我们有一台服务器XXX在亚马逊EC2上。 SSH在标准(22)端口上运行。 我把我的pubkey放在/.ssh/authorized_keys文件中 有趣的是,这是昨天工作很好! 但今天,我不知道发生了什么事! 我只是无法login。 ssh -vvvv服务器名称 被卡住了 debug1:期待SSH2_MSG_KEX_DH_GEX_REPLY 我检查了我的公钥,它在那里! (我怎么检查?我问其他人检查) 然后我用另一台电脑(Windows 7 +腻子),并把我的新公钥。 和什么? 我能够login! 而这是与Win7的另一台计算机是在同一个局域网,表明外部IP是相同的。 我的私钥适用于其他服务器,但不适用于此。 这东西是杀了我))))) 绝对奇怪。 请帮忙!
我想知道有多less浏览器在向我们的networking服务器发送HTTP请求时会拒绝我们的SSL证书。 我们正在使用一个免费的CA,现在似乎已经被大多数现代浏览器所认可,但是我希望获得一些数字,而不是详尽地testing浏览器和操作系统的组合。 我知道浏览器在证书validation失败时会终止连接,那么Apache有没有办法检测到这个? 我不希望得到具体的诊断信息 – 只是有证书/ SSL问题就足够了。
任何人都可以给出一个SELinux保存安全培根的真实例子吗? (或者AppArmour如果你愿意的话)。 如果不是你自己的,指向一个有可信经验的人? 不是一个实验室testing,不是一个白皮书,不是一个最佳实践,不是一个CERT咨询,而是一个真实的例子,就像audit2why显示一个真正的黑客攻击的尝试已经停止了。 (如果你没有例子,请留下评论而不是答案。) 谢谢!
通过MySQL上的search引擎search互联网和fail2ban在将你的fail2ban日志放入MySQL中产生了很多结果,但是我想监视失败的MySQL尝试login和禁止这些IP。 我的应用程序要求我保持打开MySQL的端口,但为了增加安全性,我已经更改了默认端口。 为了提高安全性,我想用fail2ban监视MySQL日志。 有没有人有一个快速指南来configurationMySQL的fail2ban? 我已经安装了一些其他服务,并且可以使用其他服务,所以您可以跳过安装部分,然后直接跳到configurationconfiguration文件或其他任何必需的configuration文件。
我有一台运行Debian 6.0的服务器,安装了logcheck。 昨天,我收到了这个消息: Jan 19 19:15:10 hostname sshd[28397]: Authentication tried for root with correct key but not from a permitted host (host=4.red-2-140-77.dynamicip.rima-tde.net, ip=2.140.77.4). 我不知道这是谁,我怀疑他是否在意外。 现在,我该怎么办? 我做的第一件事是禁用SSH密码authentication,并切换到公共/私人密钥。 我也检查authorized_keys文件,只看到我的公钥 接下来是什么? 我怎么知道其他人在我的机器上做了什么?
当一个服务器被植根时( 比如像这样的情况 ),你可能决定要做的第一件事就是遏制 。 一些安全专家build议不要立即input补救措施,并保持服务器联机,直到取证完成。 这些build议通常是针对APT的 。 如果偶尔发生脚本小孩违规,这是不一样的,所以你可能会决定早日修复(修复)。 修复中的一个步骤就是控制服务器。 引用罗伯特·莫尔的答案 – “将受害者与劫持者分开”。 通过拉动网线或电源线可以容纳服务器。 哪种方法更好? 考虑到需要: 保护受害者免受进一步损害 执行成功的取证 (可能)保护服务器上的重要数据 编辑:5个假设 假设: 您早期发现:24小时。 你想早日恢复:1天系统pipe理员3天(取证和恢复)。 服务器不是能够拍摄服务器内存内容的快照的虚拟机或容器。 你决定不尝试起诉。 您怀疑攻击者可能正在使用某种forms的软件(可能是复杂的),并且该软件仍在服务器上运行。
