我还有一些关于HIPPA合规性的问题。 我正在考虑向家庭实践的客户介绍RDS服务器的概念。 如果他们使用家用电脑远程进入,那么这些电脑必须encryption吗? 现在使用VPN来加载Medent(一个软件包),它不会在本地存储数据,但有潜力。 在这种情况下,PC应该被encryption,是正确的? 有谁知道我可以用来进一步了解HIPPA合规性的一些资源吗? 谢谢!
为了确保没有可以通过.htaccess利用的安全弱点,我们如何看到Apache可以通过像SetHanlder和AddHandler这样的指令来使用所有可能的处理器。 我知道我可以通过查看mod_info的输出或通过configuration文件进行grepping(这是我在find这个问题的答案时发现的一种方法)来find一些,但这并不意味着没有可用的处理程序这样列出。 我想我可以下载和searchApache的所有源代码和每个已加载的模块,看看他们正在注册什么,但有没有更好的方法? 一个快速的解决办法是不允许在.htaccess中的AddHandler和SetHandler,但是它有缺点。 例如,Drupal对SetHandler指令有一个有效的用例,因为它将它用作深层防御的一部分,以防止某人以某种方式通过file upload器将其上载到站点时运行PHP脚本。 以下是我所指的一些例子: AddHandler server-parsed .shtml SetHandler server-info AddHandler application/x-httpd-php5 .php 如果有人感兴趣的话,可以从网站/ default / files / .htaccess得到Drupal的用例: # Set the catch-all handler to prevent scripts from being executed. SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006 <Files *> # Override the handler again if we're run later in the evaluation list. SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003 </Files> 编辑2015年7月30日:这不是一个详尽的答案,但万一它有助于任何人,我发现一些处理程序列在http://httpd.apache.org/docs/2.4/handler.html顶部,也阅读自定义处理程序可以通过Action指令创build(请参阅http://httpd.apache.org/docs/2.4/mod/mod_actions.html#action )。 编辑2015年9月1日:我不知道是否有一些方法来转储一个httpd进程的内存,并find那里的处理程序名称。 […]
在物理硬件上进行完全自动部署(使用pxeboot / preseed / kickstart安装和configuration最小系统进行引导)期间,我们需要部署某些机密(如我们的Chefvalidation密钥)以及用于访问安全应用程序数据的密钥。 在我们的虚拟机环境中,我们可以使用已经存在的映像进行预先映像,所以当节点被部署时,它已经拥有了本地文件,并且不需要通过networking,但是对于直接从networking引导映像构build的物理服务器,我们没有能力做到这一点。 我试图想出一个安全和自动的方式将这些秘密部署到configuration好的服务器上,以这种方式我们知道他们不可能在错误的地方结束。 我们的configuration环境知道所有物理服务器以及它们是否configuration好 – 我们在Chef服务器上创build节点定义,包括用于PXE引导的主接口的MAC地址,然后在节点上设置一个标志已configuration。 我们使用这种方法仅将PXEBoot文件提供给尚未configuration的节点,因此我们可以在节点定义中指定这些框的释放/操作系统/angular色。 我们目前的工作思路是一个非常简单的Web服务(通过HTTPS)将服务的秘密节点尚未configuration。 然而这有一些缺点和我可以看到的问题。 我的主要担心是我们唯一的保护是MAC地址validation,MAC地址可以被欺骗(我强烈的意见,你永远不应该考虑你的内部networking安全,虽然这可能是一个不同的讨论)。 我们目前的configuration环境是在专用configuration服务器上使用PXEboot / Preseeding的Ubuntu 12.04和14.04,尽pipe我们可以调整其他解决scheme以适应我们的环境。 我主要关心所有节点都需要访问的全球秘密,我们理想的最终目标是没有这些全球性的秘密并且有每个节点的秘密,我目前正在研究一个工具来完成这个任务我们必须处理当前的设置。 那么人们如何安全地在供应环境中自动分发全球机密? 任何build议或指针的方法来做到这一点?
