タグ付けされた質問 「security」

特定のパスワードが入力されたときにすべての個人データを破棄するようにシステムを構成するにはどうすればよいですか？これがNSAのものであることの背後にある動機。 3つの主な使用例があると思います。 ログイン時に、所定のパスワードを入力すると、ユーザーデータが破壊されます。 システムが起動したとき。所定のパスワードを入力すると、個人データが破壊されます。 事前に設定されたパスワードを使用して特権コマンドを入力すると、個人データが破壊されます。 私は何かのようなことを知っています dd if=/dev/urandom of=/dev/$HOME データ破壊に十分なはずです。ただし、特定のパスワードによってトリガーされる方法はわかりません。 データの削除中にロ​​グインを許可すると、ボーナスポイントになります。

46 security  password 

NSAの啓示とすべてに付随するすべての妄想で、なぜdebianパッケージのインストールメカニズムがそのトランスポートでHTTPSをサポートしていないのか、デフォルトでそれを使用しているのか疑問に思います。 debianパッケージにはGPGを使用した何らかの署名検証がありますが、HTTPの代わりにHTTPSトランスポートを使用することは、これがセキュリティ上どれほど重要であるかを考えると難しいとは思いません。 編集：私は主に、Debianミラー管理者ではなく、MitM攻撃（トラフィックスニッフィングのみを含む）から身を守りたいです。HTTPリポジトリは、誰かがdebianミラーに行く私のトラフィックを覗き見する場合、システム全体のセットアップをテーブルに置きます。

45 debian  security  apt  https 

私のLinuxおよびFreeBSDシステムには、何十人ものユーザーがいます。スタッフはこれらの「sshゲートウェイ」ノードを使用して、他の内部サーバーにSSH接続します。 私たちは、これらの人々の一部は暗号化されていない秘密SSHキー（なしのキーを使用することを懸念しているパスフレーズを。これは悪いです、クラッカーが今までこのマシン上の自分のアカウントへのアクセスを獲得した場合、彼らは秘密鍵を盗み、今のアクセス権を持っている可能性があるため、セキュリティ上の理由から、すべてのユーザーが自分のプライベートSSHキーをパスフレーズで暗号化する必要があります。 秘密鍵が暗号化されていない（たとえば、パスフレーズが含まれていない）ことを確認するにはどうすればよいですか？ASCII装甲キーと非ASCII装甲キーでこれを行う別の方法はありますか？ 更新： 明確にするために、マシン上でスーパーユーザーのアクセス権があり、全員の秘密鍵を読み取れると仮定します。

44 security  ssh  users 

これは私の/etc/sysconfig/iptablesです： 80個のApacheと22個のsshを開く2つのポートがあります。 # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m …

42 ssh  security  iptables 

Ubuntu 11.10ボックスをスピンアップしてapt-get install apache2 php5から、実行してapache2とPHP 5をボックスにインストールしました。これで「Webサーバー」として機能し、「It Works！」がロードされます。ページ。現在、セキュリティを強化しようとしていますが、Linux Webサーバーについて次の質問があります。 apacheの実行者は誰ですか？ このユーザーはどのグループに所属する必要がありますか？ PHP（およびApache？）をファイルの所有者として実行できるパッケージは何ですか？（共有Webホストなど）これらのパッケージを使用する必要がありますか？小規模なシステムで保守するのは簡単ですか？ apacheを実行しているWebに提供されるファイルとフォルダのデフォルトのアクセス許可は何www-dataですか？ユーザーとして実行されているapache / phpの場合 デフォルト設定の調査では、次のことを行いました。 ファイル構造 ときに私cd /とやるls -alのコンテンツのリストを、私が見ます/var： drwxr-xr-x 13 root root 4096 2012-02-04 20:47 var/ 私がcd興味varを持っているなら、ls -al私は見ます： drwxr-xr-x 2 root root 4096 2012-02-04 20:47 www/ 最後に、/var/www私は内部で見る： drwxr-xr-x 2 root root 4096 2012-02-04 20:47 ./ drwxr-xr-x 13 root root …

41 linux  security  users  php  apache-httpd 

sha1passコマンドラインで機密性の高いパスワードのハッシュを生成するために使用していたとします。のsha1pass mysecretハッシュを生成するために使用できますmysecretが、これにmysecretは現在bash履歴にある欠点があります。mysecretおそらくpasswd-styleプロンプトを使用して、プレーンテキストでの表示を回避しながら、このコマンドの最終目標を達成する方法はありますか？ また、機密データをコマンドに渡すためにこれを行う一般的な方法にも興味があります。メソッドは、機密データが引数（inなど）として、sha1passまたはSTDINで何らかのコマンドに渡されると変更されます。 これを達成する方法はありますか？ 編集：この質問は多くの注目を集めており、いくつかの良い答えが下に提供されています。要約は次のとおりです。 あたりとしてKusalanandaの答え@、理想的には、ユーティリティのコマンドライン引数としてパスワードや秘密を与える必要はないだろう。これは彼が説明したようにいくつかの点で脆弱であり、STDINで秘密の入力を取得できる、より良く設計されたユーティリティを使用する必要があります。 @vfbsilvaの答えは、bashの履歴に物事が保存されるのを防ぐ方法を説明しています @Jonathanの答えは、プログラムがSTDINでその秘密データを取得できる限り、これを達成するための完全に良い方法を説明しています。そのため、この答えを受け入れることにしました。sha1pass私のOPでは例に過ぎませんが、STDINでデータを取得するより優れたツールが存在するという議論が確立されました。 @R ..内のノート彼の答えは、変数のコマンド拡張を使用することであるない安全。 要約すると、適切に設計され、適切に動作するプログラムがあることを考えると、@ Jonathanの回答が最良のソリューションであるため、@ Jonathanの回答を受け入れました。コマンドライン引数としてパスワードまたはシークレットを渡すことは基本的に安全ではありませんが、他の答えは単純なセキュリティ上の懸念を軽減する方法を提供します。

