タグ付けされた質問 「security」

Linuxサーバーのセキュリティ、特にブルートフォース攻撃とfail2banとカスタムiptablesの使用に関するコミュニティの頭脳を取り上げたいと思います。 似たような質問がいくつかありますが、どれも私の満足するトピックには対応していません。手短に言えば、ブルートフォース攻撃からインターネットに公開されているLinuxサーバー（通常のサービス、ssh、web、メールを実行している）を保護するための最良のソリューションを決定しようとしています。 私はサーバーのセキュリティにまともなハンドルを持っています。つまり、ルートまたはパスワードのログインを許可しない、デフォルトのポートを変更する、ソフトウェアが最新であることを確認する、ログファイルをチェックする、特定のホストのみがサーバーにアクセスできるようにすることでsshをロックし、セキュリティを利用する一般的なセキュリティコンプライアンスのためのLynis（https://cisofy.com/lynis/）などの監査ツールなので、入力やアドバイスはいつでも歓迎しますが、この質問は必ずしもそれに関するものではありません。 私の質問は、どのソリューションを使用するか（fail2banまたはiptables）、それをどのように構成するか、または両方の組み合わせを使用してブルートフォース攻撃から保護するかです。 トピックに関して興味深い応答があります（Denyhosts対fail2ban対iptables-ブルートフォースログオンを防止する最善の方法？）。私個人にとって最も興味深い答えは（https://serverfault.com/a/128964）であり、ログファイルを解析するためにユーザーモードツールを使用するfail2banとは対照的に、iptablesルーティングはカーネルで発生します。Fail2banはもちろんiptablesを使用しますが、アクションを実行するまで、ログファイルを解析してパターンを照合する必要があります。 次に、iptablesを使用し、レート制限（https://www.rackaid.com/blog/how-to-block-ssh-brute-force-attacks/）を使用してIPからのリクエストを一定期間ドロップすることは理にかなっていますか接続しようとしていたプロトコルに関係なく、特定の期間中に接続試行が多すぎる時間の割合 もしそうなら、ここでそれらのパケットにドロップと拒否を使用することについていくつかの興味深い考えがあります（http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject）、それについての考えはありますか？ Fail2banでは、デフォルトの構成では対応できない可能性のあるサービスのカスタム「ルール」を記述できる形式でカスタム構成が可能です。インストールと設定は簡単で強力ですが、xの量を超えてサービス/プロトコルで2回失敗した場合、サーバーからIP を「ブロック」するだけで済むとしたら、やりすぎかもしれません。時間の？ ここでの目標は、毎日のログウォッチレポートを開くことであり、サーバーへの接続に失敗したページをスクロールする必要はありません。 お時間をいただきありがとうございます。

10 ssh  security  iptables  fail2ban  brute-force-attacks 

しばらくの間、sshキーを使用しています。私のsshキーペアをより強力な暗号化にアップグレードすることを考えています。キーが登録されているすべてのデバイスを知りません。 それはへかのうである「廃止」私は廃止SSHキーで認証場合、私は警告を受けることを、局部的にそうSSHキー？

10 security  ssh-keys 

3つの個別のシステムでは、ドメインコントローラーサーバーで次のイベントが何度も（システムによっては1日30〜4,000回の間で）ログに記録されます。 An account failed to log on. Subject: Security ID: SYSTEM Account Name: %domainControllerHostname%$ Account Domain: %NetBIOSDomainName% Logon ID: 0x3E7 Logon Type: 3 Account For Which Logon Failed: Security ID: NULL SID Account Name: Account Domain: Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d Sub Status: …

10 security  windows-server-2012-r2  windows-event-log  windows-sbs-2011  audit 

AWS認証情報を個人のマシンに安全に保存するにはどうすればよいですか？ 詳細に： 私たちのチームの誰もが、管理タスクを実行するためにAWSセキュリティ認証情報を必要とします（認証情報はロールによって分離されます）。これらの資格情報は通常、ディスク上のいくつかの構成ファイルにプレーンテキストで格納されます。これは非常に安全ではないと思います。特に、資格情報がチームメンバーに分散され、最終的にバックアップなどに使用されることを考えると、 私はこれらの資格情報を暗号化された形式で保存することを強く望みます（たとえば、sshキーに似ています）。自動化する方法はありますか？または、たとえばopensslを使用してデータを暗号化するbashスクリプトをハッキングする必要がありますか？ EC2インスタンスの資格情報を保護する方法については、Webに多くの情報があります。このAmazon IAMロールの機能さえありますが、EC2にのみ適用されます。

10 linux  security  amazon-web-services  credentials 

私はこれに少し困惑しています。 ADに「特別なデータユーザー」と呼ばれるセキュリティグループを作成し、自分に追加しました。 次に、サーバー上に共有を作成し、そのADセキュリティグループに共有へのフルアクセスを付与しました。 共有にアクセスしようとすると、アクセス拒否のエラーが表示されません。 ユーザーアカウントを直接共有に追加したり、何年も前から使用されている別のセキュリティグループを追加したりすると、そのメンバーは正常に機能します。 この新しいグループが機能しない理由を探すためのヒントや提案をいただければ幸いです。私は高低を調べましたが、作成された新しいセキュリティグループが機能しない理由を理解できません... ありがとう！

