タグ付けされた質問 「security」

私は、Apache VirtualHostsとしてさまざまなWebサイトをホストするWebサーバーをセットアップしています。これらのそれぞれは、スクリプト（主にPHP、その他の可能性）を実行する可能性があります。 私の質問は、これらのVirtualHostsを相互に、およびシステムの残りの部分からどのように分離するかです。たとえば、WebサイトXがWebサイトYの構成やサーバーの「プライベート」ファイルを読み取らないようにしたい。 現時点では、ここで説明されているように、FastCGI、PHP、およびSUExecを使用してVirtualHostsをセットアップしました（http://x10hosting.com/forums/vps-tutorials/148894-debian-apache-2-2-fastcgi-php-5-suexec -easy-way.html）、ただしSUExecはユーザーが自分のファイル以外のファイルを編集/実行することを禁止するだけです-ユーザーは引き続き設定ファイルなどの機密情報を読み取ることができます。 サーバー上のすべてのファイルのUNIXグローバル読み取りアクセス許可を削除することを検討しました。これにより上記の問題が修正されますが、サーバーの機能を中断せずに安全に削除できるかどうかはわかりません。 私はchrootの使用についても調査しましたが、これはサーバーごとにのみ実行でき、仮想ホストごとでは実行できないようです。 私のVirtualHostsをシステムの残りの部分から分離する提案を探しています。 PS私はUbuntu 12.04サーバーを実行しています 私の答え：私は現在の設定にほぼ従って終了しましたが、すべての仮想ホストに対してchroot jailを実行します。たとえば、chroot jailを入れて/var/wwwから、すべてのユーザーのデータをグループ/その他のr / w / x権限を持つサブフォルダーに入れます。無効。このオプションは、ソースコードを変更せずにすべて実行できるため、特に望ましいものでした。 @Chrisの回答を選択しました。完全に記述され、FTPとSELinuxも考慮されたためです。

11 apache-2.2  ubuntu  php  security  shared-hosting 

MSは、GUIツールから「ローカルユーザーとグループ」を削除するために多大な労力を費やしており、lusrmgr.mscを直接くすぐったとしても、スナップインがドメインコントローラーで実行されないことを訴えます。 問題は、「なぜそうでないのか」です。DCがローカルセキュリティグループを持つことが意味をなさないのはなぜですか？

11 windows-server-2008  security  domain-controller 

比較的大きなNTFSパーティションには、大きく複雑なディレクトリ構造があります。誰かがなんとかして非常に悪いセキュリティ特権をそれに加えました-ランダムに与えられた/拒否されたアクセス許可を持つディレクトリがあります。私はすでに許可バグに何度も遭遇し、安全でない許可設定を複数回見つけました（たとえば、「Everyone」の書き込み許可） 、または偽の所有者）。 すべてを手作業でチェックする時間はありません（大きいです）。 しかし幸運にも、私の願いはとても単純です。最も一般的なのは、私には何でも読み取り/書き込み/実行することです。 なんとかすることは可能ですか ディレクトリからすべてのセキュリティデータを削除する そして、私の（単純な）願望をそこにすべて上書きしたいのですか？ Unixではchown -R ...、chmod -R ...コマンドシーケンスを使用しました。Windowsでこれに相当するものは何ですか？

11 windows  security 

Linuxのパスワードセキュリティについて学習しています（何よりも好奇心が強い）。実際のパスワードはハッシュされ、シャドウパスワードファイルに保存されることを理解しています。私が確信が持てず、簡単なグーグル検索で見つけることができなかったのは、ハッシュ値（およびソルトの値）をエンコードするために使用されるエンコードです。明らかに16進数ではなく、:文字を除いてテキストです。ここの誰かがそのエンコーディングが何であるかを教えてもらえますか？ 編集：私はハッシュ（MD5、SHA-X）、ソルト、およびハッシュ指定子を理解しています。私が探しているのは、ハッシュ結果（バイト配列（byte []））をファイルに表示される文字のシーケンス、つまりエンコードに変換する方法です。

