我使用的服务器是Ubuntu 10.10。 为了确保安全性,我想编辑服务器发送给客户端的标题。 如果我通过端口22远程login到主机,它会告诉我正在运行的SSH的确切版本(SSH-2.0-OpenSSH_5.3p1 Debian-3ubuntu4)。 MySQL和Cyrus的情况是一样的。 有什么build议么? 至less对于SSH? 谢谢
我有一个FreeBSD服务器,我喜欢能够从任何地方到达。 通常情况下,我使用SSH公钥来login,或者如果我没有我的SSH私钥可用,那么我可以使用SSH上的常规密码。 但是,当从不可信的机器login时,键盘logging程序在我键入密码时总是会捕获我的login密码。 FreeBSD已经支持OPIE ,这是一次性密码scheme。 这很好,但一次性密码是唯一需要的authentication。 如果我打印出一个一次性密码列表供以后使用,那么如果我失去了这个列表,那么这就是所有人都需要的。 我想设置身份validation,以便我需要一个一次性密码加我知道的东西(密码,除了不是我平常的login密码)。 我有一个感觉,答案与PAM (和/etc/pam.d/sshd )有关,但我不确定的细节。 如何在需要两种方法的情况下设置身份validation?
从man 8 sshd关于授权密钥文件格式和command="command"选项: 请注意,该命令可能被sshd_config(5)ForceCommand伪指令或embedded在证书中的命令取代。 使用ssh-keygen -O force-command="command"可以将命令embedded到证书中。 但是,如何validation命令没有embedded到证书中呢? 沿着这些防止意外命令被执行的相同的方法, ForceCommand总是覆盖embedded在证书中的命令吗? 恶意用户可以绕过一个ssh authorized_keys强制命令? 问一个关于安全的更一般的问题,但是目前的答案没有提到embedded在证书中的命令。
我正在实施一个使用软件RAID,LVM和LUKS的服务器存储设置。 我可以想到这个configuration可以采用三种组合: RAID,LVM,LUKS RAID,LUKS,LVM LUKS,RAID,LVM 在哪个顺序中最好configuration,最好在安全性和可维护性方面?
此TechNet博客指出: encryption操作员: FIPS 140-2定义了一个“encryption官员”angular色,由Windows Vista中首先引入的Windowsencryption操作员组表示。 当在本地或组策略对象中configuration“ System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing ”安全设置时,只有encryption操作员组或pipe理员组的成员才能configuration下一代encryption(CNG)设置默认。 具体而言,encryption操作员可以编辑具有高级安全性的Windows防火墙(WFAS)的IPsec策略中的encryption设置。 我已经执行了以下操作: 在本地安全策略中启用“ System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing ”安全设置。 它可以在Security Settings -> Local Policies -> Security Options键下find。 创build了一个新的标准用户。 将用户添加到Cryptographic Operators组。 我注意到,这个用户甚至不能访问高级安全Windows防火墙(WFAS),而不是首先是Network Configuration Operators的成员。 然后,我注意到这个组的任何成员都可以访问WFAS,并根据Connection Security Rules (包括IPsec规则)创build新的规则。 换句话说,用户不必是Cryptographic Operators组的成员。 然后我尝试了另一件事:我打开了MMC,并添加了“IP安全策略”pipe理单元。 奇怪的是,用户(它是Cryptographic […]
我已经就信息安全问题提出过这个问题,但到目前为止还没有得到任何意见。 我想也许这是更多的服务器基础设施和configuration问题,而不是本身的安全问题。 所以我会尽量简短一点: 我们符合PCI-DSS 2.0标准。 PCI-DSS具有范围内和范围外的系统/stream程/数据/基础设施等概念。在PCI-DSS审计过程中,范围内正在审查中,超出范围被认为是不可信的,且防火墙网段应该分开两个范围。 因此,如果您尝试将范围内和范围之外的系统混合在一起,那么在这个虚拟环境中,PCI-DSS委员会发布了关于混合范围的准则。 他们指出: 同一主机上的范围内和范围外系统所需的分割级别必须等同于物理世界中可实现的隔离级别; 也就是说,分段必须确保超出范围的工作负载或组件不能用于访问范围内的组件。 与单独的物理系统不同,单独的基于networking的分段无法在范围内与虚拟环境中的范围外组件隔离。 因此,我的问题是, 是否有可能对运行在ESXi 5.5上的虚拟机进行细分,使细分满足上述指南中列出的标准? 指导方针是非常具有说服力的,事实上他们继续说: 虚拟组件的分割还必须应用于所有虚拟通信机制,包括pipe理程序和底层主机,以及任何其他公共或共享组件。 在虚拟环境中,通常可以通过特定于解决scheme的通信机制,或通过使用诸如文件系统,处理器,易失性和非易失性存储器,设备驱动程序,硬件设备,API等共享资源来进行带外通信, 等等。 方法我想过: 使用不同的物理networking适配器 使用不同的物理数据存储 但其他领域我坚持包括如何分割处理器,RAM等 如果您有兴趣,可以在这里find完整的PCI-DSS虚拟化指南。 谢谢阅读。 更新21/11/2014:这里的文档已经传递给我,我会阅读和消化。 它看起来像一个有用的标题:“PCI-DSS合规性和VMWare”。
在你的答案中,请记住,这是一个家庭networking。 从外部保护networking连接存储的最佳方式是什么? 目前我有一个NAS连接在我的互联网网关后面。 在使用的第一天,我在连接到NAS的磁盘之一中find了“copy.exe”。 我应该怎么做才能使其尽可能安全?
我最新安装的Windows 7显示了5个程序在TCP ephermeral端口上侦听: TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING TCP 0.0.0.0:49155 0.0.0.0:0 LISTENING TCP 0.0.0.0:49157 0.0.0.0:0 LISTENING netstat -ano显示其中一个进程是wininit.exe。 为什么wininit.exe监听TCPstream量,我该如何防止它? (我不想要防火墙)。
我正在构build我们要迁移到的新域的组策略。 在我们当前的环境中,“设置为服务login”设置为服务器 OU级别 – 在该字段中有大约一百个服务帐户可以访问该权限。 我想把这个设置在我们的OU树结构的下方(我们根据他们运行的应用程序分离出服务器),但是我们的一些内部员工却不想设置这个策略。 IE:不检查组策略中的设置,并让本地服务器处理为此设置在本地策略中放入哪些帐户。 我们的内部安全团队希望像我这样做,但是那些不想要的人包括build筑师 – 因此冲突。 我已经咨询了微软高级支持(对我没有正式答复),内部员工,外部IT朋友的工作人员以及networking研究小时,但是我根本找不到任何有关这个政策是否应该设置的信息。 我的直觉就是通过GPO来pipe理这个问题,这样可以很容易地从一个地方进行审计和pipe理(我们公司经常进行各种外部审计)。 微软的资源页面: https : //technet.microsoft.com/en-us/library/dn221981.aspx是关于我能find的唯一信息,但它说为了最大限度地减less授予此用户权限的帐户数量。 这对我来说似乎有点模棱两可 有人可以告诉我他们怎么想这个设置?
现在,BEAST是公共知识, TLS 1.0不安全 (SSL 3.0也不安全)。 我见过有关RC4密码不受影响的报道(并得到广泛支持)。 真的吗? 我知道TLS 1.1是免疫的。 但在1,000,000个最受欢迎的SSL / TLS网站中,只有less数(221)支持TLS 1.1或更高版本。 这个漏洞只限于浏览器,因为它需要通过MITM的JavaScript或浏览器插件。 在撰写本文时,PayPal.com很脆弱。