タグ付けされた質問 「security」

開発中のアプリケーションの一部となる独自のPAMモジュールを作成していますが、どこに配置するか正確にはわかりません。私のモジュールは基本的にLDAPと同様にネットワークレベルの認証を行います（もちろん他のモジョを使用します）。 私の/etc/pam.d/ディレクトリには多くの設定ファイルがあり、ほとんどのサービスが何をしているかを知っています（atd、polkit、pppのようなカップルを除く）。PAMスタックでの認証は次のようになると思います： サービス名に基づいてスタックを実行します（構成ファイルが存在する場合） 認証されていない場合は、common- *にフォールバックします。*はモジュールタイプ（auth、accountなど）です。 成功を返すか、呼び出しアプリケーションに失敗します（もちろん他のデータも） この仮定は正しいですか？ すべてのプラットフォームに共通認証、共通アカウント、共通パスワード、および共通セッションがありますか？ もしそうなら、私はそれをsufficientモジュールとしてcommon- *の一番上に置くことを考えていたので、失敗したときに通常のPAMスタックは影響を受けません。ソフトウェアのインストール時にプログラムでこれを実行できるため、これは特に有利です。 潜在的なセキュリティの脆弱性を見逃していますか？ カスタムPAMモジュールを統合する場所や、モジュールを配置する場所を取り巻くセキュリティの問題に関する、適切なドキュメントが見つかりませんでした。

8 security  authentication  pam 

エントロピープールについての私の現在の理解は、本当にランダムなデータのビットを低速で収集することです。UnixとLinuxがエントロピーを収集する方法と、そのエントロピーが/ ​​dev / randomでどのように使用されるかについて知りたいのですが。 「ランダムに」選択されたネットワークパケットが到着したときのビデオカードのCPUのステータス、デジタルアナログコンバーターのヒスファクターと照合されるエントロピー収集方法、およびその他のさらに鈍い方法について（一般的に）聞いたことがあります。 エントロピー「プール」は必要に応じてタップされ、疑似ランダムジェネレーターのシードに使用されると思います。 私は詳細な回答を求めていませんが、これがUnix / Linuxで使用されている一般的なアプローチであるかどうかを知りたいと思います。 ..次に、供給されるエントロピーは何ですか。AES Rijndael暗号ですか？ 上記の私の背景の情報は、Steve GibsonのSecurity Nowからのものです。ポッドキャスト：エピソード＃301ランダムに行く、パート 2/2 ...彼は一般的にしか話せませんでした（ただし、彼のスタイルと同様に、私も彼を理解できるように十分な詳細と明快さで話しています。 ...そして、これがUnix / Linuxでどのように行われているかを知りたい...

8 security  random 

自動バックアップでは、これを実行する必要があるかどうかわかりません。ハードドライブに障害が発生した場合、またはハードディスクを消去して最初からやり直した場合、クライアントに新しいSSHホストキーを使用して開始した場合、どのような影響がありますか？各クライアントのknown_hostsファイルからホスト名を削除する以外に何か特別なことをする必要がありますか？この場合、何をするのが最善ですか？私は自分のコンピューターを拭いて、数日中にゼロから始めることを計画しています。

8 ssh  security  backup  openssh 

OpenBSDはデフォルトでbcryptを使用しますか？ 最近のすべてのLinuxディストリビューションがBCRYPTを使用しないのはなぜですか？ http://codahale.com/how-to-safely-store-a-password/ https://secure.wikimedia.org/wikipedia/en/wiki/Bcrypt なぜ？？？？

8 linux  security 

Firefoxにパスワードを「記憶」させたいので、パスワードを入力する必要はありません。残念ながら、組み込みのパスワードマネージャーはそれらをプレーンテキストで保存するため、セキュリティリスクが高すぎます。Firefoxが基本的に同じことを行うための安全な方法を見つけたいのですが。LastPassや他のそのようなサービスについては良いことは聞いたが、私は彼らに自分のデータを任せることにあまり慣れていない。それらの企業のいずれも、突然条件を変更したり、請求を開始したり、単に下に行ったりすることができます。KeeFoxのアイデアは気に入っていますが、残念ながらLinuxでは使用できません。何か案は？

