タグ付けされた質問 「security」

セキュリティは製品ではなく、プロセスです。

3
バックドアとして使用されているWindows Recovery Environmentを停止するにはどうすればよいですか?
Windows 10では、ブートシーケンス中にコンピューターの電源を繰り返し切断することにより、Windows Recovery Environment(WinRE)を起動できます。これにより、デスクトップマシンに物理的にアクセスできる攻撃者は、管理コマンドラインアクセスを取得し、その時点でファイルを表示および変更したり、さまざまな 手法を使用して管理パスワードをリセットしたりできます。 (WinREを直接起動する場合、コマンドラインアクセスを許可する前にローカル管理者パスワードを入力する必要があります。これは、ブートシーケンスを繰り返し中断してWinREを起動する場合は適用されません。Microsoftは、セキュリティの脆弱性です。) マシンへの無制限の物理アクセスを持つ攻撃者は通常、リムーバブルメディアから起動することでBIOSパスワードをリセットし、管理アクセスを取得できるため、ほとんどのシナリオではこれは重要ではありません。ただし、キオスクマシンの場合、教育ラボなどでは、通常、マシンの南京錠やアラームなどによって物理的なアクセスを制限する手段が取られます。電源ボタンと壁のソケットの両方へのユーザーアクセスをブロックしようとすることも非常に不便です。監督(対面または監視カメラによる)はより効果的かもしれませんが、この手法を使用する人は、たとえばコンピュータケースを開こうとする人よりもはるかに明白ではありません。 システム管理者は、WinREがバックドアとして使用されるのをどのように防ぐことができますか? 補遺: BitLockerを使用している場合、すでにこの手法から部分的に保護されています。攻撃者は暗号化されたドライブ上のファイルを読み取ったり変更したりすることはできません。攻撃者がディスクを消去して新しいオペレーティングシステムをインストールしたり、ファームウェア攻撃などのより高度な手法を使用したりすることは依然として可能です。(私が知る限り、ファームウェア攻撃ツールはまだカジュアルな攻撃者に広く利用可能ではないため、これはおそらく差し迫った懸念ではありません。)
6
OpenVPNサーバーがOpenVPNクライアントを使用せずにリモートポートでリッスンしていることを確認する方法
OpenVPN(UDP)サーバーが稼働しており、指定されたhost:portでアクセスできることを確認する必要があります。 OpenVPNクライアントがなく(サーバーをインストールする機会もない)、サーバーへの接続に必要なキーもない、普通のWindows XPコンピューターしかありません。WinXPの一般的なコマンドラインツール、ブラウザー、およびPuTTYだけが私の傾向にあります。 SMTPまたはPOP3サーバーのようなものをテストしていた場合、telnetを使用して応答するかどうかを確認しますが、OpenVPN(UDP)でこれを行う方法は?
6
/ tmp noexecのマウントはどの程度便利ですか?
多くの人々(Securing Debian Manualを含む)は、オプション/tmpのnoexec,nodev,nosuidセットでマウントすることを推奨しています。これは一般に、「多層防御」戦略の1つの要素として提示されます。これは、誰かがファイルを書き込める攻撃や、正当なアカウントはあるが他の書き込み可能なスペースを持たないユーザーによる攻撃のエスカレーションを防ぐことによるものです。 しかし、時間の経過とともに、noexecいくつかの潜在的な理由から、役に立たない手段である議論(Debian / Ubuntu開発者Colin Watsonによる最も顕著な)に遭遇しました: ユーザーは/lib/ld-linux.so <binary>、同じ効果を得るために実行できます。 ユーザーは、直接実行できないスクリプトでシステム提供のインタープリターを実行できます これらの議論を考えると、より多くの構成が必要になる可能性(たとえばdebconf、実行可能な一時ディレクトリが必要)、および利便性が失われる可能性があるため、これは価値のあるセキュリティ対策ですか?迂回を可能にする他の穴を知っていますか?
