タグ付けされた質問 「security」

特定のユーザーに公開鍵でのログインを強制し、他のユーザーにパスワードでのログインを許可することは可能ですか？公開鍵認証（パスフレーズを使用）はパスワードのみの認証よりも強力であるため、公開鍵を使用してログインするにはsudoerに要求します。ただし、通常のユーザーに強制することはあまり便利ではありません。ではsshd_config、ポリシー関連の設定は表示されません。

10 ssh  security  public-key 

Win7ボックスの証明書ストアが常にハングしています。観察する： C：\> 1.cmd C：\> certutil-？| findstr / i ping -ping-Active Directory証明書サービス要求インターフェースにpingを実行します -pingadmin-Active Directory証明書サービスの管理インターフェイスをpingします C：\> set PROMPT = $ P（$ t）$ G C：\（13：04：28.57）> certutil -ping CertUtil：-pingコマンドが失敗しました：0x80070002（WIN32：2） CertUtil：指定されたファイルが見つかりません。 C：\（13：04：58.68）> certutil -pingadmin CertUtil：-pingadminコマンドが失敗しました：0x80070002（WIN32：2） CertUtil：指定されたファイルが見つかりません。 C：\（13：05：28.79）> PROMPT = $ P $ Gを設定 C：\> 説明： 最初のコマンドショーあなたがあること–pingと–pingadminします。certutilへのパラメータ pingパラメータの試行が30秒のタイムアウトで失敗する（現在の時刻はプロンプトに表示されます） これは深刻な問題です。それは私のアプリのすべての安全な通信をねじ込みます。これを修正する方法を誰かが知っている場合は、共有してください。 ありがとう。 PS 1.cmdは、これらのコマンドのバッチです。 certutil -? | findstr …

10 security  windows-7  ssl-certificate  certificate  ad-certificate-services 

ソースコードへのアクセスのセキュリティ保護に関する業界のベストプラクティスは何ですか？Apacheを介したSSLのみの接続が、他と競合しない不明瞭なポートでサーバーに許可されていると考えています。面倒なのは、ソースコードをパブリックサーバーに保存することです。つまり、LAN経由でのみアクセスできるわけではありません。さらに、このサーバーにはいくつかの用途があります。Apacheはすでに他の社内Webサイトを提供しています。正しい資格情報を持っている限り、誰もがどこからでも（自宅、空港など）ソースコードにアクセスできるようにしたいと思います。提案？

10 security  svn  mercurial  source 

私が持っているだけの公にアクセス可能なページがあります <?php phpinfo(); > ベータ版ではデバッグの目的で使用しますが、ライブサイトのときにアクセス可能にしておくことに害はありますか？

10 apache-2.2  php  security  phpinfo 

私は大学のシステム管理者と仕事をしていて、たぶんよくあることを偶然見つけましたが、私にはかなりショックでした。 すべてのpublic_htmlディレクトリーとWeb領域は、Webサーバーの読み取り許可とともにafsに保管されます。ユーザーは、public_htmlにphpスクリプトを含めることが許可されているため、php内（およびメインのWebファイル！）から他のユーザーのファイルにアクセスできます。 これにより、.htaccessパスワード保護が完全に役に立たなくなるだけでなく、ユーザーがmysqlデータベースのパスワードと同様の機密情報を含むphpソースファイルを読み取ることができるようになります。または、他のユーザーがWebサーバーに書き込みアクセス権を持っているディレクトリを見つけた場合（たとえば、個人ログまたは送信されたフォームデータを保存するため）、それらのアカウントにファイルを保存できます。 簡単な例： <? header("Content-type: text/plain"); print file_get_contents("/afs/example.com/home/smith/public_html/.htpasswd"); ?> これは一般的な問題ですか？そして、通常はどのようにそれを解決しますか？ 更新： 入力いただきありがとうございます。残念ながら、簡単な答えはないようです。このような大規模な共有環境では、ユーザーはおそらくこれほど多くの選択肢を与えられるべきではありません。私が考えることができる最良のアプローチは、すべての「public_html」ディレクトリのメイン構成で「open_basedir」を設定し、suphpを実行して、クリーンなphpのみを許可することです（cgiスクリプトなし、バッククォート付きの外部コマンドの実行など）。 ただし、このようにポリシーを変更すると、多くの問題が発生し、ユーザーがピッチフォークをつかんで追いかけるようになる可能性があります。設定を変更する方法について決定した場合は、同僚と話し合い、ここで更新します。

