Articles of 安全

利用VPS减轻开放WiFinetworking上HTTP会话劫持的风险

新的Firefox扩展Firesheep突出了HTTPlogin会话可以轻易被劫持的事实,如果数据可以被嗅探,这在开放的WiFinetworking上是微不足道的。 我想为我的家人设置一些措施来缓解这种风险。 我有一个小VPS(256M,目前运行lighttpd和SpamAssassin),我可以利用这个目的,基本思想是,当我们使用不可信networking时,stream量(至lessHTTP)通过encryption隧道到VPS被释放到开放的互联网上。 我有什么select这些资源? 如果有问题,客户端都是Mac电脑。 我知道的可能性是OpenVPN(关键问题是在隧道所有通信configuration,它破坏了开放networking的DHCP服务器的路线)和一个HTTP代理(我什么都不知道)。 还有其他的select吗? 我应该注意哪些注意事项? 我希望客户端上的东西很容易打开(我是一个技术人员,但其余的家庭不是),并且适用于所有网站,无论他们是否支持HTTPS。

为什么无线networking更容易受到ARP中毒?

我听到很多人提到无线networking更容易受到ARP中毒攻击。 为什么会这样呢? 为什么不能像AP上的交换networking那样采用类似的保护措施? 有没有其他针对无线networking的第2层攻击?

共享networking托pipe上的个人身份信息(PII)

嗨伙计,我提供虚拟主机服务(共享和专用),并有我的共享主机客户之一提到需要一个SSL证书为他们的网站,他们正在收集表格中的保险报价,包括姓名和社会安全号码。 我的隐私感很刺耳,我很确定在共享系统上这样做不合法(在美国),但在PCI-DSS之外找不到任何东西来支持我的想法,但客户不是处理通过网站的付款,所以我不知道这是否适用。 我正在阅读大量的政策文件,人们build议尽量减less和pipe理内部的PII足迹,但作为主机,我不想让我的客户的所有客户处于可能的风险。 我不是一定要在这里寻求法律意见,但是也许有一些人和我处于类似的位置,可以提供一些经验法则或者指向正确的方向。

如何在rdp上为pipe理员帐户设置帐户locking策略?

我正在关注RDP的安全提示(用于我的在线服务器): http://www.mobydisk.com/techres/securing_remote_desktop.html 现在我没有用于RDP访问的特殊用户帐户。 只要pipe理员可以login。 但是,我想确保有人不能暴力破解密码。 我将“帐户locking策略”设置为3次,3分钟后重试。 但是,当我连接到RDP时,在RDP断开连接之前,我仍然可以尝试5次。 然后我可以立即重新连接,再尝试5次。 任何想法,如果有一个locking政策,也成为真正的pipe理?

帐户被入侵,有没有mysql日志?

是否有这样的事情,如mysql日志,以确定是否有任何访问/更新/删除。 我的帐户被入侵,似乎只有垃圾邮件上传。 我改变了所有的密码,并安装了一个蛮力检测。 (我不知道他们如何强制我的密码开始)

正确的方式来提高单一的应用程序的权限?

我有一个单一的应用程序(在Ubuntu上)尾巴/ var /日志/消息,并拿起USB插入,如果该设备是在一个特定的端口,需要分区,格式化,并安装它。 显然这需要root权限。 我是Linux的新手,我想知道什么是“正确”的方法是完成这个。 始终以root身份运行我的应用程序会更好吗? 还是更好(或可能)给我的应用程序权限卸载 , 分开 , mkfs ,并安装和任何其他只需要的根进程? 背景: 一旦安装,一些特定的客户要求的文件将被加载到驱动器。 每个驱动器都是独一无二的,因此克隆将无法工作,而且我将每周支持数百个驱动器,所以我需要它尽可能自动化。 我意识到这是危险的,所以是的,我会在机器上发出一个警告,所有的驱动器将被格式化。 我使用单声道,因为它适合用C#.net编写的更大的应用程序。

