タグ付けされた質問 「security」

場合によっては、パスワードのないサーバーが好きであることを認めなければなりません。一般的なサーバーは、物理的にアクセスできるすべてのユーザーに対して脆弱です。そのため、場合によっては物理的にロックしてから、物理的なアクセスを信頼することが実用的です。 基本概念 理論的には、このようなサーバーに物理的にアクセスする場合root、ログインとして入力するだけでパスワードなしで管理タスクを実行でき、パスワードを要求されることはありません。同じことがユーザーアカウントにも当てはまりますが、実際には物理的にアクセスすることはありません。したがって、（時々）ローカルアクセスにシステムパスワードは必要ありません。 管理またはユーザーアカウントのいずれかでサーバーにリモートでアクセスする場合、常にSSH秘密キーを使用することを期待しています。作成したばかりのアカウントにSSHキーを設定するのは非常に簡単なので、（通常の）リモートアクセスにシステムパスワードは必要ありません。 # user=... # # useradd -m "$user" # sudo -i -u "$user" $ keyurl=... $ $ mkdir -p .ssh $ curl -o .ssh/authorized_keys "$keyurl" 結論は理論的には、我々はneeedいないだろう、ということですどのようなユースケースのためのシステムパスワードを。そこで問題は、システムとユーザーアカウントをどのように構成して、それを一貫性のある安全な方法で実現するかです。 ローカルアクセスの詳細 パスワードなしでrootアカウントにローカルにアクセスできるようにするにはどうすればよいですか？passwd -dルートアクセスを許可しすぎて、権限のないユーザーが無料でルートに切り替えることができるため、使用できないと思います。これは間違っています。passwd -lログインできないため使用できません。 ローカルアクセスは、ローカルキーボードを使用したアクセスのみに関することに注意してください。したがって、有効なソリューションでは、ユーザーの切り替えを許可してはなりません（suまたはを使用sudo）。 リモートアクセスの詳細 最近まで上記のソリューションは機能していましたが、SSHはロックされたユーザーアカウントのチェックを開始しました。passwd -d同じ理由で使用できない可能性があります。それがpasswd -u何をもたらすのか不平を言っているだけなので、私たちは使用できませんpasswd -d。 この部分にダミーのパスワードを使用する回避策があります。 user=... echo -ne "$user:`pwgen 16`\n" | chpasswd SSHでロックされたアカウントチェックを完全にオフにすることも可能かもしれませんが、ロックされたアカウントのサポートを保持し、それらのロックを解除できる方がよいでしょう。 最終ノート 私が興味を持っているのは、パスワードなしで、ローカルアカウントと、rootを含むすべてのアカウントにリモートでログインできるソリューションです。一方、ソリューションは、特にリモートユーザーがルートアカウントまたは他のユーザーのアカウントにアクセスできるようにすることによって、明示的に説明されている方法を除き、セキュリティに影響を与えてはなりません。ソリューションは、間接的にセキュリティ問題を引き起こさないように、十分に堅牢でなければなりません。 …

12 ssh  security  login  password  key-authentication 

Linuxでは、プロセスの環境変数が他の（root以外の）ユーザーによって観察可能かどうかを判断しようとしています。 差し迫ったユースケースは、環境変数に秘密を入れることです。これはウェブ全体の多くの場所で安全ではないと議論されていますが、Linuxの正確な露出ポイントに焦点を合わせることができませんでした。 私は平文の秘密をファイルに入れることについて話していないことに注意してください。また、ルートアカウントへの露出については話していないことに注意してください（私は、ルートを非スターターとして攻撃者から秘密を隠そうと試みていると考えています）。 この質問は、環境変数を完全にセキュリティなし、または単に難読化されていると分類するコメントで、私の質問に対処しているように見えますが、どのようにアクセスしますか？ 私のテストでは、1人の非特権ユーザーがプロセステーブル（「ps auxwwe」）を介して別のユーザーの環境変数を監視できません。環境変数を設定するコマンド（例：エクスポート）は、プロセステーブルに追加されないシェル組み込みコマンドであり、拡張により/ proc / $ pid / cmdlineにはありません。/ proc / $ pid / environは、プロセス所有者のUIDによってのみ読み取り可能です。 おそらく、混乱は異なるオペレーティングシステムまたはバージョン間のものです。Web上のさまざまな（最近の）ソースは環境変数の安全性を非難していますが、異なるLinuxバージョンのスポットチェックは、少なくとも2007年まで遡ってこれが不可能であることを示しているようですテストする手）。 Linuxでは、非特権ユーザーは他のプロセスの環境変数をどのように監視できますか？