39 linux  security  mount  tmp  noexec 
6
VPN内部ネットワークとのネットワーク競合をどのように回避しますか?
192.168 / 16または10/8にまたがるさまざまなプライベートルーティング不可能なネットワークがありますが、潜在的な競合を考慮することもありますが、それでも発生します。たとえば、192.168.27の内部VPNネットワークでOpenVPNを1回インストールしました。ホテルがWiFiのフロア27にそのサブネットを使用するまで、これはすべてうまくいきました。 VPNネットワークを172.16ネットワークに再IP化しました。これは、ホテルやインターネットカフェではほとんど使用されていないようです。しかし、それは問題の適切な解決策ですか? OpenVPNに言及している間、私はプレーンオールIPSECを含む他のVPN展開でこの問題についての意見を聞きたいです。
12
スタッフと個人のラップトップについてどうしますか?
今日、開発者の1人が自宅からラップトップを盗まれました。どうやら、彼は会社のソースコードの完全なsvnチェックアウトと、SQLデータベースの完全なコピーを持っていたようです。 これは、私が個人的にラップトップで会社の仕事をすることを個人的に拒否する大きな理由の1つです。 ただし、これが会社所有のラップトップであったとしても、ディスク全体に暗号化(WDE)を適用するためにわずかに強い立場にあるにもかかわらず、同じ問題を抱えています。 質問は次のとおりです。 あなたの会社は、会社所有でないハードウェア上の会社データについて何をしていますか? WDEは賢明な解決策ですか?読み取り/書き込みで多くのオーバーヘッドが発生しますか? そこから保存/アクセスされたもののパスワードを変更する以外に、何か提案できることはありますか?
3
Ansibleセキュリティのベストプラクティス
データセンターにAnsibleを導入し、制御マシンの場所とSSHキーの管理方法に関するセキュリティのベストプラクティスを探しています。 質問1:制御マシン もちろん、制御機が必要です。制御マシンには、公開SSHキーが保存されています。攻撃者がコントロールマシンにアクセスできる場合、潜在的にデータセンター全体(またはAnsibleが管理するサーバー)にアクセスできます。それでは、データセンターに専用の制御マシンまたはリモート制御マシン(データセンターにリモート接続されたラップトップなど)を使用する方が良いでしょうか? ベストプラクティスがラップトップを使用することである場合(もちろん盗まれる可能性がありますが、公開キーをクラウドで安全に保存するか、暗号化されたポータブルデバイスでオフラインで保存できます)、Webインターフェイスを使用する必要がある場合Ansible、Ansible Tower、Semaphore、Rundeck、またはForemanのように、中央マシンからデータセンターにインストールする必要がありますか?「単一の攻撃ポイント」になるためにそれを保護し、回避する方法は? 質問2:SSHキー ルートで実行する必要のあるタスク(ソフトウェアパッケージのインストールなど)を作成するために、Ansibleを使用する必要があるとします。ベストプラクティスは、制御されたサーバーでrootユーザーを使用するのではなく、sudo権限を持つAnsibleの通常ユーザーを追加することだと思います。しかし、Ansibleがほぼすべてのタスクを実行する必要がある場合、sudoを介してすべてのコマンドにアクセスする必要があります。だから、最良の選択は何ですか: Ansibleにrootユーザーを使用させます(公開キーは ~/.ssh/authorized_keys sudoアクセスでAnsible専用の非特権ユーザーを作成します Ansibleユーザーがパスワードを指定してsudoを介してすべてのコマンドを実行できるようにする Ansibleユーザーがパスワードを指定せずにsudoを介してすべてのコマンドを実行できるようにする 他のヒントはありますか?
