タグ付けされた質問 「security」

ricardo私のシステムで厄介なユーザーuserの制限付きユーザーアカウントを設定しています。を使用してディレクトリを作成する権利を彼に付与したいと思いsudoます。私は私の/etc/sudoersファイルでこのルールを検討しています： ricardo ALL=(root) NOPASSWD: /bin/mkdir このルールのみを使用して、ricardoがシステムを意図的または偶然に侵害する可能性のある方法はありますか？

22 security  directory 

時には、ファイルシステム内のファイルを削除し、ファイルが本当になくなっていることを確認する必要があります。たとえば、機密パスワードを含むファイルは、ディスクから完全に消去する必要があります。 rm一般的なファイルシステムでシンプルを発行すると、ファイルへのiノード（「ポインター」）が削除されますが、物理ディスク内のファイルのコンテンツは削除されません。 多くのファイルシステムでは、細断処理プログラムによってこのような安全な削除が可能になります。ただし、btrfsなどのCoWファイルシステムでは、このアプローチは役に立ちません。問題は、ファイルがボリュームスナップショットに存在する可能性があるという事実によって悪化します。 btrfsファイルシステム上のファイルを安全に削除する方法はありますか？（すべてのボリューム上の）すべてのポインターを削除し、空きスペースをゼロで埋めるだけで十分ですか？

22 filesystems  security  data-recovery  btrfs 

ssh -Rユーザーがリモートで転送できるポートを制限する必要があります。 permitopenauthorized_keysのオプションについて知っていますが、manページで述べているように、ローカルの「ssh -L」ポート転送のみを制限します ここで説明したように、ユーザーは同じnetcatまたは類似したものを取得しますが、この場合、ユーザーにはシェルアクセスがありません また、このスレッドはselinuxまたはの使用LD_PRELOADについて説明していますが、以前にselinuxを設定したことはなく、その方法についての情報は見つかりませんLD_PRELOAD。 誰かがopensshにそれを実装するためのパッチを作成したのでしょうか？ 編集：このバグレポートを見つけたので、まだ実装されていないと思います

22 ssh  security  port-forwarding 

これは、systemd-nspawnの manページに記載されています これらのセキュリティ予防措置が講じられているにもかかわらず、systemd-nspawnは安全なコンテナのセットアップには適していないことに注意してください。セキュリティ機能の多くは回避される可能性があるため、コンテナからホストシステムへの偶発的な変更を避けるために主に役立ちます。このプログラムの使用目的は、ブートとシステム管理に関連するパッケージ、ディストリビューション、およびソフトウェアの構築だけでなく、デバッグとテストです。 この質問は2011年にメーリングリストで続けて尋ねられましたが、答えは時代遅れのようです。 systemd-nspawnにはCLONE_NEWNET、--private-network現在このオプションを使用して実行するコードが含まれています。これは、プライベートカバーすると思われるAF_UNIX名前空間の問題を、と私は推測CAP_NET_RAWしてCAP_NET_BIND問題が言及しました。 この時点でどのような問題が残っており、systemd-nspawn現在できることに加えて、たとえばLXCは何をしていますか？

21 security  systemd  lxc 

Linuxでのsshキーのセットアップについて読んで、いくつか質問があります。間違っている場合は修正してください… ホストtr-lgtoがsshを使用してホストtr-mdmに接続したいとします。それが実際のtr-mdmであることを確認したい場合は、tr-mdmでキーのペアを生成しknown_hosts、tr-lgtoで公開キーを追加します。tr-mdmがそれが実際のtr-lgtoであることを確認したい場合、tr-lgtoはキーペアを生成し、authorized_keystr-mdmに公開鍵を追加する必要があります。 質問1：ファイルknown_hostsにはユーザーフィールドはなく、IPアドレスとホスト名のみがあります。tr-mdmには多くのユーザーがいて、それぞれに独自の.sshフォルダーがあります。各known_hostsファイルに公開鍵を追加する必要がありますか？ 質問2：ssh-keyscan -t rsa tr-mdmtr-mdmの公開キーが返されることがわかりました。このキーがどのユーザーに属しているかを知るにはどうすればよいですか？さらに、公開キーは、/root/.ssh/そのコマンドが返すものとは異なります。どうすればいいの？

21 ssh  security  openssh  key-authentication 

次のような引数を指定してコマンドを呼び出した場合： bob@bob-pc:~$ command -arg1 -arg2 ...他のユーザーはコマンドに渡された引数を表示できますか？

