タグ付けされた質問 「security」

これは別の質問へのコメントで出てきたので、誰かが私にこの理由を説明できればそれが大好きです。 特定のVHostのエラーをユーザーのホームディレクトリに記録するようApacheに提案しました。これは安全ではなかったため撃ち落とされました。どうして？ 返信のコメントで説明を求めましたが、ルートが所有していないフォルダーにルートを書き込むことは安全ではないということしか得られませんでした。繰り返しますが、誰か説明できますか？ おかげで、 バート。

28 linux  security  permissions 

ルートとしてログインし、ホスト名とパスワードなしで「mysql」と入力すると、cPanelでmysqlルートユーザーに直接アクセスできます。 LinuxのrootユーザーがcPanelで行うのと同じ方法でmysql rootユーザーへのパスワードなしのログオンを取得する非cpanelサーバーの1つでこれを行いたいと思います。 これは可能ですか？

28 linux  mysql  security  password  root 

検索を行ったが、パッチの適用とシステムの更新に関する問題に対処するものは見つかりませんでした。サーバーには必要なパッチが必要であると言うガイドラインがあります。VMホストがある場合、それは、ベアメタルハイパーバイザーであっても、パッチを適用して更新するための追加のレイヤーですか？金属製のサーバーとは対照的に？（つまり、私のガイドラインに従って、より多くの作業とテストとドキュメント）。 タイプ1 /ベアメタルハイパーバイザーはどのくらいの頻度で更新されますか？それは問題ですか？追加のソフトウェアレイヤーであるという事実は、より複雑でリスクを伴いますか（セキュリティと信頼性）？（例：99％バグフリーソフトウェアx 99％バグフリーソフトウェア= 98％バグフリーシステム）？ （私の実務経験は、VMWareワークステーションとサーバー、およびVirtualBoxです。）

27 security  virtualization  virtual-machines  patch-management 

だから私はやったchmod -x chmod。この問題を修正するにはどうすればよいですか？chmodに実行権を戻すにはどうすればよいですか？

27 linux  security  unix  freebsd 

ユーザーのtelnetアクセスを必要とする多くのLinuxサーバーを管理しています。現在、ユーザーの資格情報は各サーバーにローカルに保存されており、パスワードは非常に弱い傾向があり、パスワードを変更する必要はありません。ログオンは間もなくActive Directoryと統合され、これはより厳密に保護されたIDです。 ネットワークが完全に切り替えられているため、ハッカーがユーザーのコンピューターとサーバーの間に物理的に自分自身を挿入する必要があるため、ユーザーのパスワードがLANから盗聴されるのは本当に心配ですか？

27 security  password  telnet 

誰もがWindows OS用のfail2banのようなツールを推奨できますか？ブルートフォース認証の試行で打撃を受けるWindows Mediaサーバーがいくつかあります。これらの認証エラーを何らかの種類のブロックツールにプラグインしたいと思います。

27 windows  security 

私は不思議に思っていました。だれでもOpenIDプロバイダーを開始でき、OpenIDプロバイダーを承認する中央機関がないため、OpenIDプロバイダーの偽造が問題にならないのはなぜですか？ たとえば、スパマーはOpenIDプロバイダーをバックドアで開始して、自分のサイトに登録するようにだまされた他のユーザーとして自分自身を認証させることができます。これは可能ですか？これを防ぐのはプロバイダーの評判だけですか？今後、OpenIDプロバイダーのブラックリストとOpenIDプロバイダーのレビューサイトを見る予定ですか？ おそらく、OpenIDについて完全に理解していないでしょう。教えてください:)

27 security  openid 

Linuxのrootユーザーが、ターミナルまたはSSH経由でログインしている別のユーザーによって実行されているシェルコマンドのリアルタイム（またはリアルタイムに近い）ビューを持つことは可能ですか？明らかにそれらは.bash_historyに保存されますが、ユーザーがログオフしたときにのみ保存され、無効にすることもできます。 編集：理想的には、簡単にオン/オフを切り替えることができるもの。

27 linux  security  shell 

古いテープドライブに障害が発生し、バックアップにテープを使用しなくなりました。クレジットカード番号、社会保障番号などの機密情報を含む可能性のあるバックアップ付きのDLTテープのスタックがまだあります。 これらのバックアップテープを責任を持って処分するにはどうすればよいですか？ 動作中のドライブがあった場合、/ dev / urandomからテープデバイスにddしたいのですが、ドライブが故障しました。ドライブがまだ動作している場合、これは良い方法でしょうか？これらのテープに使用できるドライブがない場合、これらのテープを使用することをお勧めしますか？

