我们正在尝试满足无线分析仪的PCI合规性要求,该无线分析器可检测内部LAN上是否存在非法AP。 问题: 是否有一类设备可以完成这个要求? 这样的设备如何确定附近的AP(例如从当地的咖啡店)与实际上从公司LAN上的硬线路获得互联网/networking访问的AP之间的区别(USB AP被连接到工作站,AP被插入到办公室的墙上sockets等) 我们的AP是DLink DWL-3200AP,它内置了一个“无线分析器”,但是它似乎不能做比WiFi卡更多的function,因为它只是检测每一个广播它的SSID的AP附近,无论该AP是否连接到我们的LAN 编辑:我们在一个Windows环境… 任何帮助将非常感激…
我有一个服务器与HVM运行xen,并希望使一个VM PCI兼容。 我已经阅读了PCI虚拟化指南,并且说我需要确保虚拟机之间没有信息泄漏。 我怎样才能确保每个操作系统无法拦截其他DomU的数据?
对于我在数据中心pipe理的某些服务器,我正在寻找符合PCI-DSS第11.5节的选项。 有几台服务器(less于20台),大部分是CentOS5,但是有一些RHEL4和Solaris9 Sparc。 我相信Tripwire,Inc.是这个领域的领导者,但是我正在寻找额外的select,包括商业和FOSS。 请包括您使用您推荐的软件的经验理由。
我们被要求符合PCI-DSS标准,因此我们可以通过我们的网站和办公室处理客户付款。 我们的networking由单台SBS 2008服务器和10台工作站组成,全部连接到Dell交换机上的单个局域网。 互联网路由器是一个DrayTek 2820n。 我们现有的networking设置是否需要做任何事情使其符合PCI-DSS标准?
我有一个完全补丁的CentOS 5.5服务器,Trustwave PCI符合性扫描失败。 它抱怨的项目是openssl <0.9.8.o. rpm -q openssl显示:openssl-0.9.8e-12.el5_5.7 apache header banner显示:Server:Apache / 1.3.41(Unix)PHP / 5.2.14 mod_psoft_traffic / 0.2 mod_ssl / 2.8.31 OpenSSL / 0.9.8b mod_macro / 1.1.2 (注意:apache横幅甚至没有显示安装的版本) openssh和php也有类似的情况(报告的版本低于PCI合规性的最低要求)。 我是否需要从源代码构build所有这些库以获取最新版本的库? 还是有办法告诉CentOS yum安装新版本,而不是他们的后端端口补丁版本? 如果可能的话,我宁愿不去百胜,以便将来的维护工作得到简化
我们的办公室里有一个小型的“安全networking”。 而小我的意思是这是一个Windows 7电脑连接到防火墙连接到互联网连接。 它用于处理符合PCI DSS的卡交易。 PCI DSS的要求之一是安全networking中的任何计算机都会定期进行修补并保持最新状态。 另一个是防火墙必须被locking,只允许出站连接到授权的服务器。 防火墙仅通过IP地址实现出站exception。 由此我们可以推导出事实: 服务器必须与修补程序保持同步 必须允许服务器连接到Windows Update 防火墙只能允许它通过IP来做到这一点 Windows Update似乎没有一致的IP范围 Win 7框没有Small Business Server 因此,该框不会运行WSUS 是否真的没有办法让我们可以接受更新? 还是有什么我们失踪?
有谁知道为什么我不能禁用tls 1.0和tls1.1通过更新configuration为此。 SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 这样做后,我重新加载apache我使用ssllabs或comodo ssl工具进行ssl扫描,它仍然说tls 1.1和1.0支持。 我想删除这些?
