我读了关于针对TLS压缩的CRIME攻击( CVE-2012-4929 ,CRIME是针对ssl&tls的BEAST攻击的后继者),并且我想通过禁用SSL压缩来保护我的web服务器免受这种攻击2.2.22(见错误53219 )。 我正在运行httpd-2.2.15的Scientific Linux 6.3。 httpd 2.2上游版本的安全修复应该被反向移植到这个版本。 # rpm -q httpd httpd-2.2.15-15.sl6.1.x86_64 # httpd -V Server version: Apache/2.2.15 (Unix) Server built: Feb 14 2012 09:47:14 Server's Module Magic Number: 20051115:24 Server loaded: APR 1.3.9, APR-Util 1.3.9 Compiled using: APR 1.3.9, APR-Util 1.3.9 我在configuration中closures了SSLCompression ,但是导致了以下错误信息: # /etc/init.d/httpd restart Stopping httpd: [ OK ] Starting […]
我正在创build一个类似于域pipe理员的帐户,但没有访问域控制器。 换句话说,该帐户将具有对域中的任何客户端计算机的完全pipe理员权限,能够将计算机添加到域,但只具有有限的服务器用户权限。 这个帐号将被一个人用在最终用户技术支持类angular色中。 他们应该可以完全访问客户机来安装驱动程序,应用程序等等,但我不希望他们在服务器上。 虽然我可以通过政策把自己的东西扔在一起,但是这可能会很麻烦,所以我想我应该问一下:有什么合适的方法可以解决这个问题?
为了讨论,假装我有一个Apache web服务器,它在www.example.org上提供一个网站。 此域名parsing为公共IP地址192.168.1.100(假设这是一个公共IP)。 讨论有什么我可以做的关于谁指出了我的IP地址的人? 表明任何人都可以将自己的域名指向我的IP。 Apache默认情况下不会阻止这个,但pipe理员可以通过使用黑名单一次处理这些。 然而,骗子注册数十个域名(或更多)用于骗局正变得越来越普遍。 我担心以下可能的攻击: 骗子注册了数百个域名,并将其指向我的专用IP地址。 骗子指导search引擎在他们的骗局域名,从而利用我的内容来提高他们在search引擎中的地位。 后来,这个骗子将域名移动到指向他们自己的服务器,这些服务器主办了一个骗局/色情片,或者竞争性的业务等,从而获得了他们在search引擎中的地位。 其中一些域也可能用于评论垃圾邮件 。 利润!! 我相信我曾经看过骗子使用这个技巧,涉及到几十个领域。 当时我们并没有意识到这个骗局的含义,并认为这些是错误configuration的域名。 有没有这个恶意的SEO技巧的术语? SEO伪装? DNS转移? 我怎样才能防止使用Apache? 我正在考虑基于使用默认的VirtualHosts , ServerNames & ServerAliases的“白名单”修复,以便Apache只响应这些白名单ServerName出现在“ Host: ”标题中的请求。 其他一切都会被拒绝(或redirect到一个特定的页面)。 但是,我不确定这是否是最好的方法。 例如,我已经configuration域http://thisisnotserverfault.stefanco.com/指向IP为Serverfault.com。 你可以在这里看到结果: http : //thisisnotserverfault.stefanco.com/ 。
这可能不是一个发展问题,但实质上是这样。 让我解释一下。 我们主要的发展重点是dynamic内容页面。 我们的一些客户要求我们在我们的服务器(他们支付的)中为他们的旧静态内容提供空间。 我们使用通过给客户一个ftp帐户到不同的域来实现这一点。 (例如,客户域是customer.com,但他们通过otherdomain.com/customerstatic访问其静态内容)。 现在我们想要增加客户在他们的linux服务器上的sftp账户的安全性。 我在他们的shell环境中使用openssh / sftp-server,所以他们无法login或执行命令。 问题是从本质上来说,许多文件系统文件是默认的(drwxr-xr-x),这意味着任何用户将能够读取目录的内容以及可能的一些文件。 我不认为将整个文件系统更改为-rwxr-x-x是一个明智之举,因为我不知道有多less系统文件需要该读取权限。 过去有人遇到这个问题。 如果你有,你可以开导一下吗? 谢谢