40 shell  security  password 

Capistranoを使用してデプロイスクリプトを設定しようとしcap deploy:setupています ステップスクリプトでサーバーに接続し、ディレクトリを作成するコマンドを実行しようとしています。その後、エラーが表示されます：msudo: sorry, you must have a tty to run sudo 私のサーバーでrequirettyを無効にするための推奨される解決策があります。https://unix.stackexchange.com/a/49078/26271 私はそれが安全かどうか疑問に思っていますか？

39 security  sudo  tty 

最近、ダークネットサイトの作成について多くのことを聞きました。Torブラウザも頻繁に使用します。 このtorサービスは自宅のDebianサーバーで実行されており、次のものでインストールされました。 sudo apt-get install tor Torネットワークがどのように機能するか、またTorネットワークを介して、またはTorネットワークを介していくつかのテストを実行するために、時々torifyを使用するという考えがあります。sshwget 私は行に気づきました /etc/tor/torrc #HiddenServiceDir /var/lib/tor/hidden_service/ #HiddenServicePort 80 127.0.0.1:80 しかし、そこからどのように行くのですか？.onionサイト/名前はどのように作成されますか？ Linuxでこのようなサービスを設定する基本的なことは何ですか？

38 debian  security  tor 

最近（少なくともFedoraとRed Hat Enterprise Linuxで）、Position Independent Executables（PIE）としてコンパイルされた実行可能プログラムが、より強力なアドレス空間ランダム化（ASLR）保護を受けることを学びました。 だから：Linuxで特定の実行可能ファイルが位置非依存実行可能ファイルとしてコンパイルされたかどうかをテストするにはどうすればよいですか？

38 linux  security  fedora  executable 

共有UNIXホスティングで、sensitive-data.txtファイルがあり、次を発行した場合： chmod 600 sensitive-data.txt rootユーザーは引き続きファイルを読み取ることができますか？具体的には、mercurial hgrcファイルにパスワードを保存しても安全かどうか疑問に思っています。 更新 設定が非常に簡単だったため、mecurialキーリング拡張機能を使用することにしました。 pip install mercurial_keyring そしてhgrcに追加します： [extensions] mercurial_keyring = しかし、私はまだこの質問の答えに興味があります。

35 permissions  security  root 

私がいる/sbinと私はそれshutdownが許可を持っていることがわかりrwxr-xr-xます。これは誰でも実行できるという意味ではありませんか？

34 permissions  security  shutdown 

UNIXシグナルのセキュリティについて疑問に思っています。 SIGKILLプロセスを強制終了します。では、非rootユーザーのプロセスがrootユーザーのプロセスにシグナルを送信するとどうなりますか？プロセスはまだシグナルハンドラを実行しますか？ 私は受け入れられた答え（ゴラム）に従い、タイプしますman capabilites、そして、Linuxカーネルに関する多くのことを見つけます。からman capabilities： NAME capabilities - overview of Linux capabilities DESCRIPTION For the purpose of performing permission checks, traditional UNIX implementations distinguish two categories of processes: privileged processes (whose effective user ID is 0, referred to as superuser or root), and unprivileged processes (whose effective UID is nonzero). …

33 security  signals 

なぜ人々はコマンドラインでパスワードを書くことを恐れるのですか？ 履歴ファイルはにある~/.historyため、コマンドを実行したユーザー（およびルート）のみが使用できます。

33 bash  command-line  security  password  command-history 

学生が書いたプログラムをテストするプログラムを書いています。私はそれらを信頼できないことを恐れており、それを実行しているコンピューターにとってそれがひどく終わらないことを確認する必要があります。 システムリソースへのアクセスが制限されたクラッシュテストユーザーを作成し、そのユーザーとしてプログラムを実行することを考えていましたが、これまでのところネットで発見したことから、仮想システムを作成することが最も安全なオプションになるでしょう... 誰かが正しいアプローチを選ぶのを手伝ってくれますか？セキュリティは私にとって大きな関心事です。その一方で、私はやり過ぎで、本当に必要のないものを学ぼうとする多くの時間を浪費する解決策を望んでいません。

33 linux  security  executable 

私はシステム管理の世界ではかなり新しいです。私は最近アプリケーションで作業しており、アプリケーションサーバーのログを確認するとき、ブルートフォースによってサーバーにsshしようとするさまざまなIPアドレスを常に取得しています。サーバーログの例を次に示します。 Feb 14 04:07:20 foodwiz3 sshd[1264]: error: Could not load host key: /etc/ssh/ssh_host_ed25519_key Feb 14 04:07:21 foodwiz3 sshd[1264]: reverse mapping checking getaddrinfo for coenamor.columbiansabbatical.com [23.249.167.223] failed - POSSIBLE BREAK-IN ATTEMPT! Feb 14 04:07:21 foodwiz3 sshd[1264]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=23.249.167.223 user=root Feb 14 04:07:23 foodwiz3 sshd[1264]: …

32 ssh  security