27 security  cleanup 

私は、半ダースのハイストリートストアとウェブサイトを持っている中小の小売業者で働いています。 ITの状況は現在非常に基本的な状態です。「ITの責任者」であることは、私の職務記述書のほんの一部であり、リストの最後の1つであるため、希望するほど多くの時間を費やすことができませんでした。 ネットワークには約50台のコンピューターと14台のWindowsティルがあります（本社内に30台、外部ストア、倉庫、ラップトップが20台）。これはすべてワークグループネットワーク上に構築され、すべてのサイトは非常に基本的なルーターレベルのVPNセットアップで各ストアのサブネットに接続されます。 そのため、私は何も管理できず、コンピューターが安全であることを確認し、監査を行い、更新プログラムがインストールされていることを確認し、ゲストデバイスのWi-Fiを管理するか、何かを確認します。 私は本当にドメインが欲しいのですが、上司に言った後、彼はそれが価値がないと言います： 私たちは何年も問題なくワークグループに対処してきました 従業員は信頼できる 何かが壊れたときに私が去ったか利用できなかった場合、誰もそれがどのように機能するかを理解することはできません 新しいハードウェアのセットアップコストとドメインのライセンスは非常に高くなります。（現在、構築済みのOEM Windows PCを購入してから、奇数の小売りOfficeライセンスを購入しています） ドメインは一元管理されるため、重大な問題が発生した場合、すべてのコンピューターが動作しなくなる可能性があります。（1台のコンピューターだけが死んだ場合、他のすべては問題なく、他の人の作業に影響を与えないワークグループとは異なります。） ドメインがないというセキュリティ面の深刻さを強調する方法はわかりません。Wi-Fiに接続すれば誰でもコンテンツにアクセスできます。ユーザーはパスワードがインストールされていないため、誰でも任意のPCからコンテンツにアクセスできます。共有フォルダーは誰でも見ることができ、表示またはバックアップするログなしで削除できます。PCIがどの程度準拠しているか、または監査員に準拠しているかどうかはわかりません。私はこれを無視し、心配しないように言われました。 「社内ITインフラストラクチャの責任者」が職務記述書に記載されているので、データ侵害を受けたり、訴訟が起こされたとしても、説明責任を負いたくありません。 物事を変える必要があり、これに時間と余分なお金を費やす必要があることをどのように示すことができますか？私たちの規模の会社では、おそらくフルタイムのネットワーク管理者が必要でしょう。または、私は物事を考え直し、本当に欲しいものに対して非常に利己的であり、ワークグループはうまくいきますか？ 更新：私はおそらくバックバーナーでドメインのアイデアを維持し、いくつかの小さなことを試してみているようです。たとえば、更新、ウイルススキャン、ファイアウォールがオンになっていること、個々のPCでパスワードが有効になっていること、すべてのマシンでバックアップが有効になっていること、サーバーが設置されている部屋の物理的なロックが有効になっていることを確認します。ネットワーク全体のファイル共有とWi -Fi、それは別の質問です！

26 security  domain  user-management 

キャッシュされたActive Directoryドメインの資格情報はWindowsクライアントにどのように保存されますか？ローカルSAMデータベースに保存されているため、ローカルユーザーアカウントが影響を受けるのと同じレインボーテーブル攻撃を受けやすくなっていますか？プレーンテキストで保存されないように、ソルトとハッシュ化されていることを認識していますが、ローカルアカウントと同じ方法でハッシュ化され、同じ場所に保存されていますか？ 少なくともブルートフォース攻撃の影響を受けやすいことはわかっていますが、マシンが盗まれた場合にレインボーテーブルに対して脆弱であるよりもはるかに良い状況です。

26 windows  active-directory  security 

ロックされています。この質問とその回答はロックされています。なぜなら、質問はトピックから外れていますが、歴史的に重要だからです。現在、新しい回答やインタラクションを受け入れていません。 このユーザーについてどうすればよいですか？ユーザーは次のとおりです。 ポルノをダウンロードする 不正アクセスの試行 ハッキングソフトウェアの実行 迷惑メールを送信する ソフトウェアのインストール/システムの改ざん 等 これは、従業員の行動の問題に対する一般的な回答として意図されています。ソフトウェアライセンスに関する質問で助けていただけますか。 許容できる使用上の問題はSFの範囲外であることがわかりますが、それはほとんどのシステム管理者が遭遇することの1つです。同様の答えを書き直したくありません。

