タグ付けされた質問 「security」

Citrix Netscalerには、ホストに送信されるTCPパケットに情報を埋め込むという興味深い特性があります。このプロパティはNetscalerにエコーバックされ、Netscalerがこれを使用して、仮想サーバー、ホスト、およびルートがこれを使用する必要があるかどうかを判断できます。 専有情報をホストにエコーする機能には、興味深いアプリケーションがあります。 Citrix Netscalerはこれをどのようにして達成し（ビットをどこに詰め込むのか）、Netscaler（または同様のデバイス）は理論的にはデータの他のどの場所にデータを詰め込むことができますか？ このカスタムデータをそのまま通過させる（または許可しない）デバイスはどれですか？

9 networking  security  routing  tcp  netscaler 

を使用した過度の失敗したphpMyAdminログイン試行をブロックするための探求でfail2ban、失敗した試行をファイルに記録するスクリプトを作成しました。/var/log/phpmyadmin_auth.log カスタムログ /var/log/phpmyadmin_auth.logファイルの形式は次のとおりです。 phpMyadmin login failed with username: root; ip: 192.168.1.50; url: http://somedomain.com/phpmyadmin/index.php phpMyadmin login failed with username: ; ip: 192.168.1.50; url: http://192.168.1.48/phpmyadmin/index.php カスタムフィルター [Definition] # Count all bans in the logfile failregex = phpMyadmin login failed with username: .*; ip: <HOST>; phpMyAdmin刑務所 [phpmyadmin] enabled = true port = http,https …

9 security  configuration  fail2ban 

UNIXマシンでパスワードを変更したかった。通常の「passwd」を実行し、古いパスワードと新しいパスワードを入力しました。 次に、次のメッセージが表示されてマシンが戻ってきました。 BAD PASSWORD: is too similar to the old one それは私を考えさせました...それは、マシンがどこかに平文で私のパスワードを持っているということですか？そうしないと、古いパスワードと新しいパスワードを比較できないはずですよね？それを可能にするハッシュ関数はありますか？

9 security  unix  password 

セキュリティ上の理由でワイルドカードSSL証明書を使用できないことを伝えるセキュリティアドバイザーがいます。明確にするために、私は単一の証明書またはマルチドメイン証明書（SAN）を使用することを好みます。ただし、サーバー（プレスク）から数百のサブドメインをサーバーで処理する必要があります。 私の研究に基づいて、ワイルドカードを使用しない人のサイトの主な理由は、次のとおりです。 セキュリティ：1つのサーバーまたはサブドメインが侵害された場合、すべてのサブドメインが侵害される可能性があります。 管理：ワイルドカード証明書を取り消す必要がある場合、すべてのサブドメインで新しい証明書が必要になります。 互換性：ワイルドカード証明書は、 古いサーバー/クライアント構成ではシームレスに機能しない場合があります。 保護：VeriSign Wildcard SSL証明書は、NetSure延長保証によって保護されていません。 秘密鍵、証明書、およびサブドメインはすべて同じサーバー上に存在するため、置換はこの1つの証明書を置換するのと同じくらい簡単で、同じ数のユーザーに影響します。したがって、ワイルドカード証明書を使用しない別の理由はありますか？

9 security  ssl  https 

現在、6台のCisco ASAデバイス（5510の2ペアと5550の1ペア）を管理しています。これらはすべて非常にうまく動作し、安定しているため、「OMGが壊れているため、修正に役立つ」というよりは、ベストプラクティスのアドバイスの質問の方が多くなります。 ネットワークが複数のVLANに分割されています。ほとんどのサービスの役割には独自のVLANがあるため、DBサーバーには独自のVLAN、APPサーバー、Cassandraノードがあります。 トラフィックは、特定の許可のみ、残りの拒否のみの基本で管理されています（したがって、デフォルトのポリシーは、すべてのトラフィックをドロップすることです）。これを行うには、ネットワークインターフェイスごとに2つのACLを作成します。例： 「in」方向でdc2-850-dbインターフェイスに適用されるaccess-list dc2-850-db-in ACL 「out」方向でdc2-850-dbインターフェイスに適用されているaccess-list dc2-850-db-out ACL それはすべてかなりタイトで期待どおりに機能しますが、これが最善の方法であるかどうか疑問に思っていましたか？ 現時点では、30を超えるVLANが存在するようになりましたが、それらを管理するためにいくつかの点で少し混乱していると言わざるを得ません。 おそらく、共通のACLや共有ACLのようなものが役に立ちますが、他のACLから継承できますが、そのようなことはありません... アドバイスは大歓迎です。

9 networking  security  cisco  cisco-asa  best-practices 

リモートマシンがループバックIPをスプーフィングすることによって別のマシンのローカルホストデータにアクセスすることは可能ですか？ 自分のネットワーク外のどこかから接続する場合、ログイン資格情報を提供する必要があり、すべての機密操作にパスワードが必要になる設定が必要だとしましょう。ただし、自分のコンピューターから接続する場合は、とにかくそのデバイスのネットワークにアクセスするためにOSにログインする必要があるため、これらの資格情報は必要ありません。このようにして、セキュリティ対策としてループバックアドレスを利用できますか？または、攻撃者がローカルで接続しているように見せかけることは可能ですか？

