关于以下方面: b </s> </s> </ s> 18ro3c / sshd_rootkit / 显然,似乎有一堆红帽服务器正在通过库后台。 有没有人有如何跟踪和发现最初的违反联系的build议?
我所做的大部分阅读都表明可以使用Kerberos来设置RPCSEC_GSS,但是我们还没有设置Kerberos服务器。 我读过其他authentication方法,如LIPKEY,应该是替代(可插入?)授权计划,但我似乎无法find关于它们的许多信息。 如果我想离开AUTH_SYS(又名AUTH_UNIX),是否需要RPCSEC_GSS + Kerberos? 还是有什么比AUTH_SYS更安全,但不像设置Kerberos安装那样复杂? 谢谢,卡尔
在我的公司,我们正在处理一个有趣的决定:我们应该select哪个操作系统作为默认操作系统? 这并不意味着每一次安装都将基于所select的操作系统,但是使用不同的安装可能必须是合理的 除了function和其他比较之外(我确实阅读了这篇文章,但没有太多帮助),主要讨论的是整体安全性以及两个操作系统中的每一个的开发人员如何处理它。 据我所知, Ubuntu有5年的LTS ,并且有Canonical员工正在从事兼容性和安全性更新工作。 CentOS完全由社区pipe理,安全更新主要来自红帽上游。 还有一些考虑: 安全更新来自RedHat,CentOS永远处于追赶模式。 这仅仅造成了时间差距 这个post写在2011年2月让我担心,但我不知道今天(2年后)现实是否一样。 引用一些文章: 通常情况下,CentOS会跟随红帽安全更新,在RHEL更新发布后尽快发布其版本。 但5.6(或任何“点”版本的RHEL)带有一整套更新的软件包,其中任何一个都可能有安全更新,或者是出于安全原因更新的软件包的依赖项。 由于目前还没有CentOS 5.6软件包,这些安全更新在CentOS开发过程中陷入了一个裂缝。 CentOS可以将修补程序反向移植到5.5程序包中,或者发布一个更新的5.6程序包及其所有依赖项,其中一些可能还没有通过质量保证程序。 根据首席开发人员Karanbir Singh的说法,除了Red Hat标记为“危急”的更新之外,CentOSselect了上述两项。 这可能使其用户容易受到潜在的可利用的安全漏洞的影响。 辛格在电子邮件中表示,CentOS团队正在研究红帽的安全更新,以修复那些被认为是“可远程利用”的安全更新,但似乎并没有与CentOS 5发布的内容混杂在一起。自从RHEL 5.6,还没有CentOS 5的安全更新。 看起来,与CentOS一起意味着,在某些时候,我们(也许)将需要购买一个RHEL许可证 我的自然select是在CentOS上使用Ubuntu,但是我在Ubuntu上得到的是LTS参数,我不知道LTS的实际工作情况。 更多的意见,这将是很好的。 而且,现在对CentOS安全的更多意见也不错。 此外,做一些基本的谷歌search是相当普遍的,看到更多的Ubuntu的结果比CentOS,但我们知道,Ubuntu有一个更大的目标受众,因为桌面支持,这一个单独生成大量的网页内容 那么,您认为哪一种处理安全更新有更好的开发方法/function?
我想在服务器上禁用一些function来提高服务器的安全性。 我遵循这些步骤: 步骤:1打开php.ini文件: vi /etc/php.ini 第2 disable_functions :finddisable_functions并设置新列表,如下所示:disable_functions = exec,passthru,shell_exec,system STEP:3服务httpd重启 借助上述步骤,我可以禁用所有上述function。 现在这些function在服务器上不再可用。 如果我想启用或禁用特定目录的这些function,那么它可能与否?