26 security  users 

NFSv3は広く普及していますが、デフォルトのセキュリティモデルは... quaintです。CIFSはKerberos認証を使用できますが、POSIXセマンティクスがなければ、スターターではありません。AFSは有線のトラフィックを暗号化したことはなく、krb4であり、基本的には無効なプロジェクトです。新しくて実験的なファイルシステムは、具体化されないか、速度に重点を置いています（幸運な場合、データの信頼性）。たとえば、LustrはNFSv3と同じクライアント信頼モデルを使用します。家庭で使用する場合、sshfsは気の利いたものですが、それは確かにスケールしません。 そしてもちろん、sec = krb5pのNFSv4もあります。理論的には素晴らしいが、10年後、現実の世界では厄介なことに使われていないようだ。Linuxクライアントがいる今取り除か実験タグを持っていました。また、EMC Celerra、Isilonなどを見ると、すべてNFSv3です。（Celerraのは、NFSv4のをサポートしていますが、それはです本当にドキュメントに埋葬。アイシロンは明らかにので、多分それは来る、FreeBSDへRPCGSSのサポートを追加することで働いていたが、それは今はありません。）私ので、私も「NFSv4の」として、この記事にタグを付けることはできませんここで新しい、それは新しいタグになります。 だから、本当に。みんな何してるの？

26 linux  security  posix  nfs4  network-filesystem 

バックグラウンド： 私はついに、21世紀に参加してPuppetを見る時間を取っておきます。 現在、私たちはオフィスで内部的に保持されているリポジトリ内のすべてのサーバー構成をバージョン管理しています。更新を行う必要がある場合、変更はリポジトリにチェックインされ、問題のマシンに手動でプッシュされます。これは通常、リモートマシンにSFTPを実行し、関連する権限でシェルからファイルを所定の場所に移動することを意味します。 ですから、Puppetが私たちが既に持っているもののシンプルでありながら驚くべき拡張になることを期待しています。 今、私たちは現在、合理的に安全でなければならないプロセスを検討します。私たちの内部ネットワークは、データセンターのパブリックネットワークよりも常に比較的安全であるという前提で。 プロセスは常に一方向です。変更は安全な環境から安全でない環境へと行き来し、その逆はありません。 マスターストアは可能な限り安全な場所にあります。構成を盗んだり、悪意のある変更を送信したりすることによる侵害のリスクが大幅に削減されます。 質問： 私がPuppetサーバー/クライアントモデルについて理解しているのは、クライアントがサーバーから更新を直接ポーリングしてプルするということです。トラフィックはSSLでラップされているため、傍受やなりすましはできません。ただし、Puppetサーバーは公共の場所でホストする必要があるため、現在の処理とは異なります。中央、または当社が管理する各データセンターサイトに1つ。 だから私は疑問に思っています： プッシュからプルへの変更について不必要に偏執的ですか？ その情報のすべてをパブリックネットワークに一元的に保存することについて、私は不必要に妄想的ですか？ 他の人はどのように複数のネットワークを維持していますか？各サイトに別々のサーバー？ 更新日30/07/09： 私の他の大きな懸念の1つが置かれていると思うので、単一のマシンを信頼する必要があります。操り人形師は、ファイアウォールで保護され、保護されます。それでも、リスニングサービスを備えたパブリックマシンには、特定のサイズの攻撃対象領域があります。 おそらく、マスターがパペットクライアントのいずれかのファイルを更新する権限を持っている場合、その侵害は最終的にすべてのクライアントの侵害につながります。いわば「王国への王」。 その仮説は正しいですか？ 軽減できる方法はありますか？

26 networking  security  puppet 

リモートmysqldump cronのスケジューリングを開始したいので、その目的のために特別なアカウントを使用したいと思います。そのユーザーにフルダンプを取得するための最小限のアクセス許可を付与したいのですが、それを実行する最善の方法はわかりません。 それは簡単ですか？ grant SELECT on *.* to '$username'@'backuphost' identified by 'password'; または私はより良い方法を逃していますか？

26 security  permissions  mysql