タグ付けされた質問 「security」

最近、IPv6接続のあるサーバーを使用する必要があり、fail2banがIPv6をサポートしておらず、denyhostsもサポートしていないことを知って驚いた。グーグルで検索すると、人々は一般的に次のことをお勧めします： IPv6を介したsshログインの非アクティブ化（私にとっては解決策ではありません） サーバーで秘密鍵/公開鍵認証のみを使用し、パスワード認証を使用しない（機能しますが、攻撃が多いとサーバーの処理能力が高くなるか、DDoSを実行することでサーバーを使用できなくなる可能性があります） ip6tablesを使用して、同じIPからの連続した攻撃をブロックする IPv6をサポートするsshguardの使用 これまでに収集したものから、IPv6でのアドレスの禁止はIPv4での禁止とは少し異なります。これは、ISPがユーザーに単一のアドレス（/ 128）ではなく、サブネット全体（現在/ 48を持っている）を提供するためです。したがって、単一のIPv6アドレスを禁止することは、攻撃に対して効果がありません。私はip6tablesとsshguardブロッキングサブネットの攻撃の検出について高低を検索しましたが、何の情報も見つけることができませんでした。 sshguardがIPv6攻撃のサブネットを禁止するかどうか誰か知っていますか？ 誰かがIPv6攻撃でサブネットを禁止するためのip6tables設定を行う方法を知っていますか？ または、誰かが私がすでに見つけたものよりも攻撃を軽減するより良い方法を知っていますか？ PS：私はシステムでCentOS 7を使用しています。

10 ssh  security  sshd  ipv6  ip6tables 

私は上司からボランティアで、本番Redhatサーバーのシステム管理者になりました。彼は私にセキュリティを強化して、そんなにrm -f *前に起こったような事故を回避するように頼みました。 現在、53人のユーザーがマシンにsudoを実行していますが、これは監査の悪夢です。ユーザーのアクセスを特定の曜日にのみ許可できるかどうか疑問に思っています。 たとえば、ユーザー「Joe」に火曜日と木曜日にのみログインを許可し、「Jane」に日曜日にのみログインを許可することはできますか？etc/sudoersこれを許可するようにカスタマイズできますか？ sudoersを使用するよりも良い方法はありますか？

10 permissions  security  sudo 

可能なすべてのアドレスでメモリを読み取ろうとするプログラムを作成し、それを「完全な」Unixで実行すると、すべての物理RAMにアクセスできなくなります。しかし、オペレーティングシステムはそれをどのようにして防止していますか？ 私は、任意のアセンブリコードがすべてにアクセスできる小さなCPUアーキテクチャに慣れています。プログラム（カーネル）がこのような悪意のある操作を検出する方法を理解していません。

10 kernel  security 

いくつかのシェルコードを試したいのですが、Linux保護を無効にしたいと思います。 フラグを使用してコンパイルできることは知っていますが、一般的にこれらの保護を無効にする別の方法が存在することを知っています。手伝って頂けますか？

10 linux  security  compiling 

OpenBSD 5.1をインストールするとき、私は質問を受けました： Do you expect to run the X Windows System? 「はい」と言った場合、インストーラはシステムにどのような変更を加えますか？Xウィンドウが何であるかは知っていますが、使用する予定があるかどうかをインストーラが知りたがっている理由がわかりません。それは私の答えに基づいてどういうわけかXを有効/無効にしますか？

10 security  x11  openbsd 

Network ManagerのIdentityタブで、OpenVPN接続のユーザー名とパスワードを入力できます。「ユーザー秘密鍵」のパスワードも入力できます。 どちらのパスワードフィールドにも次のオプションがあります。 このユーザーのパスワードのみを保存します すべてのユーザーのパスワードを保存する 毎回このパスワードを尋ねる パスワードは必要ありません パスワードを保存することを選択した場合（「このユーザー用」または「すべてのユーザー用」）、それはどこに保存されますか？

10 security  gnome3  openvpn  networkmanager 

私は、yumを使用してパッケージをインストールすることにあまり詳しくありません。前世ではaptを使っていました。 現在、実行するためのいくつかの指示を見ています # yum install http://example.com/package.rpm これは明らかに特定のリポジトリにサブスクライブし、そこからさらにパッケージをダウンロードできます。これは安全ですか？ 比較のために、aptパッケージにはgpg署名があることを知っています。つまり、http経由のダウンロードは問題ではありません。ここで説明されています。また、aptを使用してメインリポジトリの外にパッケージをダウンロードする場合、aptが受け入れるgpgキーを手動で追加して、非標準のパッケージに同じ信頼できるソースが含まれるようにすることができます。 上記のコマンドを実行した場合、yumはインストールを開始する前にgpgキーを受け入れるように求めますか、それとも何かをインストールするだけですか？ それが関連している場合、私の/etc/yum.confファイルはセクションgpgcheck=1内に含まれてい[main]ます。