12 linux  security  environment-variables 

アプリケーションが分類されたファイルやフォルダー（デジタル署名、SSHキー、クレジットカード情報、その他の機密事項）にアクセスしたいときに、Linuxセキュリティモジュール（AppArmor、SELinuxなど）にユーザーにプロンプ​​トを表示させることは可能ですか？望まれる可能性のあるアプリケーションのアクションを拒否する（たとえば、ユーザーの要求に応じて電子メールに署名したい電子メールクライアント）。 脆弱なアプリケーション（特にWebブラウザーとメールクライアント）に厳密なデフォルトのセキュリティポリシーを設定し、ユーザーに特定のアクションが必要かどうかを判断させると有益です。ユーザーを悪化させることなくシステムの脆弱性を回避できます。親しみやすさ。

12 linux  security  gui  selinux  apparmor 

最近、仕事用の新しいラップトップを手に入れました。古い職場のラップトップで使用しているのと同じRSAキーペアを使用し続けるのは良い習慣だろうかと思っていました。追跡するために別のキーペアを作成する必要はありません。 これは、一般的に言えば、受け入れられる慣行ですか？キーペアにはパスフレーズがあるため、物理マシンが安全である限り、かなり安全であるはずです。

12 ssh  security 

ユーザーがsuidプログラムを実行するたびに、ユーザー名、プログラム、それに渡されるコマンドライン引数を含むエントリを含むログファイルが欲しいです。Linuxでこれを達成する標準的な方法はありますか？

12 linux  security  logs 

私が得た最も近いものは次のとおりです：を/Private使用してフォルダーにgitoliteをインストールしましたecryptfs-utils （sudo apt-get install ecryptfs-utils adduser git ecryptfs-setup-privateその後、残りはルートインストールを使用してgitoliteを構成していました）。 gitパスワードを使用してユーザーとしてログインしている限り（su gitrootを使用しても機能しません）、問題なく動作しました。パスワードを使用してログインするとプライベートフォルダーがアクティブになり、gitoliteはRSAキー（必須）を使用するため、プライベートフォルダーが非表示になり、エラーが発生します。 再起動後にサーバーにログインし、パスワードを入力し、次回マシンが再起動するまでgitユーザーのプライベートフォルダーを使用できるようにする方法はありますか？ または、gitリポジトリ用のフォルダーを暗号化する簡単な方法がありますか？

12 security  git 

ユーザーにbashシェルプロンプトでパスワードを入力させ、そのパスワードをプログラムのstdinの一部にするための（1）最も安全で（2）最も簡単な方法を探しています。 ：これが見えるようにstdinを必要とするもので{"username":"myname","password":"<my-password>"}、<my-password>何をしているが、プロンプトシェルに入力されます。プログラムstdinを制御できれば、パスワードを安全に要求して設定できるようにプログラムを変更できますが、ダウンストリームは標準的な汎用コマンドです。 以下を使用するアプローチを検討し、拒否しました。 コマンドラインにパスワードを入力するユーザー：パスワードは画面に表示され、「ps」を介してすべてのユーザーに表示されます 外部プログラムへの引数へのシェル変数補間（例：）...$PASSWORD...：パスワードは引き続き "ps"を介してすべてのユーザーに表示されます 環境変数（環境に残っている場合）：パスワードはすべての子プロセスに表示されます。信頼できるプロセスでさえ、診断の一部としてコアダンプまたは環境変数をダンプする場合、パスワードを公開する可能性があります 長期間ファイルに保存されたパスワード、たとえ権限が厳しいファイルでも：ユーザーが誤ってパスワードを公開し、rootユーザーが誤ってパスワードを表示する可能性があります 私は現在の解決策を以下の答えとして挙げますが、誰かがそれを思いついた場合、より良い答えを喜んで選択します。もっと単純なもの、または誰かが私が見逃したセキュリティ上の懸念を見つけたのではないかと思います。