21 command-line  security  process 

この質問は、UnixおよびLinux Stack Exchangeで回答できるため、Server Faultから移行されました。 3年前に移行され ました。 gpgキーを生成しようとしています $ gpg --full-gen-key しかし、最終的にエラーが発生します gpg: agent_genkey failed: No such file or directory Key generation failed: No such file or directory 私はArch Linuxを使用しています。 $ gpg --version gpg (GnuPG) 2.1.15 libgcrypt 1.7.3 Copyright (C) 2016 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 …

21 security  encryption  arch-linux  gpg 

私はどこかを読んだり聞いたりしました（LinuxCBTのSELinuxコースのことかもしれませんが、確かではありません）。オンラインのLinuxサーバーがあり、rootユーザーのパスワードも与えられています。Linuxサーバーは、SELinuxルールを使用して強化されており、すべてのユーザーがrootユーザーでログインできますが、OSに害を及ぼすことはできません。 私には神話のように思えますが、確認したかったのは、Linuxユーザーを（おそらくSELinuxで）強化して、rootユーザーでさえ特定の悪意のある活動を実行できないようにすることですか？（例：システムファイルの削除、ログファイルの消去、重要なサービスの停止など） このようなLinuxボックスは、ハニーポットを構築するための素晴らしい出発点になります。 編集： 回答（現在削除済み）と少しのグーグルに基づいて、このような強化されたLinuxサーバーを指摘するリンクを少なくとも2つ入手しました。残念ながら、両方のサーバーがダウンしています。記録のために、ここに説明をコピーして貼り付けます。 1）http://www.coker.com.au/selinux/play.htmlから： SE Linuxマシンでの無料ルートアクセス！ Debianプレイマシンsshにplay.coker.com.auからアクセスするにはとしてするには、パスワードは... このようなマシンを正常に実行するには、多くのスキルが必要です。実行するかどうかを尋ねる必要がある場合、答えは「いいえ」です。 これの目的は、必要なすべてのセキュリティがUnix権限なしでSE Linuxによって提供できることを実証することです（ただし、実サーバーにもUni​​x権限を使用することをお勧めします）。また、SEマシンにログインして、それがどのようなものかを確認する機会を提供します。 SE Linuxプレイマシンにログインするときは、ログインする前に-xオプションを使用してX11転送を無効にするか、/ etc / ssh / ssh_configファイルでForwardX11 noを設定してください。また、ログインする前に、-aオプションを使用してsshエージェント転送を無効にするか、/ etc / ssh / ssh_configファイルでForwardAgent noを設定してください。これらの設定を正しく無効にしないと、プレイマシンにログインすると、SSHクライアントを介して攻撃を受ける危険があります。 これを議論するためのIRCチャンネルがあり、それがある#selinuxにirc.freenode.net。 ここに簡単なFAQがあります 2）http://www.osnews.com/comments/3731から 強化されたGentooの目的は、Gentooを高セキュリティ、高安定性の本番サーバー環境で実行可能にすることです。このプロジェクトは、Gentoo本体から切り離されたスタンドアロンのプロジェクトではありません。強力なセキュリティと安定性を提供するソリューションをGentooに提供することに焦点を当てたGentoo開発者のチームになることを意図しています。このマシンは、強化されたGentooのSELinuxのあるデモ機。主な用途は、SELinux統合とポリシーのテストと監査です。

20 security  selinux  access-control  hardening 

私は、分離されたスクリーンセッション内でルートシェルを実行したままにすることのセキュリティに興味があります。私は通常これをしません。 ルート以外のユーザーアカウントが侵害される可能性（パスワードの公開、sshキーの侵害など）の他に、心配する必要がある、パスワードで保護された分離された画面セッションへのエントリの他のベクトルがありますセッションは不活性と見なされますか？

20 security  gnu-screen  root 

デスクトップマシンとしてLinuxに戻る予定です。より安全にしたいと思います。そして、特に私が自分のサーバーを手に入れることを計画しているので、いくつかの強化テクニックを試してください。 適切な健全化戦略とは何でしょうか？どのツールを使用する必要があります-Apparmor、SELinux、SMACK、chroot？ Apparmorなどのツールを1つだけ使用するか、上記の組み合わせを使用する必要がありますか？ これらのツールにはどのような利点/欠点がありますか？他に何かありますか？ セキュリティ（改善）比率に対する正しい構成はどれですか？ デスクトップ環境でどちらを使用したいですか？サーバー環境のどれ。 非常に多くの質問。

