我正在寻找支持当前(2015年11月)关于SSL的PCI-DSS要求的Web服务器(nginx)configuration: 没有TLSv1.0(将来只有TLSv1.1和TLSv1.2和TLSv1.3)。 没有微弱的密码,这意味着没有CBC(密码块链接),没有DES,IDEA密码套件,没有RC4等。 使用Nexpose进行多次扫描后,我创build了Nginxconfiguration,最终满足了这个非常严格的要求。 我目前的testingconfiguration如下所示: server { #(..) ssl_certificate asdf.crt; ssl_certificate_key sadf.key; ssl_protocols TLSv1.1 TLSv1.2; #see about TLSv1.1 below ssl_ecdh_curve secp521r1; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; ssl_session_timeout 5m; ssl_dhparam asdf-dh2048.pem; #sorry, no support for Java 6u45 ssl_ciphers #ssh_ciphers of course should be in one line ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES128-GCM-SHA256: DHE-RSA-AES256-GCM-SHA384: DHE-RSA-AES128-GCM-SHA256: AESGCM: !aNULL:!eNULL:!EXPORT:!RC4:!MD5:!PSK; } 不幸: 只有7个ssl_ciphers,通常使用的只有前6个。 […]
在我的项目中的最新应用程序扫描期间,CVE-2015-3183已经popup。 我到处寻找解决scheme。 解决scheme很简单:更新你的Apache。 问题是我们无法在接下来的3到4个月更新我们的Apache,因为它需要我公司的许可。 下一个应用程序扫描(PCI DSS)将在2周后发布,我们需要通过它。 请提出任何使用我可以解决这个问题的方式 – 针对分块请求parsing器的HTTP请求走私攻击(CVE-2015-3183 – 不更新我的Apache。 我在红帽网站上得到的答案之一很简单: RewriteEngine on RewriteCond %{HTTP:Transfer-Encoding} ^chunked$ RewriteRule .* – [R=400] 链接到上述解决scheme 如果上面的解决scheme是正确的,我怎么能确定我的开发团队没有提出任何块请求? 还是有其他解决scheme吗?
我有一个IIS服务器,托pipe在250多个网站。 我正在对一个网站进行PCI扫描,并且遇到以下两个错误: Common name of SSL certificate presented on this server is for a different name Title: SSL certificate with wrong name Title: SSL self-signed certificate SSL Certificate for this service ends in an unrecognized self-signed certificate 这两个错误都是针对RDP的。 我的IIS服务器的主机名是web.xyz.domain.com,我运行testing的网站是example.com。 我知道主机名和网站域是不同的,但我不能改变主机名到这个网站域。 有没有其他办法来解决这个问题。 提前致谢!!
我正在尝试使用securitymetrics.com来确保我的基础架构符合PCI-DSS标准。 该标准要求使用最小TLS 1.1(使用CBC密码)。 TLS 1.0是不允许的。 在保护ftp(vsftpd)的同时,我禁用了sslv2和sslv3,但是在禁用TLS 1.1和TLS 1.2的情况下无法阻止TLS 1.0。 configuration文件有ssl_tlsv1选项,可以设置为YES或NO,但我没有看到任何方法来区分1.0和更高版本。 我怎样才能启用只有TLS 1.1和更好?