10 centos  security  apt  software-installation  yum 

私のメールサーバーがスパムのブラックリストの原因になっています。postfixを再設定しました。その後、私の顧客はメールを送信できないこのエラーを受け取ります。 404 4.5.2 <PLLAMNAZIFE>: Helo command rejected: need fully-qualified hostname Mail.log： postfix/smtpd[9853]: NOQUEUE: reject: RCPT from unknown[xx.xx.xx.xx]: 404 4.5.2 <PLLAMNAZIFE>: Helo command rejected: need fully-qualified hostname; from=<info@domain.com> to=<mail@mail.com> proto=ESMTP helo=<PLLAMNAZIFE> 私のmain.cfで： # rules restrictions smtpd_client_restrictions = permit_sasl_authenticated smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, permit smtpd_sender_restrictions = smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_pipelining, reject_non_fqdn_recipient, …

10 security  postfix  smtp  ssl 

ALL ALL=(ALL) NOPASSWD:ALL行がファイルの最後に2回自動追加されました/etc/sudoers。 sudoコマンドを実行するたびに、私のLinuxが突然パスワードの入力を求めなくなりました。これは私に問題を調査させました。 sudo -k猶予時間をリセットするために実行した後でも、パスワードは要求されません。 私はその行の意味を理解し、問題を修正するために2行をコメントアウトしました。物事は通常に戻りました。 しかし、私の検索のとおり、sudoersファイルは手動で編集するだけで、すべてのユーザーにすべてのコマンドに対するNOPASSWD権限を与えることはできませんでした。 これは、実行したスクリプトがsudoersファイルを変更したことを意味しますか？これは問題の原因ですか？ OS：Linux Mint 18.3 Cinnamon

9 security  sudo 

Trusted Platform Moduleを試してみたいので、TrouSerSをインストールして起動しようとしましたtcsdが、次のエラーが発生しました。 TCSD TDDL ERROR: Could not find a device to open! ただし、私のカーネルには複数のTPMモジュールがロードされています。 # lsmod | grep tpm tpm_crb 16384 0 tpm_tis 16384 0 tpm_tis_core 20480 1 tpm_tis tpm 40960 3 tpm_tis,tpm_crb,tpm_tis_core では、コンピューターにTPMがないか、TrouSerSにバグがあるかどうかをどのように判断しますか？ 「tpm」や「trust」についてdmidecodeもcpuid何も出力しません。中を見ると/var/log/messages、一方では見えますがrngd: /dev/tpm0: No such file or directory、一方で、このカーネルのドキュメントにkernel: Initialise system trusted keyringsよると、信頼されたキーはTPMを使用しています。 編集：私のコンピューターのBIOSセットアップメニューはTPMについて何も言及していません。 また、見て/proc/keys： # cat /proc/keys …

9 linux  security  tpm 

ルールが-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT適用されるのをよく見ました。私は専門家ではありませんが、その特定の行は私に関係しています。接続が確立されているか、確立された接続に関連している必要があることを除いて、ルールがすべてのトラフィックを許可していることは明らかです。 シナリオ 22サブネット内のサーバーLANなどから、デフォルトのSSHポートへの接続を許可します192.168.0.0/16。 SuperInsecureApp®ポート1337に何かを公開します。これをINPUTチェーンに追加します。 すべてのソースからconntrack受け入れESTABLISHED、受け入れるルールを追加しましたRELATED チェーンポリシーは DROP したがって、基本的にその構成では、LANからのSSH接続のみを許可し、世界からのポート1337での受信トラフィックを許可します。 これは私の混乱が咲くところです。でしょうconntrackどのような方法で1を取得できるようになり、セキュリティ上の欠陥公開確立された接続（それが世界のオープン以来）1337上に、その後、SSHポート（またはそのことについては、他のポート）へのアクセスを得るために、その接続を利用しますか？

