我正在设置HAProxy来在两个Web服务器之间进行负载平衡。 网站上的一些页面需要SSL。 Stunnel正在处理https连接并将它们传递给haproxy(Stunnel包含证书)。 HAProxy将使用http将请求传递给Web服务器。 在内部networking中包含Web服务器和haproxy是否足以符合PCI? 有什么需要注意的吗?
我有一个运行Ubuntu 14.04.3的VPS。 这个版本的最新Ubuntu版本的Apache是Apache 2.4.7。 但是我为其configuration服务器的公司正在寻求PCI合规性,并且由于Apache 2.4.14中的安全漏洞而被拒绝。 目前Apache的最新稳定版本是2.4.17。 我可以在服务器上安装Apache 2.4.17是否明智/可行 – 我可以通过使用另一个软件包存储库的apt-get来实现,还是需要从源代码构build?
我试图让PCI兼容,PCI扫描公司正在标记我们的Ubuntu 12.04 PHP 5.3.10-1ubuntu3.9的CVE-2013-1635。 根据http://people.canonical.com/~ubuntu-security/cve/2013/CVE-2013-1635.html Ubuntu的回应是“我们不支持open_basedir的用户”,所有版本都被标记为忽略。 我不知道该怎么做。 我已经指出我的扫描公司这个url,但他们不接受作为和答案。 我该怎么办? 更新 我不使用这个function,并且在php.ini中禁用了open_basedir指令。 但是,他们不认为这是一个适当的解决scheme。 这是他们对我们的争端否认的回应: 我们根据所提供的关于如何解决这一调查结果的资料否认了这一争端。 目前在这个系统上运行的PHP版本被发现没有正确地处理用户提供的input。 尽pipe在此系统上禁用了“open_basedir”,但攻击者可以利用此问题并在受影响的应用程序的上下文中写入wsdl文件。 而且,已经发现其他攻击也是可能的。 因此,“soap.wsdl_cache_dir”指令设置SOAP扩展将放置caching文件的目录名称。 禁用“open_basedir”没有1)删除已经存在的caching文件和/或2)停止将新caching文件放置到任意目录中的可能性。 请查阅https://www.pcisecuritystandards.org/security_standards/glossary.php#Compensating%20Controls来了解补偿控制的定义。 除其他事项外,“补偿控制必须:”超越“其他PCI DSS要求(不仅仅是符合其他PCI DSS要求)”,禁用“open_basedir”并不是真正的超越,底层的问题应该是真的在这里解决。 同样,扫描报告中列出的要求是升级系统或使用所提到的补偿控制(在这种情况下,禁用open_basedir是不够的)。 在符合PCI DSS规范的系统上检测到的任何问题都需要纠正所有不符合PCI规定的问题(即直接存储,处理和/或传输信用卡持有人数据和任何系统的任何系统连接到涉及这种没有适当的networking分段的过程的networking)。 请查看扫描报告,并按照“修复”列下的build议进行操作,然后在修复漏洞时执行另一次扫描,以清除下次扫描报告中的查找结果。 如果在此之后漏洞继续被检测到,并且/或者您已经执行了此操作,请随时重新解决此漏洞,并解释执行哪些操作来解决此问题。
我正在寻找主机,EC2是SAS 70兼容(几乎),我会直接进行PCI兼容和第4层,但我正在考虑SAS 70.有什么区别或相似之处?
我需要通过将mod_ssl限制为SSLv3和TLSv1并确保长密钥来确保符合PCI规范。 我已经尝试了以下configuration,但SSLv2的某些组合似乎仍然有效: SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM SSLCipherSuiteconfiguration应该如何完全禁用SSLv2并满足PCI要求?
我正在运行OpenSSH 5.3p1-81.el6_3,这是根据我的服务器是最新的稳定版本。 由于我的OpenSSH版本的原因,我的PCI扫描显示了CVE-2010-4478和CVE-2011-0539漏洞。 检查“rpm -q –changelog openssh”显示最迟在2012年10月有更新。肯定这些已经解决了? 有更新版本的SSH(6.x我相信),但从我可以告诉,rehat / centos backports安全修复程序到旧的稳定版本像5.3。 这些固定在我的版本,还是不是? 如果是的话,我该如何显示这个给我的PCI扫描仪来certificate一个误报? 谢谢!
我一直在试图在我们公司的networking服务器上升级OpenSSH以达到PCI标准。 我不能为我的生活弄清楚如何做到这一点。 我已经通过SSH尝试了以下命令(连同它们的输出): # ssh -V OpenSSH_5.3p1 Debian-3ubuntu7, OpenSSL 0.9.8k 25 Mar 2009 # sudo apt-get install openssh-server openssh-client Reading package lists… Done Building dependency tree Reading state information… Done openssh-server is already the newest version. openssh-client is already the newest version. The following packages were automatically installed and are no longer required: [list removed […]
目前,我们正在通过运行CentOS的服务器上进行PCI合规性评估。 我们正在build议的修复中遇到很多“严重”的问题。 纠正这些问题的build议主要是将软件包更新到最新版本。 好的build议我想,直到我运行“sudo yum update”,然后再次运行扫描,令人沮丧的问题没有消失。 我与我们的托pipe服务提供商(这是一个专用的服务器)交谈,他们说,尽pipe版本是最新的,它会有各种补丁修复已知的安全问题。 他们build议为软件包运行changelog命令,然后提出扫描中标记的每个严重问题。 所以我就为第一个问题创build了一个呼吁,并要求提供包的版本,补丁级别和我觉得我们免除的原因。 那么,在CentOS中,显示每个安装包的版本号和补丁级别的最简单的方法是什么?
我正在运行CentOS 5.7,需要将OpenSSH升级到最新的稳定版本(PCI合规性问题)。 但是,通过CentOS yum仓库可用的最新版本是4.3p2。 如何使用yum更新到最新的稳定版本? 我应该设置不同的存储库吗?
我一直在使用1and1托pipe一段时间,总的来说,我很满意他们的支持和pipe理面板的易用性。 不过,我会从做个人电脑维修的东西分支出去做一些电子商务…为了使用PayPal的专业版处理信用卡,我需要一个PCI兼容的主机,出我的select。 有没有人有一些他们想分享的链接?