TrustWave的漏洞扫描程序由于运行RDP的Windows 10计算机而导致扫描失败: 块大小为64位的分组密码algorithm(如DES和3DES)生日攻击称为Sweet32(CVE-2016-2183) 注:在运行RDP(远程桌面协议)的Windows 7/10系统上,应禁用的易受攻击的密码标记为“TLS_RSA_WITH_3DES_EDE_CBC_SHA”。 使用IIS Crypto(Nartac),我尝试应用“最佳实践”模板以及PCI 3.1模板,但是它们都包含不安全的密码(TLS_RSA_WITH_3DES_EDE_CBC_SHA): 如果我禁用此密码,从这台计算机到许多Windows站点的RDP停止工作(它仍然适用于某些2008 R2和2012 R2服务器)。 RDP客户端只是提供“发生内部错误”和事件日志: 创buildTLS客户端凭据时发生致命错误。 内部错误状态是10013。 我检查了其中一台服务器的服务器事件日志,看到这两条消息 从远程客户端应用程序收到TLS 1.2连接请求,但服务器不支持客户端应用程序支持的任何密码套件。 SSL连接请求失败。 生成以下致命警报:40.内部错误状态是1205。 如何修复安全漏洞而不打破传出的RDP? 或者,如果上述不可能, 那么在每个RDP主机上我能做些什么,我不能再连接到那个处理它呢? — 更新#1 — 在Windows 10机器上禁用TLS_RSA_WITH_3DES_EDE_CBC_SHA后,我尝试连接到几个RDP主机(其中一半失败,出现“内部错误…”)。 所以我比较了一个我可以连接的主机和一个我无法连接的主机。 都是2008 R2。 两者都有相同的RDP版本(支持6.3.9600,RDP协议8.1)。 我通过使用IIS Crypto来对TLS协议和密码进行比较,以对其当前设置执行“保存模板”,以便可以比较模板文件。 他们是相同的! 所以无论这个问题是不是在主机上缺less一个芯片组套件的问题。 这是一个来自Beyond Compare的文件的屏幕截图: 导致此问题的两台RDP主机之间有什么不同,以及如何解决这个问题?
在路由器后面运行(X)Ubuntu 10.04.2 LTS。 我刚刚在该机器上收到了来自我的根帐户的电子邮件,主题如下: *** SECURITY information for <hostname> : 消息正文包含此警告: <hostname> : jun 1 22:15:17 : <username> : 3 incorrect password attempts ; TTY=unknown ; PWD=/ ; USER=root ; COMMAND=/bin/sh /tmp/tmpPHBmTO 我可以看到没有/tmp/tmpPHBmTO文件,虽然有一个名为/tmp/tmpwoSrWW的文件,其时间戳约会于2011-06-01 22:14,所以就在提到的date/时间之前。 这是一个二进制文件,内容对我来说看起来并不熟悉。 另外,该文件只有-rw——-权限。 在我阅读的时候,这意味着有人(或者某个人)已经(有)访问我的机器。 显然不是root访问(还),但仍然足以将文件写入我的/tmp目录。 是否有人指点我可以在哪里寻找更多的信息:谁可以做到这一点,以及他们如何做到这一点? 我的路由器被configuration为允许访问SSH,HTTP(nginx作为其他服务之一的反向代理),SMTP,POP(后缀)和IMAP(dovecot)以及端口51413(传输)的转发stream量。
我们是RHEL,Solaris,Windows 2003和Windows 2008服务器混合使用的一个相对较小的商店(就系统pipe理员而言) 总共约200台服务器。 对于我们的pipe理员帐户(Linux中的root和Windows中的admnistrator ),我们有一个密码scheme,取决于数据中心位置和服务器的其他一些logging的属性。 在Linux上,我们目前的做法是创build一个共享的非特权帐户,我们可以findroot 。 在基于Windows的系统上,我们创build了具有pipe理员权限的其他帐户。 这两个帐户共享相同的密码。 这被certificate是非常低效的。 当有人离开我们的商店时,我们必须: 更改pipe理员帐户的密码scheme 为每个服务器生成一个新的pipe理员密码 拿出一个新的非pipe理员帐户密码 触摸每个服务器并更改密码 我想知道是否有人在类似的环境可以build议一个更健全的方式来pipe理这些凭据。 一些相关信息: 尽pipe我们的大部分服务器都是我们AD域的一部分,但并不是全部。 我们用Puppetpipe理我们所有的Linux服务器(密钥authentication是我想到的一个选项,但是它只会解决上面提到的#3问题)。 我们用Cobbler提供Linux服务器。 我们约有10%的硬件专用于VMWare。 在这些情况下,我们使用VMWare模板来构build服务器。 任何想法或build议将不胜感激。 这个问题已经持续了一段时间,我终于想解决这个问题。
最近我发现了一个反对在Linux中禁用root用户login的论据,url是http://archives.neohapsis.com/archives/openbsd/2005-03/2878.html 我假设,如果每个人都使用公钥authentication,那么丢失root密码就没有风险。 禁用通过ssh的rootlogin总是更好吗?