我刚刚将服务器升级到最新的OS X 10.5.7版本,我的合规性扫描告诉我这些操作系统安装的组件正在造成漏洞。 我无法看到哪里可以下载更高版本,或者即使它们存在! Kerberos 5被列为“多个漏洞”,但据我所知,Mac OS X没有更高的版本可用。 PHP 5.2.9之前也被列为有“多个漏洞”,我可以看到5.2.9是一般使用,但似乎无法在任何地方下载。 即使苹果网站上的下载链接已经死亡。 MySQL也被列为漏洞,他们说5.1.9之前的版本是易受攻击的,但只有5.1.35才能作为稳定版本下载。 任何人都知道如何回答这些看似无法回答的问题? 我只有几台运行40-50个网站的服务器。 所有在Mac OS上。 谢谢
在我们上次的TW PCI扫描中,我们的一个标志是“DNS放大拒绝服务”。 目前,DNS服务器正在运行Bind 9.8.1-P1。 看起来像CVE是一个更老的版本:CVE-2006-0988,CVE-2006-0987。 给出的证据是:查找:一个26字节ANY查询[我的域名]导致了一个更大的答案,在283字节的大小。 所以,从外面的世界我运行一个挖: taco $ dig -t NS . @[my domain] 为此我回来了: ; <<>> DiG 9.8.1-P1 <<>> -t NS . @[my domain] ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 54954 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: […]
我比较了不同的PCI-DSS合规解决scheme,阅读了大量有关RSA enVision,Splunk,LogRhythm,SenSage,ArcSight和OSSEC的白皮书和小册子。 不幸的是,比较是困难的,因为缺乏公司/组织提供的细节。 那么,您使用这些系统的经验是什么? 有什么build议? 批评? 一些细节: 我的PCI系统将是一个由5台主机组成的小型networking,受防火墙保护 所有的机器都将运行Linux 看完这个令人吃惊的评论家,我决定写这个问题。 你同意这些家伙吗?!
PCI DSS 10.2说:“ 为所有系统组件实施自动审计跟踪以重新构build以下事件: ”和10.2.2继续: “ 任何具有根或pipe理权限的个人采取的所有行动 ”。 我正在努力使我们的Windows机器(Windows 7,8&2008R2)发生这种情况。 OSSEC可以将更改logging到文件和registry项中,但是由于不logging是谁进行了更改,所以对此要求不太合适。 我尝试使用Windows中的内置审计策略, 依此 : http : //blog.jakeeliasz.com/2014/04/03/part-1-audit-trails-in-pci-dss-v3-0-logging -in窗口/ 所以我跑了secpol.msc,去“本地策略”>“审计策略”,并启用所有条目的成功和失败。 接下来,我select了一个很less碰到的数据文件夹作为testing:“属性”>“安全”>“高级”>“审计”>“添加” Select a principal: Administrators Type: All Access: Full control Advanced Permissions: Only write, create and execute-related permissions checked. 这确实会logging对文件夹中所有文件的访问,但问题是现在事件日志中不仅包含pipe理员组的显式成员,而且还包括来自任何具有pipe理员权限的进程(例如防病毒stream程)。 此外,请注意,上述只是一个很less访问的文件夹 – 我将不得不添加日志logging所有系统文件夹等,这将使日志泛滥更糟糕。 我怎样才能loggingpipe理员用户所做的所有活动(按照上述10.2.2),而没有任何额外的噪音? 此外,上述审计涵盖文件系统更改,但如何审核关键的registry更改 ? 如果符合上述要求,最好不要在商业产品上花费很多钱。
我们在付款领域,我们在Docker中为了开发环境的目的而构build了很多我们的stream程。 现在,我们正考虑将Xen(HVM)场中的生产环境转换为Docker / LXC环境,以使两个环境保持同步。 有谁知道Docker如何影响PCI合规性? 我search了网页,但是找不到任何答案。 QSA似乎也很难在这个问题上,因为它是如此新。 任何人对此有任何意见?