12 bash  security  password  curl 

自動マウントネットワークドライブをセットアップしようとしています。ネットワークドライブにはユーザー/パスが必要です。「mount.cifs」のマニュアルページでは、ユーザー/パスを提供する方法が2つあります。 [非推奨] user / passを/ etc / fstabに入れます 別の資格情報ファイルを作成し、ユーザー/パスを資格情報ファイルに入れます 「[オプション2]は、/ etc / fstabなどの共有ファイルにパスワードをプレーンテキストで入力するよりも優先されます。資格情報ファイルを適切に保護してください。」 私の経歴は次のとおりです。ソフトウェア開発者、多数のLinuxソフトウェア開発（開発ライブラリのインストール、Eclipse、Javaなどのアプリケーションのインストール）。私はITやシステム管理者ではありません。 これは自分の開発マシン上にあります IT / sysadminのバックグラウンドがないため、「資格情報ファイルを適切に保護する」ための標準の推奨方法は何ですか？ （クレデンシャルファイルを保護する方法が複数ある場合は、最も一般的なものから順にリストして、トレードオフについて説明してください。）

12 security  mount  automounting 

他のユーザーだけが実行可能で、読み取り/書き込みができないようにファイルを設定するにはどうすればよいですか。これは、ユーザー名で何かを実行しているのに、パスワードを教えたくないためです。私は試した ： chmod 777 testfile chmod a=x chmod ugo+x 別のユーザーとして実行すると、引き続き権限が拒否されます。

12 linux  security  permissions  executable 

X11を使用しないLinux用のGUIはありますか？ Xのセキュリティは非常に悪いので：O 例：Ubuntu、Fedora-他には何がありますか？ 目標：Xなしのデスクトップ環境を使用する-解決策は何ですか？（例：Google ChromeでFlashを見る、LibreOfficeでドキュメントを編集するなど、テキストベースのWebブラウザーを使用しない） たぶんフレームバッファを使って？しかし、どのように？：O

12 linux  security  x11 

特別なファイルを作成し、それに魔法のクッキーを書き込む必要がある通常のコンパイル済みアプリケーションを書いています。アプリケーションから直接ファイルを書き込むことはできません。システムセキュリティモデルでは、トリックを実行するために昇格された特権でヘルパーツールを起動する必要があります。ヘルパーツールに任意の数の引数を指定できます。次に、ヘルパーツールとして機能し、ファイルを作成する非常に単純なシステムコマンドを選択します。このようなもの： /bin/sh -c "/bin/echo -n 'magic' > /some/where/file" Simple touchは、Cookieをファイルに書き込む必要があるため、カットしません。echoシェルラッパーなしのSimple は、ファイルを書き込むためにリダイレクトが必要なため機能しません。そのような些細なタスクを実行するためにroot特権でシェルを呼び出すのは快適ではありません。ファイルを書き込むために呼び出すことができる本当にシンプルで制約のあるシステムコマンドはありますか？

12 shell  security  sudo  io-redirection  root 

Sshd.confファイルからのrootユーザーのログインを無効にしたため、パスワードSOMEHOWを知っていても、rootユーザーを使用してログインすることはできません。 サーバーROOT、EMERG、ORACLEに3人のユーザーがいます。ROOTへの切り替えをsuを使用してEMERGユーザーのみに許可し、ORACLEユーザーには許可したくない。 通常、ユーザーがROOTパスワードを知っている場合は、su-を使用してrootに切り替えることができます。そして、私はこの機能をEMERGユーザーのみが利用できるようにしたいと考えています。 これを行う方法 前もって感謝します......

12 security  rhel  users  su  access-control 

似たようなトピックをいくつか見ましたが、それらは変数を引用しないことに言及しています。 私はこのコードを見ましたが、このコード行が実行されたときに実行するものを注入できるかどうか疑問に思っていました： echo run after_bundle

11 shell  security  quoting  echo 

カーネルメモリリークのIntelプロセッサ設計の欠陥によりLinux、Windowsの再設計が強制される そして サイドチャネルで特権メモリを読み取る 最近のニュースでは、人々はカーネルメモリリークのCPUバグについて読むことができました。 OpenBSDを使用している場合、どうすれば自分を守ることができますか？または、OpenBSDは影響を受けませんか？

11 kernel  security  cpu  openbsd  memory-leaks 

aptのみを使用してセキュリティアップグレードを一覧表示またはインストールする方法はありますか？ アップグレードをリストする場合： apt list --upgradable また、パッケージとライブラリを知らなくても、どのアップグレードが関連するセキュリティアップグレードであるかを確認できます。 さらに、他のものをスキップしてそれらを適用するだけのオプションがあります。そのため、セキュリティに関係のないアップグレードは、次回実行したときにもう一度プロンプトが表示されますapt upgradeか？

11 debian  security  apt  upgrade