11 linux  security  password 

要塞サーバーBがあります。秘密鍵を使用して、AからBを介してCにSSHで接続する必要があります。 より良いオプションは何ですか： 入れてサーバー上の秘密SSHキー我々は、それが本番環境でそれを行うには悪いアイデアだと読みB.を。 ここから： SSH秘密鍵を踏み台インスタンスに配置しないでください。代わりに、SSHエージェント転送を使用して、最初に要塞に接続し、そこからプライベートサブネット内の他のインスタンスに接続します。これにより、SSH秘密鍵をコンピューター上だけに保持できます。 SSHエージェント転送を使用します。エージェント転送を設定するには、TCP転送を許可する必要があります。エージェント転送を設定すると、転送ホストにソケットファイルが作成されます。これは、キーを宛先に転送できるメカニズムです。AWSの要塞設定で： TCP転送：この値をtrueに設定すると、TCP転送（SSHトンネリング）が有効になります。これは非常に便利ですが、セキュリティ上のリスクもあるため、必要でない限り、デフォルト（無効）の設定を維持することをお勧めします。 ここからも： 有害と見なされるSSHエージェント転送 何が良いですか？2番目のリンクからの代替：ProxyCommandについてはどうですか？それはソケットファイルの問題に役立つことを理解していますが、それでもTCP転送を有効にする必要があると思うので、十分に安全ですか？

10 linux  ssh  security  private-key  bastion 

HKLM \ SYSTEM \ CurrentControlSet \ Services \ MY-SERVICE-NAMEにObject Name、ユーザーの名前を含むキーがありますが、パスワードが見つかりません。 DP APIがWindowsサービス管理およびサービスプロセス自体とどのように相互作用するかを理解しようとしています。 ありがとう！

10 windows  security  windows-registry 

標準のPostfix、SpamAssassin、ClamAV、SPF / DKIMチェックなどで構成されるMTAを実行します。このMTAは受信メールのみに使用され、アカウントをホストせず、上記のチェックに合格したメールを共有ウェブホストに転送します。 サーバーにメールを配信しようとすると、いくつかのメールサービスがプレーンテキストの前にTLS接続を試行し始めていることを認識しています。 私はすべてのサービスがTLSをサポートするわけではないことを理解していますが、それがどれほどうまく採用されているので、OCDのセキュリティ面を私の脳で満たすことができるのかと思っています（そうです、SSLはかつて思っていたほど安全ではありません。 ...）。 Postfixのドキュメントのためsmtpd_tls_security_levelと述べているRFC 2487布告は全て公に参照（すなわちMX）メールサーバがTLSを強制しないこと。 RFC 2487によれば、これは公的に参照されているSMTPサーバーの場合には適用してはなりません（MUST NOT）。したがって、このオプションはデフォルトでオフになっています。 したがって、ドキュメント（または15歳のRFC）はどのように適用可能/関連していますか？また、世界のISPの半分をロックアウトせずに、すべての受信SMTP接続で安全にTLSを強制できますか？

10 security  email  postfix  tls 

RFC 5702がDNSSECでのSHA-2の使用を文書化し、RFC 6944が RSA / SHA-256を「実装が推奨される」と定義していることを知っています。私が気づいていないのは、リゾルバーの検証で広く実装されているSHA-256がどれだけあるかです。 インターネットゾーン（特に興味があるのは.orgドメイン）にSHA-256で署名することは現実的ですか、それともDNSSEC対応インターネットの大規模なスワスに対してゾーンを検証できないようにしていますか？ フォローアップとして、同じレベルのセキュリティを維持するために、ハッシュの変更でキースケジュールを変更できますか（たとえば、より短いキースケジュールを使用してSHA-1の使用を回避できますか）？

10 security  dnssec 

1つのubuntuサーバーが3つのアプリをすべて別々のドメインでホストしています。 各アプリには独自の開発者がいます。 アプリ開発者は、linuxの「sftp」グループに属しています。 chroot各アプリ開発者にパスワードsftpアクセスを許可します。 /home/app1/prod /home/app2/prod /home/app3/prod sshd_config Match Group sftp PasswordAuthentication yes ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no 私たちの懸念は、他の2つのアプリで問題を引き起こす1つのアプリのプログラミングの脆弱性です。 chrootの代わりにlxcコンテナーを使用する必要がありますか？どうして？lxcコンテナーへの変更はアプリ開発者に透過的ですか？

10 ubuntu  security  sftp  chroot  lxc 

実行中のシステムの現在のルールで、selinuxタイプに関連するすべてを知る必要があります。 allow、allowaudit、dontauditルール。 タイプを使用したコンテキストでラベル付けされたファイル。 遷移。 ...その他の情報。 その情報を照会するために使用できるコマンドはありますか、またはすべてのselinux関連の「src」パッケージをダウンロードし、使用されていないモジュールを除外して、その情報のすべてのファイルをgrepする必要がありますか？それを行う簡単な方法がなければなりません。

10 linux  security  selinux 

mod_sslを使用するときにApache 2.2.xでSSL / TLS圧縮を無効にする方法はありますか？ そうでない場合、古いブラウザでのCRIME / BEASTの影響を軽減するために人々は何をしていますか？ 関連リンク： https://issues.apache.org/bugzilla/show_bug.cgi?id=53219 https://threatpost.com/en_us/blogs/new-attack-uses-ssltls-information-leak-hijack-https-sessions-090512 /security/19911/crime-how-to-beat-the-beast-successor