在此服务器上运行PCI安全扫描时,它会在端口25上失败: SSL服务器支持弱encryptionnCircle ID:6174端口:25 CVSS评分:5.8不符合描述SSL(安全套接字层)服务器支持弱encryption密钥,它被定义为长度小于128位的encryption密钥。 用弱encryption密钥encryption的消息对未经授权的用户来说相对容易解密。 我已经尝试修改/etc/postfix/main.cf各种更改: postconf -e smtpd_tls_mandatory_protocols =“SSLv3,TLSv1” postconf -e smtpd_tls_mandatory_ciphers =“high” postconf -e smtpd_tls_exclude_ciphers =“SSLv2,aNULL,ADH,eNULL” 没有运气。 这是扫描失败的唯一端口。 我的网站和IMAP盆都很好。 任何build议感激。
这个url是pci符合性扫描的一部分,它标记着返回的非常稀疏的asp.net错误页面,在实况站点上是一个500状态码和文本 “/”应用程序中的服务器错误。 运行时错误 说明:处理您的请求时发生exception。 此外,执行第一个exception的自定义错误页面时发生另一个exception。 该请求已被终止。 当在Visual Studio中运行网站时,我得到了一个404和文本 “/”应用程序中的服务器错误。 无法find该资源。 说明:HTTP 404.您正在查找的资源(或其某个依赖项)可能已被删除,名称已更改或暂时不可用。 请检查以下URL并确保拼写正确。 请求的url:/WEB-INF./web.xml 版本信息:Microsoft .NET Framework版本:4.0.30319; ASP.NET版本:4.0.30319.18044 我试图忽略路由中的URL,并将其映射到我们的404路由/error/not-found ,我们有默认的redirect到/error/internal自定义错误。 我也尝试使用位置标记来拒绝访问,使用请求筛选来阻止它,并使用具有该path的处理程序来捕获请求。 我试过这个重写,也尝试了相同的规则阻止和redirect,但我仍然得到相同的asp.net错误页面。 图像中断,但规则是^.*\./.*$ ,它匹配我试图过滤的URL(我也尝试过简单的WEB-INF )。 任何想法如何我可以得到这个url来显示我们的自定义错误页面?
从我对PCI合规性知之甚less,我需要logging所有的网站活动,并保持在线logging至less3个月。 但是,我无法得到直接的答案是IIS日志logging属性中的高级选项卡必须包含哪些字段或属性。 有些看起来很明显,需要join(例如date,时间,客户端IP),但另一些则不太明显。 以下是可用字段的列表(默认为粗体): date 时间 客户端IP地址 用户名 服务名称 服务器名称 服务器的IP地址 服务器端口 方法 URI的词干 URI查询 协议状态 议定书的forms Win32状态 字节发送 收到的字节 所用的时间 协议版本 主办 用户代理 曲奇饼 引荐
当所有数据都需要通过一根电缆时,我们如何能够在多个build筑物之间创build一个安全的分段networking? 背景:我在一个校园内有5栋build筑的非营利组织工作。 我们没有IT部门。 由于我在目前的安排中看到的各种安全问题,我正试图设法让networking更加高效和安全。 我是一名软件工程师,而不是networking工程师或networking安全专家。 当前参数: 一切都与互联网共享一个连接。 局域网不分段。 所有设备都有相同的访问权限,每个设备可以看到所有其他设备 每个房间都有一个或多个有线networking端口。 存在多个无线路由器/接入点。 一个build筑物包含地下电缆的主要服务入口。 其他build筑物通过光纤连接(每栋build筑物1根电缆) 两栋大楼各有一台PC处理信用卡交易,因此属于PCI合规要求范围。 一个Windows服务器为大多数用户处理DHCP和文件存储。 我的理解是,信用卡电脑需要与其他networking隔离,以避免所有办公室PC在PCI-DSS下被分类为“连接设备”。 至less,我希望看到networking为受PCI-DSS影响的设备提供了一个安全部分,这是一个内部敏感数据(如会计和人员)的子网,并且仅限访问者与互联网访问的连接。
我正在build立一个PCI DSS环境,并面临下一个问题。 在安装de OS(CentOS 7.3 Minimal)时,我select了“PCI DSS”configuration文件。 当我检查在/etc/audit/audit.rules上应用的规则时,有很多规则,我只是保留其中的2或3个。 所以我修改了包含规则的文件并重新加载它们。 直到这一点没有问题。 我所面对的是,每次重新启动auditd.service时,我的自定义规则都会被PCI DSSconfiguration文件强制覆盖。 我也会尝试用我的自定义规则创build一个文件,让我们来说/etc/audit/audit-custom.rules 。 我可以使用命令auditctl -R /etc/audit/audit-custom.rules导入规则,并在那一刻如果我执行auditctl -l我只有在我的custom.rules文件中定义的规则。 问题是,当我重新启动auditd服务时,每次都需要在/etc/audit/audit.rules定义的规则。 即使我删除了所有的规则,并将我的自定义规则放在默认规则configuration文件中,在重新启动服务之后,auditd覆盖了我的自定义规则 任何人有任何线索如何防止这种行为? 在此先感谢您的帮助