Sep 23 07:42:25 SLUG sshd[8311]: Invalid user tyla from …

11 linux  security  ssh  debian 

ときどき、Ansible lineinfileまたはblockinfileモジュールを使用して、パスワードを構成ファイルに書き込みたいと思います。その場合、パスワードが含まれている行全体またはブロック全体がで終わりますsyslog。 syslogパスワードを安全に保管する場所とは考えていないので、Ansibleにパスワードを漏らさないようにするにはどうすればよいsyslogですか？これを行う方法があることを願っています。そうでない場合、これはAnsibleの大きなセキュリティ問題であると考えます。 たとえば、次のアドホックコマンドを使用してそれを再現できます。 ansible localhost -m blockinfile -a 'dest=/tmp/ansible_password_leak create=yes block="Password = {{password}}"' -e 'password=secret' これが最終的に何であるかですsyslog： ansible-blockinfile: Invoked with directory_mode=None force=None remote_src=None insertafter=None owner=None follow=False marker=# {mark} ANSIBLE MANAGED BLOCK group=None insertbefore=None create=True setype=None content=None serole=None state=present dest=/tmp/ansible_password_leak selevel=None regexp=None validate=None src=None seuser=None delimiter=None mode=None backup=False block=Password = secret …

11 security  password  syslog  ansible 

Ubuntu 14.04 LTSのSambaをローミングプロファイルのPDC（プライマリドメインコントローラー）として使用します。次の設定で暗号化を強制しようとした場合を除いて、すべてが正常に機能します。 server signing = mandatory smb encrypt = mandatory [global]/etc/samba/smb.conf のセクション。これを行った後、8.0クライアントと8.1クライアントを獲得します（他のクライアントを試したことはありません）。Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden.このテキストの英語の翻訳：The trust relationship between this workstation and the primary domain could not be established. 我々は二つのオプションを追加する場合server signingとsmb encryptだけに[profiles]はsmb.confのセクション、そしてtcpdumpショーは、実際のトラフィックは暗号化されていないこと！ 完全なsmb.conf： [global] workgroup = DOMAIN server string = %h …

11 security  samba  encryption  samba4  domain-controller 

rootの直接アクセスを制限するようにsecurettyを構成したい。追加した場合、私は今明らかです： auth required pam_securetty.so /etc/pam.d/system-authに追加し、/ etc / securettyに「コンソール」のみを保持すると、sshログインも禁止されます。そして私が追加した場合： auth required pam_securetty.so /etc/pam.d/loginに保存し、/ etc / securettyに「コンソール」のみを保持すると、sshログインは禁止されません。 /etc/pam.d/loginと/etc/pam.d/system-authの違いについては、あまり明確ではありません。誰かが私にいくつかのリファレンスやガイドを教えてもらえますか？どうもありがとう！ PS /etc/pam.d/loginと/etc/pam.d/system-authの比較 についても少し説明しますが、わかりやすくするためにもっと詳しく説明します。

11 linux  security  rhel5  pam 

私は基本的に、Active Directory内のOctetString属性のいずれかに秘密キー（ハッシュ）を格納しています。 私の質問は、どの属性がデフォルトで安全であり、そこにプライベートデータを保持するのが理にかなっているのですか？この値は、現在のADパスワードと同様に、管理者でさえも（可能であれば）アクセスできないようにするパスワードと同様に考える必要があります。 以下は、Windows 2008R2 + Exchange 2010ドメインでデフォルトで有効になっている属性のリストの始まりです。 更新： デフォルトでドメイン内のすべてのユーザーに「読み取り」権限を公開しないオクテット文字列属性を知っている人はいますか？私はハッシュを公開しないで、ハッシュに基づいてレインボーテーブルを作成できるようにしたくありません。

11 security  active-directory  schema