我正在用一些托pipe的网站pipe理一个Win Server 2008系统。 最近我发现有东西通过我们的SMTP服务器发送垃圾邮件。 日志表明连接正在进行到我们的localhost端口25 SMTP服务器…它被configuration为允许未经身份validation的中继。 我们现在要求身份validation,即使在127.0.0.1:25,所以传出的垃圾邮件被阻止,但连接尝试继续。 我的猜测是,我们客户的一个网页脚本被黑客入侵,并被用来通过我们的SMTP服务器转发垃圾邮件。 有什么工具可以用来确定哪个进程,或者更好的是,哪个可执行文件正在连接到特定的Web端口? 我已经查看了Windows防火墙日志,正如此服务器故障问题中所build议的那样,但是没有列出正在进行连接的进程ID。 当然,我可能在这里咆哮错误的树,所以任何其他的build议也将不胜感激。
对于我的IT安全课暑期项目,我们必须以不同的方式规避学校/公司networking上的安全措施设置,并解释如何检测和避免这些黑客行为。 其中一个话题是(请原谅我的翻译不好): 阿尔伯特与他的笔记本电脑连接到学校networking。 他只能通过学校过滤代理访问万维网。 此代理configuration为只允许HTTP(TCP 80)和HTTPS(443)请求,并且某些网站(比如www.forbidden-forum.com)被过滤掉。 ICMP回应请求/回复是允许的。 阿尔伯特可以使用什么技巧从学校networking访问www.forbidden-forum.com? networking和系统pipe理员如何检测/防止这些技巧? 现在我不要求这个练习的答案 (这将会使我join这个课程的整个观点并没有教会我)。 到目前为止,我想到了以下几个技巧: 使用ICMP隧道。 通过监视exception高的ICMP帧,可以轻松检测到。 从手机分享互联网连接。 很难发现,特别是如果pipe理员没有对学生电脑的pipe理权限。 在443 TCP端口上使用VPN。 可以通过监视到特定主机(VPN服务器)的exception高数量的443stream量来检测,但很难,因为它可能是合法的stream量。 pipe理员可以尝试使用networking浏览器连接到相同的主机,但可以检测到它不是一个适当的Web服务器。 有一个外部Web服务器,充当远程浏览器 ,将所有内容redirect到www.forbidden-forum.com。 我的问题实际上是关于最后一点。 我认为有可能有这样做的软件,但它将不得不: 根据需要连接到www.forbidden-forum.com replace响应文档/ javascript代码中的所有URL以重新映射到自身,使得Albert的计算机从未实际尝试直接到达www.forbidden-forum.com。 能够将replace的url翻译为原来的url。 实际上,我希望能够在学校访客networking(具有类似的限制)的项目演示中展示这个PoC,但是我真的很想避免自己“开发”一些东西。 我的开发人员的技能实际上并不好,我想知道:有没有一种软件能够做到这一点? 也许一个Apache模块或configuration?
我想在Solaris 10上使“手指”变得无害,而且我在手册页中看到了这一点。 OPTIONS fingerd supports the following option. -s Enable secure mode. Deny forwarding of queries to other remote hosts. 是否可以更改in.fingerd的启动选项,而不用“作弊”并编辑清单(/var/svc/manifest/network/finger.xml)本身?
我们在我们的networking设备上使用tacac作为AAA,我对我们的设备如何encryption密码设备侧感兴趣/好奇。 遵循Arista EOS手册 (第139页),我正在运行: switch(config)#tacacs-server key 0 cv90jr1 该指南告诉我相应的encryptionstring是020512025B0C1D70 。 switch(config)#show running-config | grep tacacs tacacs-server key 7 1306014B5B06167B 看到一个不同于他们提到的encryptionstring让我好奇。 所以我又添加了相同的密钥十次,并查看了encryption版本: tacacs-server key 7 0110105D0B01145E tacacs-server key 7 070C37151E030B54 tacacs-server key 7 020512025B0C1D70 tacacs-server key 7 1306014B5B06167B tacacs-server key 7 020512025B0C1D70 tacacs-server key 7 020512025B0C1D70 tacacs-server key 7 0110105D0B01145E tacacs-server key 7 110A0F5C4718195D tacacs-server key […]
我正在使用受损的Ubuntu 8.04 Plesk 9.5.4服务器。 似乎服务器上的脚本不断地对互联网上的随机IP进行反向查找。 我第一次发现它在使用top ,然后注意到这个持续闪烁: sh -c host -W 1 '198.204.241.10' 我写了一个脚本来每隔1秒询问一次ps ,看看脚本发生的频率: #!/bin/bash while : do ps -ef | egrep -i "sh -c host" sleep 1 done 结果是这个脚本经常运行,每隔几秒钟: www-data 17762 8332 1 10:07 ? 00:00:00 sh -c host -W 1 '59.58.139.134' www-data 17772 8332 1 10:07 ? 00:00:00 sh -c host -W […]
我有一个Postgres数据库,包含公开信息,我想公开给互联网,供任何人使用。 我可以采取什么措施来防止: 过于昂贵的查询可能会占用资源,阻止其他人访问 查询返回的数据太多,占用了太多的带宽,对服务器所有者造成了伤害。 服务器本身被破坏并被用于糟糕的事情。 我不担心服务器上的任何数据被暴露,我并不特别担心服务器崩溃 – 重build是微不足道的。 它是PostgreSQL 9.1的PostGIS扩展,包含OpenStreetMap数据和其他一些东西。 它目前在OpenStack基础架构上的Ubuntu(Quantal)虚拟机上运行。 数据库目前被configuration为只有通过networking连接的帐户才能读取必要的表格,仅此而已。 它有一个简单的密码,并运行在默认端口(5432),以简化使用。 shell访问只能通过公共密钥。 除了OpenStack基础架构提供的防火墙之外,我没有使用防火墙。 (所有这些决定都是公平的讨论…)