我正在想办法保护暴露于物理访问的Linux服务器。 我的具体平台是PC Engines品牌alix2d13主板上的小型Linux服务器。 小尺寸会带来攻击者从场所移走的额外风险。 假设有物理访问服务器: 1)ROOT-PASSWORD:你连接一个控制台电缆到服务器,你会得到一个提示input密码。 如果您不知道密码,则可以在单用户模式下重启机器并重置密码。 Voilà,你可以访问root。 为了确保上述安全,在GRUB菜单上插入一个密码,所以当服务器重新启动以进入单用户模式时,您必须提供GRUB密码。 2)GRUB_PASSWORD。 如果closures机器,请将硬盘驱动器卸下,然后将其安装在另一个工作站上,您将可以浏览包含grub.cfg文件的/boot目录,在其中可findGRUB密码。 您可以更改GRUB密码或将其删除。 显然,当我们谈论大型生产机器时,很可能不会有任何物理访问,除此之外,即使有人访问服务器,也不会closures服务器。 什么是可能的解决scheme,以防止在物理上容易窃取的服务器上的数据窃取? 我看到它的方式,可以获得对包含数据的一种或另一种访问。
我希望每一个键入命令到一个日志服务器。 已经configuration了syslog-ng将所有日志发送到日志服务器。 我感兴趣的任何和所有的方法来做到这一点。 我会期待一些关于stream氓用户和安全性的讨论,但是第一个主要目标是简单地获取会话logging。 所有会话都通过ssh,但是也应该logging控制台连接命令。 我希望这发生的任何壳,但主要的是bash。 (再次,我知道一个stream氓用户可以创build自己的shell …)
是偏执被认为是一个(不言而喻)的“要求”的系统/网pipe理员有(显然是出于安全原因)? 有没有过分偏执的事情,或者我们应该信任别人,而不是通过精神分裂的护目镜来完全的提问? 在安全方面,这个特点有没有“中间地带”? (基本上,我问的是, 你会雇用谁?) 更新:我没想到人们对“PARANOIA”这个词太强调了 。 请不要太多地关注它,我可以用另一个词,但是偏执狂是我们通常用于安全的一个词。 我听到一群IT人士“太偏执”,“需要更加偏执狂”。 替代文字http://locobox.googlepages.com/eye3.gif
破解其他人拥有的真实系统是否合乎道德? 不是为了盈利,而是为了testing您的安全知识并学习新的东西。 我只讲黑客攻击,对系统没有任何损害,只是certificate有一些安全漏洞。
如何在Linux(Debian)服务器上为shadowed密码和PHP启用crypt_blowfish支持? 我指的是OpenBSD风格的基于Blowfish的bcrypt ,在PHP中称为CRYPT_BLOWFISH。 据我所知,没有Debian软件包,我还有什么其他的选项来启用这个哈希algorithm的PHP? 注意: PHP的crypt()函数可以直接与底层操作系统提供的C库crypt(3)函数接口。 更新 软件包命名不如其可能(应该)那样清楚。 PEAR Crypt_Blowfish包是PHP的MCrypt扩展的替代品,允许快速的双向 blowfishencryption。 Debian BCrypt软件包也是“普通”双向河豚algorithm的实现。 我在找的是散列密码的Bcrypt-hash实现。
我可能在这里做梦, 但是有没有一种可靠的键盘logging软件检测方法? 我主要是一名开发人员,但是我运行了一些服务器,最让我担心的是我个人系统上的软件键盘logging程序,它能够保持安静。 有没有什么办法可以确保在我的个人系统上没有软件键盘logging器来窃取我所有的RDP密码?
任何人都可以推荐一个免费和简单的Windows或Linux的OCSP服务器?