9 security  localhost 

SMTPリレーへの認証を必要とするPostfixサーバーがあります。MySQLデータベースでは仮想メールボックスを使用します。 システムを介してメッセージがリレーされたため、メッセージの送信に使用されたユーザーアカウントを特定する必要があります。 メッセージヘッダーには以下が含まれます。 Received: from User (c-76-109-241-139.hsd1.fl.comcast.net [xx.109.xxx.139]) by ourserver.com (Postfix) with ESMTPA id 7BA184B4AD4; Tue, 3 Jul 2012 05:42:59 -0400 (EDT) 「ユーザー」というユーザーがいないため、IPアドレスはメールの送信元ではありません。メッセージの送信時に送信者が認証したユーザーアカウントを確認します。 これを追跡する方法はありますか？

9 email  postfix  security 

（私の質問は、実際にはDjangoに関するものではありません。代替のhttpポートに関するものです。たまたまDjangoがデフォルトで8000を使用する比較的有名なアプリケーションであることを知っているので、それは例示です。） 私は時々異なるポートで複数のhttpdサービスを実行する必要がある開発サーバーを実際に使用しています。3つ目のサービスを立ち上げる必要があり、すでにポート80と8080を使用していたとき、セキュリティチームがインターネットからのポート8000​​アクセスをロックしていることに気付きました。ポート80は標準のhttpポートであり、通常8080はhttp_altであることを認識していますが、セキュリティチームに8000も開くように伝えたいと思います。そのような場合のために、この質問への回答が、場合によっては8080を超えるポート8000​​を使用することについての合理的な議論を提供してくれることを願っています。 それとも、意味のない単なるランダムな選択でしたか？

9 security  http  port 

閉まっている。この質問はトピックから外れています。現在、回答を受け付けていません。 この質問を改善してみませんか？ サーバー障害のトピックになるように質問を更新します。 5年前休業。 私が実行しているcPanelサーバーの1つで、侵害された電子メールアカウントに関する問題が常に発生しています。このサーバーのユーザーの多くは非常に弱いパスワードを持っていると思います。最小限のパスワードセキュリティを強化しましたが、それはパスワードが変更された場合にのみ有効になります...すべてのcPanelアカウントとcPanel電子メールアドレスのワンタイムパスワード変更を強制する方法はありますか？このようにして、すべてのユーザーに新しい安全なパスワードを生成させることができます。 更新：各アカウントには~/etc/domain.name/{passwd,shadow}、すべての電子メールアカウントのUnixスタイルのpasswdファイルとshadowファイルを含むファイルがあることがわかりました。ただし、手動で編集した場合でも、メールを送信できます:-( eximがユーザーの認証に使用するファイルを見つけて、そこでパスワードを壊すことができれば、私の問題は解決します...

9 security  email  exim 

理解できないIISセキュリティの側面を理解しようとしています。IISで実行される内部（インターネット上ではない）アプリケーションがあります。 この特定のアプリケーションには、特定のユーザー（サーバーの管理者）として実行されるアプリケーションプールが関連付けられています。デフォルトのWebサイトに設定されている認証方法は、特定のユーザー（サーバーの管理者でもある）が設定された匿名認証です。したがって、大部分はこのセキュリティを理解しています。 私が理解していないのは、デフォルトのWebサイトの詳細設定に移動すると、物理パスの資格情報と物理パスの資格情報のログオンタイプがあることです。現在ここでは何も設定されていません。 ここで資格情報を設定する理由は何ですか？ ログオンの種類（匿名とパスの資格情報）の違いは何ですか？

9 security  iis  iis-7.5 

Freeradiusで認証済みwifiネットワークをセットアップしようとしています。自己署名証明書などを使用して、なんとか動作させることができました。 問題は、WindowsクライアントがMSCHAPv2設定の[ Windowsのログオン名とパスワードを自動的に使用するなど]オプションをオフにする必要があることです。Eduroamを使用して地元の大学に接続すると、Windowsのログイン認証情報を送信する代わりに、ユーザー名とパスワードを自動的に要求されます。システム管理者はこれをどのように達成しましたか？返されるのはある種のRADIUS属性ですか？

9 wifi  freeradius  security  wpa2 

私が働いているこの比較的小さな会社の中で、私は非常に単純に単語文書で書かれたユーザー名とパスワードを配っていました。 機密情報を自分で保持する責任があることなど、システムに意図的な損傷を与えないようにすることなど、いくつかのテキストを含め、新しい従業員を拡大して定期的に獲得している今、このプロセスがより専門的になることを願っていますやだ。基本的で常識的には、「合法的」なものだと思いますが、私が探しているものであり、最終的に従業員にコピーに署名してもらいたいと思います。 そのようなテンプレートはすでにオンラインで存在していますか？他に私ができることに関して他に何か推奨事項はありますか？私の最後の手段は、おそらく私の上司であるceoに私たちの弁護士に何かを作らせることでしょうが、それは非常に高額なプロジェクトになるでしょう。 どんな助けでも大歓迎です！

