タグ付けされた質問 「security」

sudoersファイルとcron構成ファイルは、Linuxの他の構成ファイルと比較して特別な方法で動作することに気付きました。テキストエディタではなく、特別なラッパーで編集する必要があります。どうしてこれなの？

51 linux  security  unix  configuration  sudo 

ITマネージャーは退職する可能性があり、ウェイの分離が完全に非市民的である可能性があります。実際に悪意はないと思いますが、念のため、何をチェック、変更、またはロックダウンしますか？ 例： 管理者パスワード ワイヤレスパスワード VPNアクセスルール ルーター/ファイアウォールの設定

51 security 

なされてきたたくさんの話にセキュリティ上の問題に対して約nginxの（通常はPHP-FPM、ファストCGI）で使用するPHPオプション。 cgi.fix_pathinfo その結果、デフォルトのnginx設定ファイルは次のように言っていました： # NOTE: You should have "cgi.fix_pathinfo = 0;" in php.ini ただし、現在、「公式」のNginx wiki では、上記のPHPオプションを無効にせずにPATH_INFOを正しく処理できると述べています。だから何？ ご質問 何をするのか明確に説明できますcgi.fix_pathinfoか？（公式ドキュメントは、「PATH_INFOの詳細については、CGI仕様を参照してください」とだけ言っています） PHPは、これらPATH_INFOとSCRIPT_FILENAME変数を実際にどのように使用しますか Nginxでなぜそしてどのように危険なのでしょうか？（詳細な例） 問題はこれらのプログラムの最近のバージョンにまだ存在しますか？ Apacheは脆弱ですか？ 各ステップで問題を理解しようとしています。たとえば、php-fpm Unixソケットを使用するとこの問題を回避できる理由がわかりません。

51 nginx  security  php-fpm  fastcgi 

フォルダーに自分cert.pemとcert.keyファイルがあり/etc/apache2/sslます。 最も安全な許可と所有権は次のとおりです。 /etc/apache2/ssl ディレクトリ /etc/apache2/ssl/cert.pem ファイル /etc/apache2/ssl/cert.key ファイル （https://もちろんアクセス作品を保証する:)。 おかげで、 JP

50 apache-2.2  security  permissions  ssl  file-permissions 

自分のサイトでマルウェアスキャナーを実行したところ、多数の圧縮されたEXEファイルが潜在的なリスクファイルとしてマークされました（これらのファイルはユーザーによってアップロードされました）。Macでファイルを解凍できるので、これらは実際のZIPファイルであり、名前が変更されたPHPファイルのようなものではないと想定しています。 だから、ZIPファイルは私のウェブサーバーにとって危険ではないでしょうか？

49 security  anti-virus  malware 

SSHポートに対するブルートフォース攻撃を防ぐために、どのツールまたは手法を使用しますか。セキュリティログで、sshを使用してさまざまなユーザーとして何百万回もログインしようとしていることに気付きました。 これはFreeBSDボックス上にありますが、どこでも適用できると思います。

49 security  ssh  brute-force-attacks 

誰かがtmpfsまたはramfsをマウントする方法を説明するときに、これら2つのオプションがWebで常に提案されているのを見ます。多くの場合、noexecも使用しますが、特にnodevとnosuidに興味があります。私は基本的に、誰かが示唆したことを盲目的に繰り返すだけで、本当の理解なしに嫌いです。そして、私はこれに関してコピー/貼り付けの指示だけをネット上で見るので、私はここで尋ねます。 これはドキュメントからです： nodev-ファイルシステム上のブロックの特殊デバイスを解釈しないでください。 nosuid -suidおよびsgidビットの操作をブロックします。 しかし、これらの2つを除外した場合に何が起こるかについて、実用的な説明をお願いします。システム上の特定の（非root）ユーザーがアクセス（読み取り+書き込み）できるtmpfsまたはramfs（これら2つのオプションセットなし）を構成したとしましょう。そのユーザーはシステムに害を及ぼすために何ができますか？ramfsの場合に利用可能なすべてのシステムメモリを消費する場合を除く