我的公司“ourcompany”拥有二级DNS域名: ourcompany.org 。 我们目前使用此域名,以及www.ourcompany.org和feature1.ourcompany.org ,并为这些第三级域名生成SSL证书。 然后,我们订阅了第三方托pipe服务,托pipe在我们的ourcompany.thirdparty.org 。 他们处理SSL并拥有主题为thirdparty.org并具有Subject Alternative Name *.thirdparty.org 。 此第三方公司还提供了添加自定义域的function。 所以我们在DNSconfiguration中添加了一个CNAMElogging,现在我们有了feature2.ourcompany.org指向feature2.ourcompany.org 。 显然,在访问feature2.ourcompany.org时,SSL feature2.ourcompany.org 。 然后,第三方公司也要求我们通过TXT DNS条目来certificate我们是域名的所有者,他们能够以某种方式更新他们的SSL证书,并添加以下主题替代名称: *.ourcompany.org和*.ourcompany.org 。 那么这对于中间人来说不是一个潜在的来源呢? (第三方公司现在可以在我们的任何域名上冒充我们) 一个任意的第三方公司如何生成有效的SSL证书,包括指向他们不拥有的域的SAN? (他们的SAN包括比我们添加的CNAME域logging更多的东西) authentication机构是否允许我们的域名作为SAN,因为CNAMElogging指向他们的域名(在这种情况下,SAN如何包含比仅仅feature2.ourcompany.org更多的域名),或者由于TXT条目(在这种情况下,有人能指出我解释这个过程的资源)?
我共同拥有一个慈善论坛,为危机中的人提供支持(心理健康,自我伤害,自杀念头等)。一个半月前,我们的网站pipe理员有点</s>咽,自那以后我一直在挣扎。 今天早上突然有一些我的成员(甚至大部分,只是一部分)在网站上出现错误。 一些IP正在收到消息: “您的连接不是私人攻击者可能试图从suicideforum.com(例如,密码,信息或信用卡)窃取您的信息。NET :: ERR_CERT_AUTHORITY_INVALID” 并根据浏览器也得到“403禁止您没有权限访问/在此服务器上。 错误。 当这些成员通过代理访问该网站时,一切都很好。 大多数人都访问该网站就好了。 我已经检查了SSL证书,并认为所有这一切都是好的(虽然它是由错误的网站pipe理员购买/拥有,我们需要购买一个新的可能无论如何)。 任何想法,为什么有些人得到这个错误/它是什么? 而我甚至开始找人来帮助解决问题。 该网站的性质是,我们每个月有大约2500人到我们这里来寻求精神健康和自杀意愿的支持,如果他们中的一小部分被某种东西阻塞了,那我们就很关心他们没有得到帮助 – 我已经有一些恐慌的电子邮件,他们无法到达现场。 任何帮助或想法将大规模赞赏。
需要暴露给互联网的Linux(特别是Debian Jessie)服务器正在日志中preauth各种OpenSSH 6.7 preauth错误。 例如,我越来越(时间戳清楚): 错误:从ABCD接收断开:3:com.jcraft.jsch.JSchException:身份validation失败[preauth] 致命:无法协商密钥交换方法[preauth] 致命的:找不到匹配的密码:client … server … [preauth] 收到从ABCD断开连接:11:正常关机,感谢您播放[preauth] 收到从ABCD断开的连接:11:ok [preauth] 等等。 我并不担心这些探测器本身; 系统保持最新状态,根据当前的最佳实践,OpenSSHconfiguration已经得到很好的强化,并且还有额外的保护措施(例如fail2ban)。 是否有任何理由为什么任何OpenSSH preauth日志条目将需要特别的人类关注? 问题的答案什么是“正常关机,感谢您玩[preauth]”在SSH日志中是什么意思? 表明这个问题的具体情况是可以忽略的; 我的问题是更通用的。
我想在生产环境中运行基于Tornado Web服务器的应用程序。 性能要求低。 由于我不需要负载平衡器,我想知道是否可以在端口80和443上直接访问它。从安全angular度来看,这样做是否可行,还有其他问题吗? 这当然是假设我find某种方式以非root用户身份运行它(authbind在RHEL上不可用)。