10 apache-2.2  security  ssl  tls  mod-ssl 

職場では、プレーンなhttpまたは自己署名証明書（ロードバランサー管理インターフェイス、内部wiki、サボテンなど）を使用する多数のWebインターフェイスがあります。 特定のVLAN /ネットワークの外部から到達できるものはありません。 自宅で使用する場合は、cacert SSL証明書を使用します。 私は雇用主に自己署名証明書とプレーンhttpの代わりにcacert SSL証明書を使用するように勧めるべきかどうか疑問に思っていました。誰でも本番環境でcacert sslを使用していますか？賛否両論は何ですか？セキュリティは向上しますか？管理は簡単ですか？予期しないことはありますか？品質スキャンに影響はありますか？どうすればそれらを納得させることができますか？ もちろん、公開ウェブサイトの有料証明書は変更されません。 編集： （好奇心旺盛）企業からの無料のssl証明書はクラス3ではないようです。パスポートを提示し、物理的に立ち会ってcacertsからクラス3を取得する必要がありました。各クラス1のブラウザーに警告はありませんか？ とにかく、私は無料のCAについて同じ質問をします。自己署名されたプレーンなhttpを使用するよりも良いですか、そしてなぜですか？ 管理を容易にするために、サーバー側で行います。見逃したことはありますか？ 免責事項：私はCacert Associationのメンバーではなく、Assurerでもなく、通常のハッピーユーザーです。

10 security  ssl 

集中管理されているコンピューターのセキュリティを強化したいのですが、Javaランタイムを自動的に展開するのは非常に困難ですが、その方法は別の問題です。 パッチが完全に適用されていても、Javaのセキュリティは壊滅的です。ユーザーが無害な質問「この証明書を信頼しますか？」Java webstartは、マルウェア作成者にとっても普遍的なエントリポイントのようです。 一般的に、ブラウザゲームなどをプレイするユーザーは気にしません。Javaアプレットはとにかく絶滅しているようです。 しかし、Javaに依存するページが1つ残っています（Ingramm Microショッピングシステム）。 特定の構成済みサイトでJavaプラグインのみを許可するようにグループポリシーを介してIEまたはJavaを構成する簡単な方法を知っている人はいますか？ ありがとう！

10 security  group-policy  java  internet-explorer 

閉まっている。この質問は、オフトピック。現在、回答を受け付けていません。 5年前休業。 ロックされています。この質問とトピックへの回答はロックされています。質問はトピックから外れていますが、歴史的に重要です。現在、新しい回答や相互作用を受け入れていません。 このシナリオもSOに投稿されており、対象ユーザーごとにさまざまな質問がありました。非常に良い回答を受け取ったので、とても嬉しく思います。 私たちは、企業組織内の4人の開発者の小さなチームのために、仮想化を使用した開発環境を実装しようとしています。これにより、個別の開発、テスト、およびステージング環境をセットアップできるほか、評価対象のシステムまたはツールの要件である新しいオペレーティングシステムにアクセスできるようになります。 既存のワークステーションクラスのマシンを再利用し、24 GBのRAMとRAID-10を投入し、マシンをドメインに追加しようとするまで問題なく動作しました。 今、私たちは、当初からすべてのエンタープライズ開発者が戦わなければならなかった戦争、つまり開発とテスト環境のローカル制御のための戦いを始めています。ネットワークおよびIT管理者は、「ESXサーバーはエンタープライズ標準です」から「サーバーはクライアントVLANでは許可されていない」、「[fill-in-the-blank]は現在保有しているスキルセットではない」など、さまざまな懸念を提起しています。ローカルまたはエンタープライズIT組織」。 おそらく本番レベルのハードウェアと正式なITサポートを正当化することができます（必要な場合は必要性を正当化できますが、それには時間がかかり、頭痛の種がたくさんあります）-ITリソースを正式に取得するまでに数か月かかる可能性がありますこれをプロダクションシステムとして扱うことによって割り当てられます。そうしたとしても、必要なローカルコントロールを失う可能性があります。 非実稼働環境を開発者が制御するために、企業内の開発者と同様の苦労があったと思いますので、私の質問は次のとおりです。 一般的に（そして当然のことながら）このタイプの（中央で）管理されていないインフラストラクチャを排除する標準のネットワークおよびセキュリティポリシーが導入されている企業内にこれらのタイプのサイロが存在することを許可するために、開発者はどのような議論をしましたか？ これは、開発者が技術的またはビジネス上の正当化を行い、パッチ管理とAVが確実に行われるようにすることですか、それとも制御と所有権をめぐる政治的闘争の問題でしょうか。 選択を前提として、開発者にローカル管理者権限を与えながらハードウェア/ OSの所有権とサポートを取得するか、完全に管理させながら、問題が発生した場合にパッチ管理/ AVを導入して責任を課すことを保証しますか？ 開発者がインフラストラクチャの「不正なサーバー」をローカルで制御できないようにブロックできた場合、開発者は当然のことをしましたか、それとも開発者（またはあなた）が開発環境を切断されたVLAN /完全に別のネットワークに移動しましたか？ この質問の範囲を制限するためのいくつかの仮定： 繰り返しますが、これは開発環境用です。本番環境の負荷やサポート性は必要ありません。外部からアクセスできるものはありません。 これは、Hyper-VとESXの聖戦ではありません（どちらを使用しても問題ありませんが、Hyper-Vは、これらの目的のためにMSDNで「無料」であるため選択されました[そうです、VMWareにも無料のツールがありますが、優れた管理ツールは一般的には]ではなく、ローカル開発者が "Microsoft Shop"で管理する方が簡単です）。 開発チームはすでに、パッチ管理とウイルス対策の管理、またはITがサポートする場合は既存のエンタープライズシステムとの統合を保証していますが、それを受け入れるかどうかは確かに範囲内です。