Linux密码复杂度设置

我有两个关于system-auth文件的问题 1)如果在现有系统上更改/etc/pam.d/system-auth密码复杂性设置,是否使任何现有密码无效? 2)是否可以说lcredit = -1 ucredit = -1 dcredit = -1 ocredit = -1 < – 四个字符组中至less有三个应该执行? 谢谢! 编辑: 2)在这里回答: http : //linux.die.net/man/8/pam_passwdqc和http://www.cyberciti.biz/faq/rhel-fedora-centos-linux-password-quality-control/

共享虚拟主机的分发/设置

我目前正在pipe理一个Gentoo服务器,为有共同兴趣的朋友和人们提供几十个网站。 我可能会很快转移到新的服务器,并有可能切换到另一个操作系统。 我很享受Gentoo让我修补USE标志的能力,并在编译和安装之前自动修补上游源代码,但是它确实有一些怪癖(tail和cron具有微妙的破坏行为 , 内核cgroups代码中的死锁 ,正在安装的文件与随机破坏的权限),维护可以相当大(我似乎无法更新perl没有打破一半的系统)。 我猜想对于共享主机系统来说,最重要的是两件事:安全性和稳定性。 虽然我通常相信我的用户不要做任何故意恶意的行为,但我不能相信他们永远不会允许他们的帐户受到攻击(例如安装并不更新已发现漏洞的Web应用程序)。 用户不应该能够访问其他用户的数据,干扰其他网站的可访问性或垃圾服务器。 CentOS似乎在服务器上非常受欢迎,尽pipe我个人对rpm / yum的经验有限,让人感到沮丧(花了一个小时才安装了一个软件包)。 我也听到了关于Ubuntu服务器的好东西。 还是应该坚持我熟悉的方式,并希望我的Gentoo问题只是错误configuration或积累的结果,而不会在一个干净的安装中显示? (CentOS和Ubuntu服务器随附SELinux / AppArmor,Gentoo拥有Hardened Gentoo项目。) 还有一个Apacheconfiguration的问题…使用标准的MPM运行mod_php是不可能的,因为它允许脚本访问所有用户的数据。 CGI要慢很多。 我现在正在使用itk MPM,它似乎工作正常,但我不知道是否有更好的解决scheme – 大型共享主机提供商(DreamHost等)如何做呢?

挂载在chroot环境中的安全性影响

假设你有一个chroot环境,你需要一个资源 – 一个应用程序或一个库,它驻留在主机上(在chroot外部)。 哪些是安全的影响(如果有的话)执行mount –bind (从主机到chroot)在该资源上,而不是安装在chroot – 即通过apt-get install – ?

SynFlood攻击:每Mbit可能有多less个数据包?

我会很精确的计算/公式如何计算多less个SYN数据包可以发送每1Mbit带宽: 1)什么是一个SYN-Packet的大小(以字节为单位)= 20字节? http://de.wikipedia.org/w/index.php?title=Datei:TCP_Header.svg&filetimestamp=20070706210301这是正确的,第一个五行,heach有4个字节= 20字节的总数? 还有更正确的是,不需要有效载荷,只有包含标题的数据包才是有效的。 2.)为了得到有效的结果,是否有效地划分1Mbit /每个Syn的字节数? (1000 000/8/20 ==> 6250 SYN每秒???) 3.)还是有其他限制因素会大大减less每1Mbit的SYN数据包数量? (所以计算出来的数字在实践中要低得多)。这是什么限制了这个数字? 4.)是否有任何“必须知道”的工具来保护我的服务器免受Syn Attacks(linux / debian)的攻击。 我已经在iptables中实现了一些基本的东西,但不知道这是否真的有帮助…更好的过滤“前端/网关”服务器? 什么商业产品提供SYN-洪水过滤,如果你可以命名一些具体的产品,我会感谢。 谢谢Jan