我有一个运行Ubuntu 14.04的数字海洋液滴。 我用它在公共可用的服务器上运行快速的node.jstesting。 我刚刚通过SSHlogin,做$ lsof -i来查看我使用的端口。 在列表的底部,我注意到: sshd 30952 root 3u IPv4 66978103 0t0 TCP xxx.xxx.xxx.xxx:ssh->120.52.72.81:7810 (ESTABLISHED) sshd 30953 sshd 3u IPv4 66978103 0t0 TCP xxx.xxx.xxx.xxx:ssh->120.52.72.81:7810 (ESTABLISHED) 我没有想到这些SSH连接(它只应该是我!),所以我查了IP地址,它似乎是在中国。 那么现在我该怎么做来检查这些ssh连接是否是恶意的,如果是这样的话,他们可能对服务器做了什么。 我宁愿不核弹它,但如果它已经被攻破(因为他们有根访问,我认为它已经!),那么也许这是最简单的事情。 更新 :由于写了上面的内容,我有2个不同的SSH连接,所以我认为它确实是妥协。 sshd 31009 root 3u IPv4 66979206 0t0 TCP xxx.xxx.xxx.xxx:ssh->221.194.44.218:50829 (ESTABLISHED) sshd 31010 sshd 3u IPv4 66979206 0t0 TCP xxx.xxx.xxx.xxx:ssh->221.194.44.218:50829 (ESTABLISHED) 如果任何人都可以提出一个合理的方法来检查妥协/清理这个/看到发生了什么,这将是伟大的帮助我学习(我是这样一个n00b!)。 更新2 :看起来,这不是妥协的迹象,而是蛮力login尝试的迹象 […]
我使用Windows Server 2012 R2作为FTP服务器。 我添加了一个FTP站点MyFtpServer。 它使用的应用程序池是MyFtpServerAppPool。 AppPool使用ApplicationPoolIdentity作为标识。 如果我使用ftp从命令行login,我得到以下结果: 530-User cannot log in. Win32 error: Access is denied. Error details: Filename: \\?\C:\Windows\system32\inetsrv\config\redirection.config Error: Cannot read configuration file due to insufficient permissions 当我通过添加networking服务身份与读访问权限添加到\ windows \ system32 \ inetsrv \ config文件夹的权限时,则FTPlogin进行时没有错误。 但是我所读到的有关使用networking服务的内容是,安全性方面,这将会退后两步。 我find的“最佳实践”解决scheme是使用IIS AppPool \ MyFtpServerAppPool标识添加权限。 但是,如果我这样做,然后FTPlogin失败,同样的错误消息。 所以我的问题是,解决这个问题最好的办法是什么? 显然,我希望FTPfunction可以正常工作,但是我不想回到那些不再被认为是安全性最好的措施。 有任何想法吗? 补充:我正在使用IISpipe理员用户
我有一个Ubuntu 14.04,laravel 5.2框架的服务器。 在最后24小时,有人不断地发送来自不同IP地址的洪泛请求,如下所示(log / apache2 / access.log): 198.46.157.112 – – [18/Oct/2016:17:44:04 +0100] "GET /choi-ads/test_44022 HTTP/1.1" 403 6032 "http://ki****" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.59 Safari/537.36" 175.232.51.53 – – [18/Oct/2016:17:44:04 +0100] "GET /choi-ads/test_44022 HTTP/1.1" 500 47902 "-" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.2 Safari/537.36" 212.4.138.94 – […]