第三方安全专业人员build议我们在Web服务器(全部在DMZ中托pipe)之前运行反向代理,作为最佳实践安全措施。 我知道这是一个典型的推荐架构,因为它在Web应用程序前面提供了另一种安全级别来防止黑客入侵。 但是,由于反向代理正在用户和内部Web服务器之间来回穿梭HTTP,所以它不会提供任何防止对Web服务器本身进行黑客攻击的措施。 换句话说,如果您的Web应用程序存在安全漏洞,则代理不会提供任何有意义的安全性。 考虑到Web应用程序攻击的风险远高于对代理的攻击风险,中间是否增加了一个额外的框,是否真的获得了很多? 我们不会使用反向代理的任何cachingfunction – 只是一个愚蠢的工具来回穿梭数据包。 还有什么我在这里失踪? 有反向代理HTTP数据包检查得到如此好,它可以检测到有意义的攻击没有主要的性能瓶颈,或者这只是安全剧场的另一个例子? 反向代理是MS ISA fwiw。
在解决networking性能问题的同时,我在各种网站上运行traceroute 。 以下网站反复不能完成traceroute : yahoo.com amazon.com ebay.com 问题 这些网站是否保护其networking,使traceroute无法完成? 我认为这是基于这些网站的networking,与我们的networking性能问题无关。 这是一个安全的假设吗? 示例Traceroute for ebay.com $ traceroute ebay.com traceroute: Warning: ebay.com has multiple addresses; using 66.135.205.13 traceroute to ebay.com (66.135.205.13), 64 hops max, 52 byte packets 1 10.10.100.1 (10.10.100.1) 56.518 ms 2.390 ms 2.082 ms 2 mo-69-34-118-1.sta.embarqhsd.net (69.34.118.1) 9.943 ms 10.007 ms 10.177 ms 3 mo-69-68-209-249.dyn.embarqhsd.net […]
刚刚收到供应商的电子邮件,通知我们他们会迫使我们每六个月更换一次密码,我很想看看人们使用的密码过期策略以及为什么使用密码。
问题: 如果一个虚拟机被破坏(被黑),我在同一个物理机器上运行的其他虚拟机有什么风险? 在同一台物理主机上运行的虚拟机之间有什么样的安全问题? 是否有(可以制定)这些(潜在的)弱点和/或问题的清单? 警告: 我知道很多虚拟化types/解决scheme存在,并可能有不同的弱点。 不过,我主要是在寻找关于虚拟化技术的一般安全问题,而不是一个特定的供应商错误。 请提供真实的事实,(严肃的)研究,有经验的问题或技术解释。 请明确点。 不要(只)发表你的意见。 例子: 两年前,我听说可能存在与MMU相关的安全问题(我认为是访问其他机器的主内存),但我不知道这是目前的实际威胁,还是只是一个理论研究学科。 编辑:我也发现这个“刷新+重新加载”攻击能够通过利用L3 CPUcaching,即使GnuPG在另一个虚拟机上运行,在同一台物理机器上检索GnuPG密钥。 GnuPG已经修补。
查看我的404日志,我注意到以下两个URL,这两个URL都发生过一次: /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ 和 /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00 有问题的页面library.php需要一个具有六种不同可接受值的typevariables,然后是一个idvariables。 所以一个有效的URL可能是 library.php?type=Circle-K&id=Strange-Things-Are-Afoot 在用来查询数据库之前,所有的id都是通过mysql_real_escape_string运行的。 我是菜鸟,但在我看来,这两个链接都是对webroot的简单攻击? 1)除了404之外,如何最好地保护这些东西? 2)我应该对知识产权负责吗? 编辑:也只是注意到这一个 /library.php=http://www.basfalt.no/scripts/danger.txt 编辑2:所有3次攻击的侵犯性IP是216.97.231.15 ,这跟踪一个位于洛杉矶外面的名为Lunar Pages的ISP。 编辑3:我决定在当地时间星期五上午打电话给ISP,并与谁可以打电话讨论这个问题。 我会在24小时内发布结果。 编辑4:我最终给他们的pipe理员发了电子邮件,他们首先回应说“他们正在调查”,然后一天后“这个问题现在应该得到解决”。 没有进一步的细节,可悲的是。
我正在寻找安全地通过互联网发送密码的最佳方式。 我看过的选项是PGP和encryption的RAR文件。 除了通过互联网从a点到b点,没有太多的风险,没有任何真正的参数。