我有一个小问题,我想(需要)以令人满意的方式解决。 我的公司有多个(IPv4)networking,由我们的路由器控制在中间。 典型的小店铺设置。 现在有一个额外的networking,在我们的控制范围之外有一个IP范围,通过另一个路由器连接到互联网。 将其称为另一个公司networking的一部分的项目networking,并通过他们设置的VPN进行组合。 意即: 他们控制用于这个networking的路由器 他们可以重新configuration,以便他们可以访问这个networking中的机器。 networking通过一些具有VLANfunction的交换机在物理上分开,因为它覆盖三个位置。 一端是另一个公司控制的路由器。 我需要/希望把在这个networking访问我的公司networking使用的机器。 事实上,把它们作为我的活动目录域的一部分可能是件好事。 在这些机器上工作的人是我公司的一部分。 但是 – 我需要这样做,而不会影响我公司networking的安全。 任何使用外部控制路由器的路由器集成都是出于这个想法 所以,我的想法是这样的: 我们接受IPv4地址空间,networking中的networking拓扑不受我们控制。 我们寻求替代品将这些机器整合到我们的公司networking中。 我提出的两个概念是: 使用某种VPN – 让机器login到VPN。 感谢他们使用现代窗口,这可能是透明的DirectAccess。 这基本上对待其他IP空间没有不同于公司的一台笔记本电脑进入任何餐厅networking。 另外 – build立IPv6路由到这个以太网段。 但是 – 这是一个技巧 – 在交换机到达第三方控制的路由器之前,阻止交换机中的所有IPv6数据包,这样即使他们打开IPv6(现在不使用,但他们可以这样做),他们也不会一个包。 交换机可以很好地做到这一点,通过拉动到该端口的所有IPv6stream量到一个单独的VLAN(基于以太网协议types)。 任何人看到使用他切换到隔离外部IPv6的问题? 任何安全漏洞? 很遗憾,我们必须把这个networking视为敌对的 – 会容易得多 – 但是那里的支持人员是“可疑的质量”,法律方面是明确的 – 当我们融入公司时,我们不能履行我们的义务而他们在一个司法pipe辖区,我们没有发言权。
我被要求了解用户在上个星期何时login系统。 现在,Windows中的审计日志应该包含我需要的所有信息。 我想,如果我search与特定的AD用户和logintypes2(交互式login)的事件ID 4624(login成功),它应该给我的信息,我需要,但对于我的生活我无法弄清楚如何实际过滤事件日志来获取这个信息。 是否可以在事件查看器内,或者你是否需要使用外部工具来parsing它到这个级别? 我发现http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html这似乎是我所需要的一部分。 我修改了一下,只给了我最后7天的时间。 下面是我试过的XML。 <QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 604800000]]]</Select> <Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select> <Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select> </Query> </QueryList> 它只给了我最后7天,但其余的没有工作。 任何人都可以帮助我吗? 编辑 幸运卢克的build议,我一直在进步。 下面是我目前的查询,但我将解释它不返回任何结果。 <QueryList> <Query Id="0" Path="Security"> <Select Path="Security"> *[System[(EventID='4624')] and System[TimeCreated[timediff(@SystemTime) <= 604800000]] and EventData[Data[@Name='TargetUserName']='john.doe'] and EventData[Data[@Name='LogonType']='2'] ] </Select> </Query> </QueryList> 正如我所提到的,它没有返回任何结果,所以我一直在搞这个。 我可以得到它正确地产生结果,直到我在LogonType行中添加。 之后,它不会返回结果。 任何想法,为什么这可能是? 编辑2 我更新LogonType行到以下内容: […]
我的Oracle DBA同事正在我们的生产服务器上请求root访问权限。 他争辩说,他需要它执行一些操作,如重新启动服务器和一些其他任务。 我不同意他,因为我已经为他设置了Oracle用户/组和Oracle用户所属的dba组。 一切运行顺利,没有DBA目前的root权限。 我也认为所有的pipe理任务,例如定时服务器重启,都需要由适当的pipe理员(我们的系统pipe理员)来完成,以避免任何与基础架构交互的误解相关的问题。 我希望从系统pipe理员和Oracle数据库pipe理员那里得到input – Oracle数据库pipe理员在生产环境中拥有超级用户权限是否有很好的理由? 如果我的同事确实需要这个级别的访问权限,我会提供,但由于安全性和系统完整性问题,我很害怕这样做。 我不是在寻找利弊,而是对我应该如何处理这种情况提出build议。