44 linux  security  fstab 

私は特定のアクションがパスフレーズを入力するために必要なソフトウェアデーモンを実行しています。 $ darkcoind masternode start <mypassphrase> 今、私は私のヘッドレスdebianサーバーでいくつかのセキュリティ上の懸念を得ました。 たとえば、bashの履歴を検索すると、Ctrl+Rこの強力なパスワードが表示されます。サーバーが危険にさらされ、一部の侵入者がシェルアクセスを持ち、単純Ctrl+Rに履歴でパスフレーズを見つけることができると想像します。 それはbashの歴史の中で示した、ことをせずにパスフレーズを入力する方法はありますps、/proc他のどこか？ 更新1：デーモンにパスワードを渡さないとエラーがスローされます。これはオプションではありません。 更新2：ソフトウェアを削除したり、開発者をハングアップするなどのその他の役立つヒントを削除したりしないでください。私はこれがベストプラクティスの例ではありません知っているが、このソフトウェアは、に基づいてビットコインとすべてのビットコインベースのクライアントは、これらのコマンドに耳を傾け、その既知のセキュリティ上の問題はまだ（議論されてJSON RPCサーバのいくつかの種類あり、B、C） 。 更新3：デーモンは既に開始され、コマンドで実行されています $ darkcoind -daemon 実行するとps、起動コマンドのみが表示されます。 $ ps aux | grep darkcoin user 12337 0.0 0.0 10916 1084 pts/4 S+ 09:19 0:00 grep darkcoin user 21626 0.6 0.3 1849716 130292 ? SLl May02 6:48 darkcoind -daemon だから、パスフレーズでコマンドを渡すことに表示されないpsか、/procまったく。 $ …

43 linux  security  command-line-interface  password 

私たちの多くがそうであるように、私は昨日、メルトダウンとスペクターの攻撃を軽減するために多くのシステムを更新しました。私が理解しているように、2つのパッケージをインストールして再起動する必要があります。 kernel-3.10.0-693.11.6.el7.x86_64 microcode_ctl-2.1-22.2.el7.x86_64 これらのパッケージをインストールして再起動したCentOS 7システムが2つあります。 Red Hatによると、これらのsysctlをチェックし、それらがすべて1であることを確認することで、緩和のステータスをチェックできます。ただし、これらのシステムでは、すべてが1ではありません。 # cat /sys/kernel/debug/x86/pti_enabled 1 # cat /sys/kernel/debug/x86/ibpb_enabled 0 # cat /sys/kernel/debug/x86/ibrs_enabled 0 また、1に設定することもできません。 # echo 1 > /sys/kernel/debug/x86/ibpb_enabled -bash: echo: write error: No such device # echo 1 > /sys/kernel/debug/x86/ibrs_enabled -bash: echo: write error: No such device Intelマイクロコードがブート時にロードされたように見えることを確認しました： # systemctl status microcode -l …

42 security  centos7  rhel7  vulnerabilities 

仮想サーバーインスタンスのセットアップ中に、を使用していくつかのアプリケーションを構築する必要がありますmake。makeインストールしたことに関連するセキュリティ上のリスクはありますか？または、インスタンスをデプロイする前にクリーンアップする必要がありますか？ またgcc、サーバー上にコンパイラーがあり、デプロイする前にアプリケーションをビルドするために使用します。

42 security  make  gcc 

私は、次の特徴を持つ開発者と管理者の小さなチーム（<10）で働いています。 チームのほとんどのメンバーは1台以上のパーソナルコンピューターを持ち、そのほとんどはポータブルです。 チームメンバーは、通常sudoを使用して10〜50台のサーバーにアクセスできます。 これは、ほとんどのスタートアップや中小規模の企業ITグループにとって非常に典型的なことだと思います。 このようなチームでSSHキーを管理するためのベストプラクティスは何ですか？ チーム全体で単一のキーを共有する必要がありますか？ 各人が共有アカウント（各サーバーの「ubuntu」）に独自のキーを持っている必要がありますか？ 個別のアカウント？ 各チームメンバーは、ラップトップまたはデスクトップコンピューターごとに個別のキーを保持する必要がありますか？

42 security  ssh  keys 

Linuxサーバーがあり、接続するたびにSSHホストキーを変更したメッセージが表示されます。 $ ssh root @ host1 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@ @警告：リモートホストの識別が変更されました！@ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@ ITは、誰かが厄介なことをしている可能性があります。誰かがあなたを盗聴している可能性があります（中間者攻撃）！RSAホストキーが変更された可能性もあります。リモートホストから送信されるRSAキーのフィンガープリントは93：a2：1b：1c：5f：3e：68：47：bf：79：56：52：f0：ec：03：6bです。システム管理者に連絡してください。このメッセージを削除するには、/ home / emerson / .ssh / known_hostsに正しいホストキーを追加します。/home/emerson/.ssh/known_hosts:377の問題のあるキー host1のRSAホストキーが変更され、厳密なチェックを要求しました。ホストキーの検証に失敗しました。 数秒間ログインしたままになり、接続を閉じます。 host1：〜/ .ssh＃リモートホストhost1からの読み取り：ピアによる接続のリセットhost1への接続が閉じられました。 誰が何が起こっているのか、この問題を解決するために私が何ができるかを知っていますか？