9 security  iptables  ip  tcp 

cve.mitre.orgによると、4.7より前のLinuxカーネルは「オフパス」TCPエクスプロイトに対して脆弱です 説明文 Linuxカーネル4.7より前のnet / ipv4 / tcp_input.cはチャレンジACKセグメントのレートを適切に決定しないため、中間者攻撃者がブラインドインウィンドウ攻撃を介してTCPセッションを乗っ取ることが容易になります。 攻撃者が攻撃を実行するにはIPアドレスが必要なだけなので、この脆弱性は危険であると見なされます。 Linuxカーネルを最新の安定したバージョンにアップグレード4.7.1することが、システムを保護する唯一の方法になりますか？

9 linux  debian  security  vulnerability 

ssh-agent -t[1]で既存の機能についていくつかの簡単な議論があり、2001年までさかのぼってdebian-devel [2]に非アクティブタイムアウト機能を希望する投稿がありました。SEのページェントに関する同様の議論がここ[3]にあります。 地球の他の部分がどのようにSSHキーを保護しているのか疑問に思います。これが私にとってこのような問題点であると思われる明らかなものを欠いているのでしょうか。具体的には、ansibleなどのスクリプト化されたssh対話について考えています。今日、あなたの選択は次のようです： エージェントでのキーの有効期間を心配なほど長い期間に設定します。1hまたはスクリプトの最大実行時間は偶然かもしれません（多くの人がsudo re-authタイムアウトがそれだけ長くなることを許可しているのではないかと思います！）- seahorse/ / gnome-keyring-daemonこれもほとんどサポートしていません[4] 実行時間の長いスクリプトをベビーシットし、5/10/15分ごとにパスフレーズを再入力し続けます。パスフレーズの入力を1日20回簡単に見ることができます おそらくシェルのTMOUTシェル変数と組み合わせて、この欠けている機能を模倣する独自の自家製ソリューションをハックしてください（その提案についてはfreenode #openssh IRCの人々に感謝します） キーの有効期間を設定しないでください。つまり、エージェントはキーを永久にロードするか、強制終了または再起動するまでキーをロードし続けます sshエージェントの短いタイムアウト、強力なパスフレーズ、認証するロールのタイプごとに異なるキーファイルを使用している場合、これは非常にイライラする1日につながります。 私はgpgkey2sshとスマートカードで実験しましたが、これはこの特定の問題を実際に解決しません：ssh-agent機能が引き続き必要で、秘密鍵が公開されないようにするためだけに5分ごとに再認証する必要はありませんコンピュータがアイドル状態のときにメモリに。 私はそれを間違っていますか？ [1] SSHエージェントのデフォルトのタイムアウトの構成 [2] https://lists.debian.org/debian-devel/2001/09/msg00851.html [3] /server/518312/putty-pageant-forget-keys-after-period-of-inactivity [4] https://bugs.launchpad.net/ubuntu/+source/gnome-keyring/+bug/129231

9 ssh  security  key-authentication  ssh-agent 

私が理解しているように、一般に、環境変数に格納される情報を誰にでも提供しても安全だと考えられています。シェルショックの脆弱性はここでの問題です。これは、bashの新しいインスタンスが起動したときに環境変数内の関数定義の最後のコードが実行され、サーバー上で実行したいコードをだれにも実行させたくないということです。 。関数定義自体は明らかにセキュリティリスクではありませんが、コードを実行するには明示的に呼び出す必要があるため許可されています。 私の質問は、悪意のあるユーザーが悪意のあるコードを一般的なコマンドとして含む関数を単純に定義できずls、スクリプト（または実行されているもの）がいつかこのコマンドを使用することを期待できないのですか？ 私が考えていることの例： $ export ls='() { echo "doing bad things..."; }' $ bash -c ls doing bad things...

9 bash  security  environment-variables  shellshock 

Jack Ericksonによる本「ハッキング：悪用の芸術」を読んで、私はSHELLCODEプログラムを悪用するために環境変数のアドレスを概算しようとしています。 getenv("SHELLCODE");場所を取得するために実行するたびに、結果は完全に異なります。 私のシェルから抽出します： > for i in $(seq 10); do ./a.out SHELLCODE; done SHELLCODE is at 0xff9ab3a3 SHELLCODE is at 0xffcdb3a3 SHELLCODE is at 0xffb9a3a3 SHELLCODE is at 0xffa743a3 SHELLCODE is at 0xffdb43a3 SHELLCODE is at 0xfff683a3 SHELLCODE is at 0xffef03a3 SHELLCODE is at 0xffc1c3a3 SHELLCODE is at 0xff85a3a3 …

9 security  process  environment-variables