10 apache-2.2  security  php 

ログインを必要とするWebサイトのSSLを支払うように顧客を説得しようとしています。送信されているパスワードが誰かに見られる可能性がある主なシナリオを正しく理解したいと思います。 私の理解では、途中のどのホップでもパケットアナライザーを使用して何が送信されているかを表示できます。 これには、ハッカー（またはそのマルウェア/ボットネット）が、パケットが宛先に到達するために通過するホップのいずれかと同じサブネット上にある必要があるようです。そうですか？ このサブネット要件のいくつかのフレーバーが当てはまると仮定すると、すべてのホップまたは最初のホップのみについて心配する必要がありますか？誰もが傍聴している可能性があるため、パブリックWifiネットワーク上にあるかどうかを最初に心配することができます。 パケットがこの外部を通過するサブネットで何が起こっているのか心配する必要がありますか？ ネットワークトラフィックについてはわかりませんが、主要な通信事業者のデータセンターを通過していて、そこには多くのジューシーな攻撃ベクトルがないと思いますが、間違っている場合は修正してください。 パケットアナライザーで聞いている誰かの外で心配される他のベクトルはありますか？ 私はネットワーキングとセキュリティの初心者なので、このいずれかで間違った用語を使用している場合は、遠慮なく設定してください。

10 security  ssl  https  hacking  packet-sniffer 

これは私にとって初めてです。私が運営しているサイトの1つが最近攻撃されました。まったくインテリジェントな攻撃ではありません-純粋なブルートフォース-すべてのページとすべての非ページを、あらゆる拡張機能で攻撃できます。すべてのフォームにゴミデータを投稿し、ランダムなURLにも投稿しようとしました。すべてのtod、1時間で16000リクエスト。 この種の動作を防止/警告するにはどうすればよいですか？特定のIP /クライアントのリクエスト/時間を制限する方法はありますか？ ユーザーに報告すべき場所はありますか？彼らは中国から来たようで、有効な電子メールのように見えます。

10 security  hacking 

ユーティリティをバッチファイルとして記述しようとしています。このユーティリティは、特に、「ローカルでログオンを拒否する」ローカルセキュリティポリシーにユーザーを追加します。このバッチファイルは、数百の独立したコンピューターで使用されます（ドメイン上ではなく、同じネットワーク上にもありません）。 私は次のいずれかを私の選択肢だと思いましたが、おそらく私が考えていないものがあるでしょう。 net.exeローカルセキュリティポリシーを変更できるのと同様のコマンドラインユーティリティ。 同じことを行うVBScriptサンプル。 いくつかのWMIまたはWin32呼び出しを使用して独自に記述します。必要がなければ、私はむしろこれをしたくない。

10 windows  group-policy  batch-file  vbscript  security 

単一のopenvpnサーバーに接続する複数のopenvpnクライアントを持つことはできますか？次の設定は、単一のユーザーに適しています これはサーバー構成（openvpn.conf）です。 port 1194 proto udp dev tun secret openvpn-key.txt ifconfig 192.168.2.1 192.168.2.2 keepalive 10 120 comp-lzo persist-key persist-tun status server-tcp.log verb 3 これがクライアント設定です dev tun proto udp remote HOSTNAME_IS_HERE 1194 resolv-retry infinite nobind secret openvpn-key.txt ifconfig 192.168.2.2 192.168.2.1 comp-lzo verb 3 dhcp-option DNS 172.16.0.23 redirect-gateway def1 etc / sysconfig …

10 security  vpn  openvpn 

SSH経由で複数のデバイスから複数のサーバーに接続する必要があります。接続元の各デバイスで新しいid_dsaファイルを作成する必要があるのか​​、または同じid_dsaファイルを各デバイスにコピーするのに問題がないのかと思います。 たとえば、Ubuntuベースのプライマリデスクトップシステムとsshを搭載したMacBook Proがあります。そして、PuttyがインストールされたWindowsベースのネットブックを持っています。そして、私はConnectBotを備えたAndroidフォンを持っています。これらのデバイスのいずれかから、何十もの異なる物理サーバーと仮想サーバーにSSH接続する必要があるかもしれません。 各サーバーには、公開鍵をインストールする必要があります。また、私のGitHubアカウントとCodasetアカウントには公開鍵が必要です。 鍵管理を単純化するために、これらすべてのシステムで同じ秘密鍵を使用することを考えています。これは一般的な方法ですか、それとも各システムに秘密鍵を置く方が良いですか？