现在,我们有一个服务器机架。 现在每个服务器至less有2个IP地址,一个用于公共接口,另一个用于私人。 拥有SSL网站的服务器拥有更多的IP地址。 我们也有类似configuration的虚拟服务器。 专用networking 专用范围当前仅用于备份和监控。 它是一个千兆端口,接口使用率通常不会很高。 还有其他技术我们正在考虑使用,将使用此端口: iSCSI(实现通常build议专用一个接口,这将是另一个IPnetworking), VPN访问私有范围(我宁愿避免) 专用数据库服务器 LDAP 集中configuration(如木偶) 集中logging 我们的DNSlogging中没有私人地址(只有公开地址)。 对于我们的服务器使用正确的IP地址为正确的接口(而不是硬编码的IP地址)可能需要build立一个私人的DNS服务器(所以现在我们添加2个不同的DNS条目到2个不同的系统)。 公共networking 我们的公共范围有各种各样的服务,包括networking,电子邮件和FTP。 我们的networking和“公共”networking之间有一个硬件防火墙。 我们有一个(比较安全的)方法来指示防火墙打开和closures我们当前IP地址的pipe理访问(web界面,ssh等)。 在讨论的任一解决scheme中,基于主机的防火墙也将被configuration。 公共networking当前运行在专用的20Mbps链路上。 有几个具有快速以太网端口的传统服务器,但他们计划退役。 所有其他生产箱至less有2个千兆以太网端口。 stream量较大的服务器有4-6个可用(目前没有超过2个千兆端口)。 IPv6的 我想从我们的ISP得到一个IPv6前缀。 所以至less每个“服务器”至less有一个IPv6接口。 我们仍然需要保留IPv4收件人,并可用于旧版客户端(至less是networking服务器和电子邮件)。 我们现在有两个IPnetworking。 添加公共IPv6地址将使它三。 只使用IPv6? 我正在考虑倾销私有IPv4范围,并将IPv6范围作为所有通信的主要手段。 如果一个接口开始达到其容量,则利用新的空闲接口创build一个中继。 它的优点是,如果公共或私人stream量需要超过1Gbps。 每个接口的stream量已经被定期分析以预测未来的带宽使用情况。 在极less数情况下,带宽意外峰值:利用QoS来确保stream量(如我们有限的SSH访问)正确地优先化,这样可以纠正问题(如果可能的话,我们的WAN现在是瓶颈)。 它还具有不需要为每个私人地址input条目的优点。 我们可能有私人的DNS(或者仅仅是LDAP),但是它的范围要小得多,而且要复制的条目要less一些。 概要 我试图使这个networking尽可能“简单”。 同时,我想确保它的可靠性,可升级性,可扩展性和(最终)冗余性。 拥有一个IPv6networking和传统的IPv4networking似乎是我的最佳解决scheme。 关于为两个networking使用分配的IPv6地址,在一个networking上共享可用带宽(如果需要,还可以使用更多的中继): 是否有技术上的缺点(限制,缓冲区,可扩展性)? 除了上面提到的防火墙,还有其他的安全考虑吗? 是否有规定或其他安全要求(如PCI-DSS),这不符合? 有没有典型的软件来build立一个没有IPv6支持的Linuxnetworking? (伐木,ldap,木偶) 还有一些我没有考虑的事情?
这是Ubuntu 14.04和Centos 7。 我需要限制以root身份运行的用户数量。 即在CLI上以root身份login。 基本上,我一次只需要一个用户就可以以root身份运行命令。 这里的目的是审计。 我研究了/etc/security/limits.conf中的设置限制,但是pam_limits.so模块似乎只会影响login。 或者loginshell。 不确定。 但是,无论具体情况如何,它确实可以防止用户多次通过SSH连接到一个盒子,但不会阻止多个用户通过“sudo su”成为root用户。 因此,设置limits.conf仍然可以允许多个用户同时以root身份login。 这里是limits.conf行我试图限制这个: root hard maxlogins 1 接下来,我尝试限制@admins组中的用户。 我认为,这些用户是唯一允许sudo su的用户(根据我们拥有的自定义sudo规则)。 @admins hard maxlogins 1 这似乎做我想要的,但似乎笨重/错误。 称之为一种直觉 – 我并不完全明白这个问题。 最后,“为什么?” 为什么我有这个要求? 我们正试图实施控制措施,以满足PCI-DSS 3.1要求8.5“不要使用组,共享或通用的ID,密码或其他身份validation方法” – 强调“共享”。 在Windows环境中,您只需向用户授予执行任何操作的权限,而且没有人共享主pipe理员帐户。 Linux环境的devise使得对于某些情况,你真的想以root身份login。 在Linux环境中必须有PCI兼容的方式来解决这个问题。
TrustWave在扫描CentOS的时候已经变得更好了 – 当我提出争议的时候,我现在至less可以select“我有后端软件”。 但是他们每个月都要花费数小时的精力指向和点击他们的网站,他们仍然提供了极好的工作保障。 现在我的问题。 CVE-2016-10009还没有被RHEL人修补 ,CentOS也没有直接的修复方法 。 在TrustWave对我最初的争议的回应中有这样一个提示: 由于这一发现影响PCI DSS合规性,因此需要确认已经以某种方式解决。 扫描报告中列出的要求是升级系统或使用所提到的补偿控制(例如从不加载可信白名单外的path(运行时可configuration)的PKCS#11模块)。 最新的OpenSSH补丁修复了OpenSSH 7.3,我不清楚这个漏洞是否会被解决。 所提到的“补偿控制” – 只允许列入白名单的模块 – 正是7.4中的修复,所以这没有什么帮助,扫描报告没有列出任何内容。 因此,我正在寻找能满足扫描仪的configuration更改,但是我找不到。 这是一个体面的解释这个问题。 有什么我可以做的吗? 禁用PKCS#11?