41 security  ssh  rsa  man-in-the-middle  hostkey 

今後のプロジェクトのためにAmazon EC2インスタンスをセットアップしています。それらはすべてUbuntuインスタンス64ビットを実行するマイクロインスタンスです。これまでに設定したものは次のとおりです。 Webサーバー -Apache データベースサーバー -MySQL 開発サーバー -ApacheおよびMySQL ファイルサーバー -SVNおよびBacula（バックアップはS3バケットに行われます） 現在、Webサーバーは1つしかありませんが、最終的にはさらに多くなります。 私の最初の質問は、Amazon EC2インスタンスが相互に通信するための最良で最も安全な方法は何ですか？現在、SSHを使用していますが、それが最良の方法ですか？ Amazonによると、Elastic IPアドレスを使用してインスタンス間で通信するインスタンスにはデータ転送料金が課金されます。ただし、プライベートIPアドレスを使用して通信するインスタンスは、無料で通信できます。残念ながら、インスタンスを停止して再起動するとプライベートIPが変更されるようです。 それが2番目の質問です。静的ではない場合、AmazonインスタンスのプライベートIPをどのように利用しますか？ インスタンスはおそらく非常に頻繁に停止および開始されることはありませんが、それでも、IPアドレスがさまざまな構成ファイルにある場合、それらをすべて確認して変更するのは苦痛です。 私は主に、バックアップの実行時にすべてのインスタンスにアクセスする必要があるデータベースサーバーとファイルサーバーにアクセスする必要があるWebサーバーについて懸念しています。 注： 私はBaculaを使用したことがなく、まだセットアップしていませんが、バックアップにはクライアントのIPアドレスが必要であると想定しています。

41 linux  networking  security  ssh  amazon-ec2 

誰かが、私が実行するのに役立つサイトにjavascriptのチャンクを2回目に追加しました。このjavascriptはGoogle adsenseをハイジャックし、独自のアカウント番号を挿入し、広告を全面的に貼り付けます。 コードは常に1つの特定のディレクトリ（サードパーティの広告プログラムで使用されるディレクトリ）に常に追加され、この1つの広告ディレクトリ（20程度）内の多数のディレクトリ内の多数のファイルに影響し、ほぼ同じ夜間に挿入されます時間。AdSenseアカウントは中国のウェブサイトに属します（来月、中国に来る1時間前の町にあります。たぶん頭を悩ませる必要があります...冗談です）。サイト：http : //serversiders.com/fhr.com.cn では、これらのファイルにテキストをどのように追加できますか？ファイルに設定されている権限（755から644まで）に関連していますか？Webサーバーユーザー（MediaTemple上にあるため、安全である必要がありますか？）つまり、アクセス許可が777に設定されているファイルがある場合、コードを自由に追加することはできません。 ここに、あなたの閲覧の喜びのための実際のコードのサンプルがあります（そして、あなたが見ることができるように...それにたいしたことはありません。本当のトリックは、彼らがそこにそれを入れた方法です）： <script type="text/javascript"><!-- google_ad_client = "pub-5465156513898836"; /* 728x90_as */ google_ad_slot = "4840387765"; google_ad_width = 728; google_ad_height = 90; //--> </script> <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script> 多くの人がそれを言及しているので、ここに私がチェックしたものがあります（チェックされたということは、ファイルが何らかの奇妙さのために変更された時間を見回したことを意味し、POSTステートメントとディレクトリトラバーサルのためにファイルをグレップしました： access_log（通常の（つまり、過剰な）msnボットトラフィック以外は何もありません） error_log（無害なファイルの場合、通常のファイルは存在しませんが、エラーはありません） ssl_log（通常のもののみ） messages_log（私以外のFTPアクセスはありません） *更新：** OK、解決しました。中国のハッカーは、サイトに物理的にファイルを配置して、あらゆる種類の管理（データベースへのアクセス、ファイルとディレクトリの削除と作成、名前を付けて、アクセスできる）を行えるようにしました。彼らはもっと破壊的なことをしなかったのは幸運でした。通常のApacheのログファイルには何もありませんでしたが、Webサーバーのログアナライザーで別のログファイルのセットを見つけ、証拠がそこにありました。彼らは自分の管理者ユーザー名とパスワードでこのファイルにアクセスし、サーバー上で必要なものを編集していました。これらのファイルにはユーザーとして「apache」が設定されていますが、サイト上の他のすべてのファイルには異なるユーザー名が付けられています。次に、このファイルをシステムに物理的にどのように取得したかを把握する必要があります。これに対する責任は最終的にはウェブホスト（Media Temple）にあると思われますが、

40 security  php  hacking 

そのため、今日サーバーでいくつかのメンテナンスを行っていて、ホームディレクトリのルートが所有するファイルを削除できることに気付きました。 サンプルを再現することができました： [cbennett@nova ~/temp]$ ls -al total 8 drwxrwxr-x. 2 cbennett cbennett 4096 Oct 5 20:59 . drwxr-xr-x. 22 cbennett cbennett 4096 Oct 5 20:58 .. -rw-rw-r--. 1 cbennett cbennett 0 Oct 5 20:58 my-own-file [cbennett@nova ~/temp]$ sudo touch file-owned-by-root [cbennett@nova ~/temp]$ ls -al total 8 drwxrwxr-x. 2 cbennett cbennett …

40 linux  security  permissions