背景 我试图收集更好地了解OS Xlogin过程,以决定实现VPN单点login的最佳方式。 如果我错了,请纠正我,但我相信 – launchd(8)调用gettyent(3) ,从而决定从ttys(5)为/dev/console执行loginwindow.app 。 loginwindow.app尝试获取system.login.console授权权限,授权数据库为其指定以下机制(与我对其function的理解一起列出); 那些在authd进程中运行的特权(以root身份),而那些在SecurityAgent进程中没有特权的进程(如_securityagent): builtin:policy-banner (显示login窗口横幅 ,如果设置)。 loginwindow:login (提示input凭证)。 builtin:login-begin builtin:reset-password,privileged ( 使用Apple ID执行密码重置 )。 builtin:forward-login,privileged (在启动时从EFI转发凭据)。 builtin:auto-login,privileged (启动时应用自动login凭据)。 builtin:authenticate,privileged (为authorization服务调用pam_authenticate(3) ;设置“uid”上下文值)。 PKINITMechanism:auth,privileged (通过获取TGT来初始化Kerberos)。 builtin:login-success loginwindow:success (确保login会话不受未经授权的远程访问;将loginlogging在系统的utmp和utmpx数据库中;设置控制台terminal的所有者和权限)。 HomeDirMechanism:login,privileged (挂载用户的主目录)。 HomeDirMechanism:status (显示主目录挂载的进度)。 MCXMechanism:login (应用configuration文件)。 loginwindow:done (重置用户的首选项以包含全局系统默认值;使用用户的首选项configuration鼠标,键盘和系统声音;设置用户的组权限;从目录服务检索用户logging并将该信息应用于会话;用户的计算环境 – 包括首选项,环境variables,设备和文件权限,钥匙串访问等等;启动Dock,Finder和SystemUIServer;启动用户的login项目。 问题 我非常想确认我对每个机制function的理解: 他们的源代码是否公开? 我知道非builtin机制是通过可以在/System/Library/CoreServices/SecurityAgentPlugins下find的插件来定义的,但是我找不到它们的来源。 我也不能findbuiltin机制的定义。 如果来源不可用,是否在任何地方logging了机制? 意见 loginwindow:login如果在 builtin:forward-login 之前调用loginwindow:login , loginwindow:login提示input凭证builtin:forward-login和builtin:auto-login […]
我正在读麻省理工学院6.893讲座 ,其中说Unix中的保护是一团糟,没有基本的原则 ,它也指出Windows 有更好的select,它可以通过IPC从一个进程向另一个进程传递特权 。 在我看来,尽pipe看起来Windows用户更容易受到病毒和漏洞的威胁,但我相信这主要是由于大多数Windows用户都是经验较less的计算机用户,Windows平台因为拥有更多的用户而吸引了更多的攻击者。 我想知道是否有更详细的文章或比较Windows和Linux的安全机制和devise的文件?
我需要查看客户的CheckPoint防火墙的防火墙规则(拥有200多条规则)。 过去,我使用FWDoc来提取规则并将其转换为其他格式,但排除了一些错误。 然后我手动分析它们以产生改进版本的规则(通常在OOo Calc中)并带有注释。 我知道有几个可视化技术,但他们都去分析stream量,我想要静态分析。 所以我想知道,你要遵循什么过程来分析防火墙规则? 你使用什么工具(不仅仅是检查站)?
我正在考虑使用云服务来备份我的客户的网站之一。 我(客户)的主要担心是(按重要性递减) 保护知识产权(商业秘密,源代码),用户账户信息等 服务提供商提供的正常运行时间保证(以最小化networking服务器停机时间 成本 上传/下载速度 理想情况下,我希望服务没有太长的联系(即我更喜欢一种“即用即付”服务) 我也想避免供应商locking,在那里几乎不可能移动到另一个服务。 我想要一些一般的指导方针: 如何去select一个服务提供商 谁是这个领域的主要参与者 软件推荐用于:备份/恢复/上传/下载保存/恢复的文件 服务器软件要么是Ubuntu或Debian(我可能会发布一个问题,作为服务器哪个操作系统 – 我已经熟悉Ubuntu)
我们的基础设施部门中的一些人希望升级以开始利用RHEL 6中的新function。过去,我依赖于NSA指南(www.nsa.gov/ia/_files/os/redhat/rhel5-guide- i731.pdf)来保护RHEL 5和CentOS 5的安装。 我觉得这个指南是非常宝贵的。 有没有人有类似的方式保护RHEL / CentOS 6的经验? 如果是这样,你利用哪些资源(书面或咨询)? 我听到一些同事的说法,第六版与第五版在各方面有很大的不同,所以我不想留下我们的安全漏洞,因为我没有充分说明这些差异。 Red Hat自己的RHEL 6指南( http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/index.html )是否真的足够了? 有人会说,除非你有一个引人注目的function原因,否则你应该推迟从5升级到6,直到像国家安全局这样的组织能够产生一个特定于你要保护的版本的指南? 我感谢您可能有的任何反馈,即使它正在引导我到更合适的论坛。 问候, 麦克风
我们正在评估msdeploy Web部署代理服务的使用情况,以便自动部署到我们的生产服务器。 我们无法find的一件事是潜在的安全影响。 首先,我们的Web服务器当然是安全的(位于防火墙和负载均衡器之后),所以只能从外部访问http(s)stream量。 尽pipe如此,Web部署代理运行与IIS(唯一面向外部)集成,因为它可以通过http(s)访问。 所以我们担心,通过托pipe在IIS上的networking可能有可能访问代理,从而获得对我们所有网站的读写权限。 msdeploy在生产环境中的使用安全性如何? 更新:生产Web服务器正在运行IIS7。
我们目前正在处理但不保存信用卡数据。 我们使用authorize.net API通过自行开发的应用程序授权这些卡。 如果可能,我们希望将影响我们的服务器的所有PCI要求(例如安装反病毒)限制在一个单独的独立环境中。 在遵守合规的情况下,可以做到吗? 如果是这样,什么构成足够的隔离? 如果不是的话,是否有某个地方明确界定了范围?
我很好奇。 我一直在阅读我们的互联网服务提供商和互联网中间人如何logging和跟踪所有的DNS请求,基本上在许多日志中留下痕迹痕迹,还允许DNS劫持出于广告目的(我在看你Cox通信! 无论其他隐私/安全方法如何,我都想知道是否可以在自己的本地networking上运行DNS服务器,实际上它具有根DNS服务器的区域信息(对于.com,.net ,. org)域。 我知道你可以设置DNS,基本上只是映射你的域的机器,但基本上可以请求复制/传输根DNS信息存储在你自己的DNS服务器,所以你可以绕过去互联网的DNS信息在所有的网页浏览? 我希望我清楚。 我不希望我的DNS服务器只有我的内部networking的信息 – 我希望它有大型互联网DNS服务器有重复的信息,但我想在我的DNS服务器上的本地信息。 有没有像BGP区域传输,但DNS? 更新:是否有任何产品/ OSS软件可以基本上从外部DNS链中大量“抓取”这些信息到本地caching中,以便在需要时准备好,而不是在您明确请求域logging时caching它们?
我有一个启用了远程login的Mac OS X机器(Mac mini运行10.5)。 我想打开到Internet的sshd端口,以便能够远程login。 出于安全原因,我想禁用使用密码的远程login,只允许具有有效公钥的用户login。 什么是在Mac OS X中设置的最好方法?
我需要确定一个特定的文件是否在最后的2天内被访问。 这在Windows Server 2008 R2上可能吗?