我们正在运行Windows Server 2008 R2。 一段时间以来,TLS 1.0已经不兼容PCI,通过Windowsregistry禁用它很容易。 但是,过去禁用TLS 1.0给我们带来了两个问题: 通过远程桌面连接到服务器是不可能的。 我们的IIS 6.1网站变得不可用。 问题#1已经修复了MS修补程序KB3080079 ,但是我们的网站在TLS 1.0被禁用后仍会崩溃。 禁用TLS 1.0时,我需要做些什么来保持ASP.NET的快乐,以及网站在线? 以下是错误消息,只有在registry中禁用TLS 1.0并且服务器重新启动后才会出现此错误消息: Server Error in '/' Application. The system cannot find the file specified Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and […]
我已经与Sun联系过,他们告诉我,由于Active Server Pages 4.0.3现在已经过期,下载不再可用。 我们需要将我们的服务器升级到4.0.3,以达到符合PCI-DSS的要求。 任何人都知道我可以下载Sun文件的旧版本的网站? Sun提供4.0.1和4.0.2下载,而不是4.0.3,这将在10月份当Visa停止接受来自非PCI兼容服务器的交易时出现问题。 如果Sun保持命名系统在不同版本之间的一致性,该文件将被称为“sjsasp403-sol-sparc.tar”。 我知道真正的解决scheme是升级服务器上的每个站点,以使用不同的服务器语言,即PHP,从长远来看,这是我们的目标,但我们有超过100个站点需要升级,而不是一个可行的解决scheme来获得这个十月之前完成。
我们正在为我们公司制定安全政策。 我正在寻找我可以用作我们的锅炉板的例子。 谢谢
我们有一台PC需要以下帐户: 2xpipe理员帐户为每个指定负责任的pipe理员(这是我和我的老板)。 根据公司政策,帐户必须与我们的安全日志名称相关联。 Nx用户帐户全部被locking,以防止右键点击桌面,访问控制面板,访问任何多个特定的网站等(这个PC是超安全的处理信用卡数据,这些限制是由安全政策) 大多数情况下,电脑将被一个整天使用机器的沼气标准用户使用。 他们有自己的个人电脑,这些电脑不在我们安全的networking供应范围之内,他们将在当天完成大部分的工作。 因此,应该设置configuration使屏幕保护程序在空闲两分钟后开启,并要求input密码才能解锁机器。 这是凶手。 虽然gpedit.msc将允许我们为pipe理员configuration这样的策略,但它不适用于locking的用户,并且在以locking用户身份login时不能更改设置。 是否可以通过pipe理员帐户在计算机上的所有帐户上强制执行此策略? 或者我们必须经历漫长的过程,扭转用户账户的locking,让他们login,为他们的用户设置策略,然后再次locking账户? 编辑:纸政策禁止我下载软件,插入关键驱动器或安装新的软件没有经过一个非常长的纸道。 无论怎样解决这个问题,我必须手动input修改到操作系统,所以registry编辑是可以接受的,但基于GUI的操作是可取的,因为我真的是一个软件开发人员,而不是networking人员或系统pipe理员。 基本上越简单越好。
由于PCI合规性testing人员最近进行的扫描升级,我们最近失败了一个PCI,build议的解决scheme如下: configurationHTTP服务器为403(禁止)和404(页面未find)响应指定相同的错误文档。 我们的主站点运行drupal安装,drupal .htaccess文件包含以下条目: # Make Drupal handle any 404 errors. ErrorDocument 404 /index.php 为了纠正上述情况,这是一个简单的问题,增加以下内容: ErrorDocument 403 /index.php 还是我需要做一些更复杂的事情?
所以我们网站的设置是4个运行rails3和nginx1的节点,都使用相同的GoDaddy证书。 由于我们是付费网站,因此我们必须保持PCI-DSS合规性,因此必须使用更昂贵的SSL密码 – 我们也使用Rack强制SSL。 我最近切换到了Linode的NodeBalancer(我读过的是一个HACluster),我们没有得到理想的性能。 从我读到的,它看起来像使用高密码在节点上终止SSL是什么造成了糟糕的性能,但我想要彻底。 有什么我可以做的吗? 我已经读过关于在NodeBalancer之前终止SSL的其他方法(比如使用stud),但我对这些解决scheme还不够了解。 我们当然不想做任何实验或任何有单点失败的事情。 如果真的没有什么能够加速SSL握手的话,我的select是使用安全和不安全的子域来支持Rails上的某些页面。 我已经find了一些指南,但我的结果是在这种情况下,让nginx句柄在安全子域而不是rails上强制使用ssl会更好吗? 谢谢!