10 security  directory  share  groups 

sshパスワードのブルートフォース攻撃を禁止するためにfail2banをインストールしました。このマシンでパスワード認証を無効にしないためのビジネス要件があります。 fail2banは、他のマシンへのssh攻撃を効果的に禁止する同じシェフクックブックを使用してインストールされました。ssh jailが設定されています： # service fail2ban status fail2ban-server (pid 5480) is running... WARNING 'pidfile' not defined in 'Definition'. Using default one: '/var/run/fail2ban/fail2ban.pid' Status |- Number of jail: 1 `- Jail list: ssh ユーザーを手動で禁止することは機能します： # fail2ban-client set ssh banip 103.41.124.46 しかし、誰も自動的に禁止したようには見えません： # cat /var/log/fail2ban.log 2014-11-20 18:23:47,069 fail2ban.server [67569]: INFO Exiting Fail2ban …

10 ssh  security  firewall  fail2ban 

仕事で根付いていると思われる箱があります。問題は、それをどのように見つけるかです。私はシステム管理者ではありませんが、状況を解決するためにチームに連れて行かれました。問題など、探すのに適した場所がどこにあるのか知りたいです。 これが疑われる理由は、高い（ランダムに見える）ポートからのマシンでのネットワーク使用率が通常より高いことに気付いたためです。 問題のある子供を見つけるには何ができるでしょうか？将来これから保護するために何ができるでしょうか？将来これを認識させるために実行できる監視はありますか？（ネットワーク監視とは別に、私たちはすでにより注意深く監視するために取り組んでいます。） よろしくお願いします。必要に応じて詳細をお知らせします。あなたの時間を感謝します。

10 linux  security  process  hidden 

昨日、Digital Oceanサーバーが攻撃のように見える何かに遭遇しました。アウトバウンドトラフィックは突然700Mbpsに増加しましたが、インバウンドトラフィックは約0.1Mbpsのままで、一度も増加しませんでした。トラフィックは、Digital OceanがDoSを実行していると想定して（これは妥当です）、Digital Oceanがサーバーをネットワークから切断するまで数分間続きました。 私は2つの仮定を持っています。誰かが私たちのサーバーにハッキングした（攻撃の後で同僚がパスワードでSSHログインを有効にしたことに気付いた）か、知らない種類の攻撃があるかです。 誰かがこの状況を解決してくれますか？確かにそのようなトラフィックのようなDoSがある場合は、教えてください。

9 security  denial-of-service 

私たちのドメインは約60台のコンピューターで構成されています。私はWindows 10ワークステーションが互いに通信できないようにすることを任されています。私のマネージャーは、コンピューターがネットワークプリンター、ファイルサーバー、DCとのみ通信し、インターネットにアクセスできるように、静的ルートを作成するように依頼しました。 これらのコンピューターはすべて同じネットワーク上にあるため、静的ルートがこれらのコンピューターの相互参照を妨げるとは思いません。ドメイン上のコンピューターがネットワークリソースを使用できるが、互いに直接通信できないようにするための最良の方法は何ですか？

9 networking  security  domain  static-routes 

がyum-cron正しく構成されているかどうかをテストする方法はありますか？セキュリティパッチが自動的にインストールされ、インストール時にメールで通知されることを確認する必要があります。 CentOS 7 Webサーバーがyum-cronインストールされています。数か月間実行されており、メールを受け取っていません/var/log/yum.log。また、更新情報も表示されていません。私は考えて実際に私に影響を与える任意のセキュリティアップデートが行われていなかったためです。実行するyum --security list updatesとメッセージが表示さNo packages needed for securityれ、centos-announceに影響を与える最近の重要なパッチはありません。 私/etc/yum/yum-cron.confは次のようになり、代わりに実際のメールアドレスが表示されますadministrator@example.com。 [commands] update_cmd = security update_messages = yes download_updates = yes apply_updates = yes [emitters] emit_via = stdio,email [email] email_from = root@localhost email_to = root,administrator@example.com email_host = localhost

9 security  yum  centos7 

nmap標準スキャンでフィルタリングされたポートが他のユーザーに表示されないようにしたい（非特権）。次のポートを開いているとします。22、3306、995、およびファイアウォールは次のように構成されています。 -A INPUT -p tcp -m tcp --dport 22 -j DROP -A INPUT -p tcp -m tcp --dport 3306 -j DROP -A INPUT -p tcp -m tcp --dport 995 -j DROP これはnmapスキャンの結果です： [+] Nmap scan report for X.X.X.X Host is up (0.040s latency). Not shown: 90 closed ports PORT STATE …