8 security  password  firefox  browser  kwallet 

Linuxシステムで特定のユーザーグループのプロセス非表示を構成することはできますか？ 例：グループXのユーザーは、ps / topまたは/ procの下のグループYのユーザーが所有するプロセスを表示できません。 SELinuxでこのような設定を構成することは可能ですか？ （私はおかしなgrsecurityパッチセットの同様の機能を漠然と覚えていますが、IIRCの方が一般的でした。さらに、カスタムカーネルを維持する必要なく、標準のLinuxディストリビューションを構成したいと思っています。） 編集：よりわかりやすくするために、Solaris 10にも同様の機能があります。この例はそれほど一般的ではありませんが、ユーザーまたは一部のユーザーがpsなどで自分のプロセスの情報のみを表示できるように構成できます。

8 security  process  selinux  grsecurity  hardening 

特定の期間のみアクセスできるように、一部のアカウントをロックすることは可能ですか？ たとえば、アカウントjoeは営業時間中にのみアクセスできる必要があります。

8 security 

私はどこからでもアクセスできるようにしたいFreeBSDホストサーバーを持っています。通常、私はSSH公開鍵を使用してログインします。または、SSH秘密鍵を使用できない場合は、SSH経由で通常のパスワードを使用する可能性があります。ただし、信頼されていないマシンからログインする場合、キーロガーが入力時にパスワードを取得するリスクが常にあります。 FreeBSD は、ワンタイムパスワードスキームであるOPIEをすでにサポートしています。これはうまく機能しますが、必要な認証はワンタイムパスワードだけです。ワンタイムパスワードのリストを印刷して後で使用する場合、そのリストを紛失すると、それだけで誰かが必要になります。 私は、ワンタイムパスワード必要ように認証を設定したいのですが、プラス私が知っている何かを（パスワードではなく、私の通常のログインパスワードを除きます）。答えはPAM（および/etc/pam.d/sshd）に関係していると思いますが、詳細はわかりません。 2つの方法が必要な認証を設定するにはどうすればよいですか？

8 security  freebsd  ssh  password  pam 

私はbazaarのバージョン管理下にあるテキストファイルのディレクトリを持っていて、自分のマシンのそれぞれにコピー（実際にはブランチ）を保持しています。コマンドラインでディレクトリを暗号化および暗号化解除したい。 理想的には、ログアウト時にスクリプトを実行して、ディレクトリが暗号化されているかどうかを確認し、暗号化されていない場合は暗号化することもできます。ただし、ログイン時にディレクトリを復号化したくありません。（スクリプトを手動で暗号化するのを忘れないようにするための防護策として欲しい。これはネットブックにとって特に重要である。） 私はubuntu 10.04.12つのバージョンのcrunchbang linuxを実行しています。1つはの派生物でubuntu 9.04、6月下旬のDebian Squeezeリポジトリのスナップショットのいずれかです。 これを行う最良の方法は何ですか？ （私はタグにしようとしたencryptionとdirectories、しかし、タグを作成する担当者が不足しています。）

8 command-line  security  encryption 

セットアップfail2banでは、上部に次のjail.confような変数のように見えるものがあります。 mytime=300 . . . [ssh] bantime=%(mytime)s または、このようなより複雑な形式の場合： action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]. ご質問 これらはどのように機能し、何が起こっているのでしょうか？ 具体的には何との取引%(...string...)sですか？

2 security  configuration  fail2ban 

私は再びLinuxの機能で遊んでみたいと思いました。私のペットプロジェクトは、多くのバイナリのsetuidを置き換え、root以外のユーザーに追加の特権ユーティリティへのアクセスを提供することです。これを行うには、関連する機能（+ei、問題は+ep）を介して追加しsetcap、個人ユーザーアカウント（jdavis4）を構成して、ログイン時のセッションにそれらの機能を割り当てますpam_cap.so。capability.confを使用して、個々のユーザーに「ping」および「kill」へのアクセスを許可できます。 しかし、私が抱えている問題は、これが実稼働システムである場合、管理者がおそらく個々のユーザーに対してこれを行う必要がないように、何らかの集約ユニットによって機能を割り当てたいと思うことでした作るたびに。この方法で、ユーザは単に「filesystemAdmin」グループに追加され、のようなものを得ることができるCAP_DAC_OVERRIDEか「ProcessManagement」に追加され、のようなものを取得CAP_SYS_NICEしてCAP_SYS_KILL。 現在これは可能ですか？

2 linux  security  capabilities