我需要在AWS实例上部署一些文件完整性监控和入侵检测软件。 我真的很想使用OSSEC,但是在服务器可以自动部署和closures负载的环境下,它不能正常工作,因为它需要生成服务器托pipe密钥。 包括代理人在AMI中不会允许监视,因为这一点。 这里有很多选项,其中一些列在本网站的其他文章中,但是到目前为止我没有见过这些文章,这些文章都涉及到AWS或基于云的部署中固有的独特问题。 任何人都可以指向我的某些产品,最好是开源的,我们可能会用它来涵盖那些需要此软件的PCI DSS部分? 有没有其他人在AWS上实现了这一点?
什么是IIS的最佳Web应用程序防火墙(WAF)? 是什么让它比别人更好? 它是如何有用的阻止攻击写不好的代码,否则被称为入侵防御系统(IPS)? PCI-DSS需要WAF,所以如果我必须得到一个,那么它应该是最好的。
我正在尝试理解PCI DSS合规性以及与SSL / TLS密码套件有关的FIPS合规性所需的内容。 我一直在阅读这里和这里的指南。 但是,我还没有find任何说明我应该列出密码的顺序或优先级的东西。我可以看到哪些是我需要使用和禁用的,但是我认为应该优先考虑它们好。 这主要是针对Windows服务器的,后来我会考虑对运行Apache的Linux服务器执行相同的操作。
我们运行Ubuntu Lucid 10.0.4作为我们的LAMP环境的基础。 我们正试图成为PCI兼容,以便我们可以通过我们的服务器传递CC信息。 我们在我们的服务器上运行了一些第三方扫描,以开始authentication过程,并且遇到了有关PHP 5版本和Apache版本的错误。 我们的官方清理存储库中托pipe的最新PHP版本大约比PCI合规性要求的低10个版本。 我们如何进行升级以保持PCI符合性要求的最新状态? 我们需要从PHP 5.3.2到PHP 5.3.15 以及达到Apache 2.2.23 我已经search了很多答案,并没有提出一个现实的答案。 有些人build议手动编译 – 这听起来像一场噩梦,而其他人则推荐PPA–这听起来不安全。 我们应该做什么?
PCI-DSS 3.0要求8.1.8规定:“如果一个会话空闲超过15分钟,要求用户重新authentication以重新激活terminal或会话。 同样在PCI-DSS 2.0要求8.5.15。 处理在bash提示符下空闲的ssh会话的第一个也是最明显的方法是强制执行一个只读的全局$TMOUT 900.不幸的是,这只包含了坐在bash提示符下的会话。 PCI规范的精神还需要杀死运行top / vim / etc的会话。 我曾经考虑过编写一个* / 1的cron作业来分析“/ usr / bin / w”的输出,并杀死关联的shell,但这似乎是一个钝器。 任何想法,将实际上做规范要求,只是lockingterminal? 我已经看vlock , 他们都似乎很好的自愿locking您的terminal,但我需要一个cron /守护进程的任务,将强制locking。
我已经就信息安全问题提出过这个问题,但到目前为止还没有得到任何意见。 我想也许这是更多的服务器基础设施和configuration问题,而不是本身的安全问题。 所以我会尽量简短一点: 我们符合PCI-DSS 2.0标准。 PCI-DSS具有范围内和范围外的系统/stream程/数据/基础设施等概念。在PCI-DSS审计过程中,范围内正在审查中,超出范围被认为是不可信的,且防火墙网段应该分开两个范围。 因此,如果您尝试将范围内和范围之外的系统混合在一起,那么在这个虚拟环境中,PCI-DSS委员会发布了关于混合范围的准则。 他们指出: 同一主机上的范围内和范围外系统所需的分割级别必须等同于物理世界中可实现的隔离级别; 也就是说,分段必须确保超出范围的工作负载或组件不能用于访问范围内的组件。 与单独的物理系统不同,单独的基于networking的分段无法在范围内与虚拟环境中的范围外组件隔离。 因此,我的问题是, 是否有可能对运行在ESXi 5.5上的虚拟机进行细分,使细分满足上述指南中列出的标准? 指导方针是非常具有说服力的,事实上他们继续说: 虚拟组件的分割还必须应用于所有虚拟通信机制,包括pipe理程序和底层主机,以及任何其他公共或共享组件。 在虚拟环境中,通常可以通过特定于解决scheme的通信机制,或通过使用诸如文件系统,处理器,易失性和非易失性存储器,设备驱动程序,硬件设备,API等共享资源来进行带外通信, 等等。 方法我想过: 使用不同的物理networking适配器 使用不同的物理数据存储 但其他领域我坚持包括如何分割处理器,RAM等 如果您有兴趣,可以在这里find完整的PCI-DSS虚拟化指南。 谢谢阅读。 更新21/11/2014:这里的文档已经传递给我,我会阅读和消化。 它看起来像一个有用的标题:“PCI-DSS合规性和VMWare”。
我有一个网站刚刚失败了PCI合规性检查 – 报告说,该网站支持弱密码。 我以为我已经禁用了Web服务器上的SSL 2.0。 (如果我告诉浏览器只使用SSL 2.0,它拒绝加载一个网页) 还有什么我需要禁用或检查? (这是一个networking农场,负载平衡器上有什么我需要看的 – 顺便说一句,LB应该只是简单地传递数据,encryption/解密都在Web服务器上完成) Windows Server 2003,IIS 6.0,ASP.NET 2.0网站。 —更新— 通过GregD提供的链接,我解决了大部分问题。 我仍然得到证书不被信任的问题。 SSL实验室的网站有助于提供一些提示,说明为什么会这样(但在其他方面并不十分明确): 证书不可信的原因很多: 它在激活date之前使用(在date) 它在失效date之后使用(在date) 证书主机名与网站不匹配(主机名和网站匹配) 它已被撤销(我怎么知道?) 它是自签名的(这是通过verisign) 发行人不是一个知名的证书颁发机构(Verisign足够熟知?) 证书链不完整(我怎么知道?) 火狐似乎与证书相得益彰,在地址栏上放上一个不错的绿色区域。
我只是想知道是否有人知道为什么使用psexec会导致PCI DSS审计失败。 我从来没有find信息,但总是被告知pipe理员不能使用CDE或周边环境中的任何信息。 我想知道如果FUD是与同名的MetaSpolit脚本? 不知道这是什么,但我听说,这可能会造成混乱。 任何人都可以说明这个问题是否可以合法使用,或者是否被高度地否定? 换句话说,psexec的处理方式与在打印机等设备上启用的telnet相同。 谢谢
由于PCI-DSS,我们需要禁用明文身份validation。 我们通过在端口465上使用TLS封装邮件服务器和客户端之间的通信来实现这一点。 问题在于,端口25必须保持开放和未encryption,以便我们接收来自互联网的电子邮件,但不应该允许authentication。 我试过禁用了AUTH命令,但是也破坏了端口465上的authentication。 是否有一个邮件服务器或代理,将允许单独configuration端口25和465,使validation只能通过安全通道? 另外值得注意的是:我们在FIPS模式下使用Stunnel的MailEnable。 更新: MailEnable提供了一个修补的SMTP可执行文件,允许我通过Windowsregistry来configuration每个侦听端口是否提供授权。 这解决了我的问题 – 希望他们将修补程序作为修补程序发布。
我们是否必须符合PCI规范才能在我们的托pipe数据库中存储社会安全号码? 我们在南卡罗来纳州为非营利组织提供CRM数据库。