9 linux  security  iptables  tcp  tcpip 

私たちは専門家ではありません-これまでのところうまくいっていません-Diffie-Hellman標準を満たすようにWebサーバー（JBoss-5.1.0.GA）の設定を更新しようとしています。https://weakdh.org/sysadmin.htmlでテストを実行した後、「2048ビットの新しいDiffie-Hellmanパラメータを生成する」必要があると言われました。これまでは、Java keytoolを使用してキーを生成していましたが、Java keytoolを使用して新しい2048ビットのDiffie-Hellmanパラメータを生成する方法に関する情報は見つかりませんでした。これを行う方法を知っている人や、正しい方向に向けることができる人はいますか？ありがとうございました！

9 security  ssl  java  keys  keytool 

Apacheログに次のようなエントリが表示されます 178.216.185.210 - - [24/Feb/2014:11:46:40 -0500] "COOK /freesearch.php?portal=0a9&... HTTP/1.0" 303 589 "-" "Mozilla/4.0 (compatible; Synapse)" のCOOK代わりに通常GETまたはPOST。 私はさまざまな検索用語を試してみましたが、これが何であるかについての情報を見つけることができません。また、ユーザーエージェント文字列をGoogleで検索しましたが、これはおそらくArarat Synapseで作成されたスクリプトであることがわかりました。そして、そのユーザーエージェント文字列を使用して作成された他のリクエストから判断すると、これはだいじょうぶです。 それで、これは単にリクエストメソッドで構成されたものですか？ Apacheは未知のリクエストメソッドをどのように処理しますか？すべてのCOOKリクエストの応答ステータスコードは303として記録されます。ApacheはSee Otherと言って同じURIを提供しているだけですか？同じIPからの別のヒットは見当たらないため、応答が単にログに記録されるか無視されると想定しています。彼らはおそらく別のIPから後で戻ってきます。 だから私のスクリプトは実行されません、正しいですか？

9 apache-2.2  security  http 

問題が発生し、その処理方法がわかりませんでした。Windows 2008 R2サーバー上にSQLサーバーがあります。このSQL Server 2005は、インターネット上の他の場所にある別のSQL ServerからDBサブスクリプションを受信するために使用されています。ファイアウォールを介してSQLサーバーのポートを開いていますが、スコープでは、他のSQLサーバーのIPを入力しています。そうすることで、他のSQL Server（ファイアウォールルールのスコープにリストされているIP）からの要求でない限り、そのポートを介した接続要求がSQL Serverに到達しないことを望みました。しかし、ログを見ると、何百もの「login failed user sa」エントリがあります（そして、それらは1秒ごとに来ています）。一部のハッカーがユーザーのパスワードを推測するためにブルートフォースを試みているようです。しかし問題は、ファイアウォールスコープにリストされているIPアドレスからではないのに、Windowsがこれらの要求をSQL Serverに到達させているのはなぜですか？このSQL Serverを保護する正しい方法は何ですか。他のSQL ServerのIP以外のIPは、このSQLサーバーに接続する必要はありません。 編集-詳細情報： 別のマシンからsqlサーバーポートでtelnetを実行しました。Telnetは、ファイアウォールスコープで具体的に言及されているマシンから実行された場合を除き、失敗します。したがって、ファイアウォールがSQLサーバーポートを正常にブロックしているようです。しかし、なぜSQL Serverログに異なるIPアドレスからのユーザー "sa"への失敗したログイン要求が表示されるのですか？ハッカーがポート80経由でマシンに侵入し、SQLサーバーに接続しようとしている可能性はありますか？ポート80と443は誰でも利用できます。SQLサーバーポートを除いて、他のすべてのポートは閉じられています（特定のIPに対してのみ開かれています）。訪問者をSQLサーバーに導く可能性のあるポート80のWebサーバー上で実行されているものはありません。実際、Webサーバーにはindex.html（SQLに接続されていない純粋なHTML）ファイルが1つだけあります。これは、将来使用するためにセットアップされたテストサーバーにすぎません。SQL Serverでのみデータをテストします。 編集： ファイアウォール接続を有効にして、ドロップ接続と成功接続の両方を含めました。現在、すべてをトレースしています。次に、SQL Serverログに移動し、中国のさまざまなIPアドレスからの失敗したログイン試行を確認します。ただし、ファイアウォールログにこれらのIPアドレスのエントリはありません。これはどのようにして可能ですか？ファイアウォールを完全にバイパスしてSQLサーバーにアクセスできますか？ファイアウォールのポートが開いていて、そこから入る可能性がある場合、ファイアウォールのログにそのIPアドレスのエントリが表示されます。私は完全に途方に暮れています。

9 sql-server  security 

サーバーをポートスキャンしてハッカーの可能性を作る代わりに、sshdがポート22でリッスンしていることを偽装し、試行をログに記録したいと思います。それを行うことは理にかなっていますか？はいの場合、積極的に開発されているツール/ライブラリを利用できます。

9 security  ssh