20 security  chroot  selinux  grsecurity  hardening 

システムでブルートフォースSSH攻撃が開始されるIPをシャットダウンするためのさまざまなパッケージがあります。例えば： DenyHosts シュシュガード fail2ban これらの長所/短所、または他の何かは何ですか？ 私の現在の解決策は、logwatchが毎日生成する電子メールを受け取って、悪質なIPアドレスをテキストファイルにダンプし、それをスクリプトにフィードしてからiptablesを再構築することです。それはハッキーで時間がかかり、手作業です。もっと良い方法が欲しいです。 （問題を解決するための「最良の」方法は何も尋ねなかったことに注意してください。何もするための「最良の」方法はないためです。）

20 ssh  security 

SSHには公開鍵を使用するのが最善です。だから私のsshd_config持っていPasswordAuthentication noます。 一部のユーザーはログインしません/usr/sbin/nologin。たとえば、shellを使用したsftpユーザーです。または、システムアカウント。 そのため、パスワードを使用せずにこのようなユーザーを作成できますadduser gary --shell /usr/sbin/nologin --disabled-password。 それは良い/悪い考えですか？考慮していない影響はありますか？

19 ubuntu  ssh  security  password  sftp 

Armis Labは、LinuxおよびIoTシステムを含むBluetooth対応のすべてのデバイスに影響を及ぼす新しいベクトル攻撃を発見しました。 LinuxでのBlueBorne攻撃 Armisは、Linuxオペレーティングシステムに、攻撃者が感染したデバイスを完全に制御できる2つの脆弱性を開示しています。1つは情報漏えいの脆弱性です。これは、攻撃者が標的のデバイスで使用されている正確なバージョンを判断し、それに応じて攻撃を調整するのに役立ちます。2つ目はスタックオーバーフローで、デバイスを完全に制御できます。 たとえば、Bluetoothが有効になっているすべてのデバイスを悪意のあるものとしてマークする必要があります。感染したデバイスは悪意のあるネットワークを作成し、攻撃者がBluetooth範囲外のすべてのデバイスを制御できるようにします。LinuxシステムでBluetoothを使用して周辺機器（キーボード、マウス、ヘッドフォンなど）を接続すると、Linuxがさまざまなリスクにさらされます。 この攻撃は、ユーザーの操作、認証、またはペアリングを必要としないため、実質的に見えなくなります。 BlueZを実行しているすべてのLinuxデバイスは、情報漏洩の脆弱性（CVE-2017-1000250）の影響を受けます。 Bluetoothが有効になっているLinux OSはすべて、BlueBorne脆弱性スキャナー（脆弱なデバイスを検出するためのArmisのAndroidアプリケーションがデバイス検出を有効にする必要がありますが、攻撃を有効にするにはBluetoothのみが必要です）でチェックした後、脆弱であるとマークされます。 LinuxシステムでBluetoothを使用する場合、BlueBorne攻撃を軽減する方法はありますか？

19 linux  security  bluetooth  bluez  vulnerability 

私はUbuntu 15.04を使用していますが、今日はこのリンクからLinuxセキュリティに関する記事を読んでいます。 UID 0アカウントの部分まですべてがうまくいった ルートのみがUID 0を持つ必要があります。そのUIDを持つ別のアカウントは、多くの場合、バックドアと同義です。 彼らが私に与えたコマンドを実行すると、別のルートアカウントがあることがわかりました。その直後に記事のようにアカウントを無効にしましたが、このアカウントを恐れているので、彼を見つけることができます/etc/passwd rootk:x:0:500::/:/bin/false そして /etc/shadow rootk:!$6$loVamV9N$TorjQ2i4UATqZs0WUneMGRCDFGgrRA8OoJqoO3CCLzbeQm5eLx.VaJHeVXUgAV7E5hgvDTM4BAe7XonW6xmup1:16795:0:99999:7::1: を使用してこのアカウントを削除しようとしましuserdel rootkたが、このエラーが発生しました。 userdel: user rootk is currently used by process 1 プロセス1はsystemdです。誰かアドバイスをください。私はuserdel -f？このアカウントは通常のルートアカウントですか？

19 ubuntu  security  root 

今週、PowerShellをいじっていましたが、実行するにはスクリプトに署名する必要があることがわかりました。Linuxには、bashスクリプトの実行の防止に関連する同様の安全な機能がありますか？ これに似ている唯一の機能は、特定のキーを必要とするSSHの機能です。

19 linux  scripting  security