10 security  virtualization 

何ヶ月も放置された後、電子メールの炎と管理の戦いが発生し、現在のシステム管理者が解雇され、「サーバー資格情報」を私に手渡されました。このような資格情報は、ルートパスワードのみで構成されています。手順、ドキュメント、ヒント、何もありません。 私の質問は次のとおりです。彼がブービートラップを残したと仮定して、ダウンタイムを最小限に抑えてサーバーを適切に引き継ぐにはどうすればよいですか。 詳細は次のとおりです。 地下のサーバーファームにある1つの運用サーバー。ubuntuサーバー9.x、おそらくgrsecパッチ（前回管理者に聞いたときの噂） すべての内部ドキュメント、ファイルリポジトリ、wikiなどを含む1つの内部サーバー。繰り返しますが、ubuntuサーバー、数年前のものです。 両方のサーバーにパッチが適用され、最新の状態になっていると仮定します。そのため、正当な理由がない限り（つまり、上層部に説明できる場合を除き）、ハッキングを試みたくないと思います。 本番サーバーには、ホストされているいくつかのWebサイト（標準のapache-php-mysql）、LDAPサーバー、ZIMBRA電子メールスイート/サーバーがあり、稼働しているいくつかのvmwareワークステーションを知ることができます。何が起こっているのかわかりません。おそらく1つはLDAPマスターですが、それは大まかな推測です。 内部サーバーには、内部wiki / cms、本番サーバーから認証情報を複製するLDAPスレーブ、さらにいくつかのVMwareワークステーション、および実行中のバックアップがあります。 私はサーバーファームの管理者に移動し、サーバーをポイントして、「sudoそのサーバーをシャットダウンしてください」と伝え、シングルユーザーモードでログインして、自分のやり方で進むことができます。内部サーバーについても同様です。それでも、それはダウンタイム、上層部の混乱、古いシステム管理者が私を攻撃して「参照してください？あなたは私の仕事をすることはできません」と他の迷惑です、そして最も重要なこととして私は潜在的に数週間の無給の時間を失う必要があります。 スペクトルの反対側では、何が起こっているのかを理解するために、サーバーにrootとしてログインしてサーバーを介してログインできます。サプライズを引き起こすリスクはすべて残されています。 私は真ん中の解決策を探しています：何が起こっているのか、そしてどのようにしているかを理解しながら、すべてをそのままの状態で実行し続けることを試み、最も重要なのは、残されたブービートラップのトリガーを回避することです。 あなたの提案は何ですか？ これまでのところ、内部サーバーで「練習」し、ネットワークを切断し、ライブCDで再起動し、ルートファイルシステムをUSBドライブにダンプし、切断された分離された仮想マシンにロードして、以前のsysadminの方法を理解することを考えました考えている（a-la「あなたの敵を知る」）。本番サーバーで同じ偉業を引き出すことはできますが、完全なダンプは誰かに気付かれます。おそらく、rootとしてログインし、crontabを確認し、.profileで起動されたコマンドを確認し、最後のログをダンプするなど、思いついたすべてのことを実行できます。 そして、それが私がここにいる理由です。どんなに小さなヒントでも、どんなものでも大歓迎です。 時間も問題です。数時間または数週間でトリガーが発生する可能性があります。悪いハリウッド映画の1つに感じますね。

10 ubuntu  security  best-practices