9 security 

/ var / log / btmpが失敗したログイン試行用であることを知っています。通常、ファイルのサイズがこれほど大きい場合は、ブルートフォースの試みを示しています。6GBは過去3年間の累積です。私はsshdを非表示にするための措置を講じたので、自分以外の誰にもアクセスできなくなりました。これらの手順により、このファイルのログ全体の量が大幅に減少します。 この時点までの現在の全体は単なるノイズです-ボットがサーバーをブルートフォースにしようとしています。 私の質問は、このファイルを安全に空にしたり、先月まで削減したりするにはどうすればよいですか？このファイルの形式はプレーンテキストではないので、ファイルを壊したくありません（後で確認できるようにしたい）。

9 security  log-files 

ユーザーに複数のコンピューターで単一のIDを提供するソフトウェアを調べています。つまり、ユーザーは各コンピューターで同じアクセス許可を持っている必要があり、ユーザーは各コンピューターのすべてのファイル（ローミングホームディレクトリ）にアクセスできる必要があります。この一般的なアイデアには多くの解決策があるようですが、私は自分に最適なものを決定しようとしています。要件と一緒にいくつかの詳細があります： マシンのネットワークは、Ubuntuを実行するAmazon EC2インスタンスです。 SSHを使用してマシンにアクセスします。 このLAN上の一部のマシンでは用途が異なる場合がありますが、ここでは特定の用途（マルチテナンシープラットフォームを実行している）のマシンについてのみ説明します。 システムは必ずしも一定数のマシンを備えているとは限りません。 実行中のマシンの数を永続的または一時的に変更する必要がある場合があります。これが、認証/ストレージの集中管理を検討している理由です。 この効果の実装は安全なものでなければなりません。 ユーザーがシェルに直接アクセスできるかどうかはわかりませんが、ユーザーのソフトウェアはシステムで（もちろん制限されたLinuxユーザー名の下で）実行される可能性があり、直接シェルアクセスと同じくらい優れています。 彼らのソフトウェアがセキュリティのために潜在的に悪意のあるものであると仮定しましょう。 私の目標を達成するためにいくつかのテクノロジー/コンビネーションを聞いたことがありますが、それぞれの影響についてはよくわかりません。 以前のServerFaultの投稿ではNFSとNISが推奨されていましたが、Symantecによるこの古い記事によると、この組み合わせにはセキュリティの問題があります。この記事はNIS +への移行を提案していますが、このWikipediaの記事は古くなっているため、SunによるNIS +からのトレンドを示唆する声明を引用しています。推奨される代替品は、私が聞いた別のことです... LDAP。LDAPを使用して、ユーザー情報をネットワーク上の集中管理された場所に保存できるようです。「ローミングホームフォルダー」の要件をカバーするためにNFSを使用する必要がありますが、それらの参照が一緒に使用されているのがわかります。シマンテックの記事はNISとNFSの両方でセキュリティの問題を指摘しているので、NFSを置き換えるソフトウェアはありますか、それともロックダウンするためのその記事の提案に注意する必要がありますか？私たちのアーキテクチャーのもう1つの基本的な部分であるRabbitMQにはLDAP用の認証/許可プラグインがあるため、私はLDAPを使用する傾向があります。RabbitMQはシステム上のユーザーに制限された方法でアクセスできるようになるので、できればセキュリティシステム同士を結びつけたいと思います。 Kerberosは、私が聞いたもう1つの安全な認証プロトコルです。私は数年前に暗号学のクラスでそれについて少し学びましたが、それについてあまり覚えていません。私は、いくつかの方法で LDAP と組み合わせることができるという提案をオンラインで見ました。これは必要ですか？KerberosなしのLDAPのセキュリティリスクは何ですか？カーネギーメロン大学が開発した別のソフトウェアでKerberosが使用されていることも覚えています... Andrew File System、またはAFS。OpenAFSは使用可能ですが、セットアップは少し複雑に見えます。私の大学では、AFSが両方の要件を提供しています...どのマシンにもログインでき、「AFSフォルダー」はいつでも利用できます（少なくともAFSトークンを取得するとき）。 どのパスを調べるべきかについての提案に加えて、特に役立つガイドはありますか？太字のテキストが指摘しているように、LDAPが最良の選択のように見えますが、セキュリティに関して実装の詳細（Keberos？NFS？）に特に興味があります。

9 linux  ubuntu  security  authentication  ldap 

私は比較的長い間いくつかのサーバーを実行してきましたが、常にレンタルするだけなので、実際にサーバーをセキュリティで保護する経験はありません（実行しているアプリケーションとは対照的です）。 今、私は自分の小さなホームSSHサーバーをインターネットに開放したい気がします。 私はそれを使用する唯一の人になります、私のパスワードは十分に複雑です、私はデフォルトのSSHポートを約4000に変更しました、唯一のアクセス可能なポートは私のルーター/ファイアウォールのポート転送によるこのSSHポートであり、それは更新されます毎晩自動的に実行されます（ローリングリリースディストリビューションであるArch Linuxを実行します）。 それを安全に保つために私がしなければならないことは他に何がありますか？ ありがとう！

9 security  ssh  linux