10 security  ssh 

閉まっている。この質問は、オフトピック。現在、回答を受け付けていません。 この質問を改善してみませんか？ サーバー障害のトピックになるように質問を更新します。 7年前休業。 過去10年間、小規模なネットワークのファイアウォールやスイッチなどを管理するために（自分自身にとっては）危険になるほど十分に学ばなければなりませんでした。ただし、私が実際に行っていること（趣味としてのセキュリティ）と実際に主題を習得することの間には、かなり大きなギャップがあることを知っています。 リサーチにより、Security +からCISSP、およびその中間の認定を受けています。良い学習ロードマップを提供すると思われる認定はありますか？ マークの近くにいる場合に備えて、必要と思われるものの短いリストを捨てます。 Wiresharkの妙技 * nixの親しみやすさ Cisco IOS（CCNAはこれを取得する「迅速な」方法でしょうか？） これは大規模な事業であることに気づきましたが、Win管理者の観点からの比較として、私が戻って若い自分にいくつかの指針を与えることができれば、追跡することで時間と頭と壁の遭遇をかなり節約できたでしょう。特定の学習ショートカット。セキュリティに焦点を当てたSFerの何人かが同様のアドバイスをしてくれることを願っています。

10 security 

Microsoft Hyper-V Server 2008 R2でパスワードの複雑さの要件を無効にするにはどうすればよいですか？ サーバーにログインしたときのUIは次のとおりです。 また、gpedit.mscを実行することはできません。 C:\Users\Administrator>gpedit.msc 'gpedit.msc' is not recognized as an internal or external command, operable program or batch file. Microsoft Hyper-V Server 2008 R2 には.mscスナップインがインストールされていないためです。 サーバーにアカウントを追加しようとすると問題が発生するため、アカウントは管理できますが、ほとんどのパスワードは好きではありません。 そして、予想通り、タイピング NET HELPMSG 2245 あなたにあげる The password does not meet the password policy requirements. Check the minimum p assword length, …

10 security  password  hyper-v-server-2008-r2 

ロックされています。この質問とトピックへの回答はロックされています。質問はトピックから外れていますが、歴史的に重要です。現在、新しい回答や相互作用を受け入れていません。 CentOS / RHELシステムがハッキングされた可能性がありますが、よくわかりません。しかし、私は新しいスライスを最初から作成することで、安全にプレイしています。 tripwireをインストールしましたが、誰かがログインしたときに電子メールで通知したいと思います。毎日のログウォッチレポートを待たずに、誰かがログインしたらすぐに電子メールを送信します。できれば、IPアドレスも使用します。 提案？ ログファイルエントリの電子メールアラートの送信に似ていますか？しかし、多分誰かがこの特定の問題のための技術を持っています。 おかげで、 ラリー 追加：http : //forums11.itrc.hp.com/service/forums/questionanswer.do?admit=109447626+1249534744623+28353475&threadId=698232にはいくつかのアイデアがあります

10 linux  security  log-files  login 

から：http : //seclists.org/fulldisclosure/2009/Jul/0388.html http://news.ycombinator.com/item?id=723798の投稿から私がそれを最もよく理解している場合、Matasanoの連中はsshdをインターネットからアクセスできるようにしました-これに対する提案された解決策（プログラミングの観点から）？

10 security  vulnerabilities  hacking 

私は新しいTomcatデプロイメントをセットアップしている最中なので、できるだけ安全にしたいと考えています。 「jakarta」ユーザーを作成し、jsvcでTomcatをデーモンとして実行しています。Tomcatのファイルへのアクセスを制限するためのディレクトリ許可などのヒントはありますか？ デフォルトのWebアプリケーション（ドキュメント、例など）を削除する必要があることはわかっています。ここで使用すべきベストプラクティスはありますか？すべての構成XMLファイルについてはどうですか？何かヒントはありますか？ Webアプリケーションがサンドボックスで実行されるように、セキュリティマネージャーを有効にする価値はありますか？誰かがこれを設定した経験がありますか？ Apacheの背後でTomcatの2つのインスタンスを実行している人々の例を見てきました。これはmod_jkを使用して、またはmod_proxyを使用して実行できるようです...どちらかの長所/短所？トラブルの価値はありますか？ 重要な場合は、OSはDebian lennyです。lennyはtomcat 5.5しか提供しておらず、6.xが必要なので、私はapt-getを使用していません。 ありがとう！

10 linux  security  debian  tomcat