6
企業ネットワーク内のWindows XP PC
小規模ビジネスでは、約75台のPCを使用しています。サーバーとデスクトップ/ラップトップはすべて最新であり、Panda Business Endpoint Protection と Malwarebytes Business Endpoint Security(MBAM + Ant-Exploit)を使用して保護されています。 ただし、運用環境では、約15台のWindows XP PCを実行しています。それらは会社のネットワークに接続されています。主にSQL接続とロギングの目的のため。サーバーへの書き込みアクセスが制限されています。 Windows XP PCは、1つの専用(カスタム)本番アプリケーションにのみ使用されます。オフィスソフトウェア(メール、ブラウジング、オフィスなど)はありません。さらに、これらのXP-PCのそれぞれには、インターネットアクセスを許可しないPanda Webアクセスコントロールがあります。唯一の例外は、WindowsおよびPanda更新プログラムです。 セキュリティの観点から、これらのWindows XP PCを新しいPCに置き換える必要がありますか?
7
SELinuxを無効/有効にする理由
StackOverflowに関するこの質問の行と、ここにいる全く異なる群衆について、私は疑問に思います:SELinuxを無効にする理由は何ですか?引き続き有効にしますか?SELinuxをオンにしておくと、どのような異常が発生しましたか?Oracle以外に、SELinuxが有効になっているシステムのサポートに問題があるベンダーは他にありますか? おまけの質問:誰かが強制的にターゲットモードでSELinuxを使用してRHEL5でOracleを実行できるようになりましたか?つまり、strictは素晴らしいことですが、それはまだリモートでも可能ではないので、まずはターゲットを絞ってください;-)
3
どのような種類のネットワーク攻撃がスイッチをハブに変えますか?
本日、ペネトレーションテスターが残高1400万ドルの偽銀行口座を作成する方法を説明した記事を読みました。ただし、攻撃を説明する1つの段落が目立ちました。 それから彼は、データトラフィックで銀行の内部ネットワークを圧倒するために、スイッチ(データトラフィックを誘導する小さなボックス)を「あふれさせた」。この種の攻撃は、スイッチを無差別にデータをブロードキャストする「ハブ」に変えます。 説明されている効果についてはよく知りません。大量のトラフィックを送信することにより、スイッチにそのポートのすべてにトラフィックをブロードキャストさせることは本当に可能ですか?この状況で正確に何が起こっているのでしょうか?
35 switch  security 
2
MySQLのbind-addressを0.0.0.0に設定するのはどれほど悪いですか?
現在、LinuxサーバーをWebアプリと共有しているMySQLインスタンスにリモートサーバーがアクセスできるようにしています。ドキュメントによると、これが可能になる唯一の方法は(私が正しく理解していない限り)、bind-addressディレクティブが0.0.0.0に設定されている場合です。これにより、有効なユーザーを生成できるIPからMySQLにアクセスできます。 したがって、2つの質問: これはセキュリティにどの程度有害ですか? MySQLとローカルおよびリモートの両方の対話を可能にするより良いアプローチはありますか?
35 linux  mysql  security 
7
MITM攻撃-それらはどのくらいありそうですか?
インターネットセキュリティにおける「Man in the Middle」攻撃の可能性はどのくらいですか? ISPサーバーを除いて、インターネット通信の「中間」にある実際のマシンは何ですか? 理論上のリスクとは対照的に、MITM攻撃に関連する実際のリスクは何ですか? 編集:私はこの質問のワイヤレスアクセスポイントには興味がありません。もちろん保護する必要がありますが、これは明らかです。ワイヤレスアクセスポイントは、誰でも聞くことができるように通信がブロードキャストされるという点で独特です。通常の有線インターネット通信は宛先にルーティングされます-ルート内のマシンのみがトラフィックを見ることができます。
4
muieblackcatとは?
最近、小さな.NET MVCサイトにELMAHをインストールしましたが、エラーレポートを受信し続けます System.Web.HttpException: A public action method 'muieblackcat' was not found on controller... これは明らかに、存在しないページにアクセスする試みです。しかし、なぜこのページにアクセスしようとするのでしょうか? これは攻撃ですか、それとも単にボットがスキャンされて、自分が感染したかどうかを確認するためですか?「muieblackcat」とは正確には何ですか?なぜこのURLにアクセスしようとするのですか?
34 security  iis 
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.