Pytania otagowane jako security

Bezpieczeństwo to nie produkt, ale proces.

23
Czy bycie paranoikiem jest wymaganą „jakością” dla administratorów Sys / Net?
Czy bycie Paranoikiem jest uważane za (niewypowiedziane) „wymaganie” administratora Sys / Net (oczywiście ze względów bezpieczeństwa)? Czy istnieje coś takiego jak nadmierna paranoja? Czy powinniśmy ufać innym i nie rozwodzić się całkowicie nad kwestionowaniem scenariuszy za pomocą schizofrenicznych okularów? Czy istnieje „środek” dla tej cechy, jeśli chodzi o bezpieczeństwo? (w …
12 security 
4
Zabezpieczanie systemu plików dla bezpiecznego serwera SFTP
To może nie wydawać się pytaniem rozwojowym, ale w istocie tak jest. Pozwól, że wyjaśnię jak. Naszym głównym celem rozwoju jest dynamiczne strony z treściami. Niektórzy z naszych klientów poprosili nas o pozwolenie na miejsce na naszych serwerach (za które płacą) za ich starą zawartość statyczną. Używamy tego, by dać …
12 linux  security  sftp  html  dynamic 
12
Czy hakowanie prawdziwych systemów jest etyczne? [Zamknięte]
W obecnej formie to pytanie nie pasuje do naszego formatu pytań i odpowiedzi. Oczekujemy, że odpowiedzi poparte będą faktami, referencjami lub wiedzą fachową, ale to pytanie prawdopodobnie będzie wymagało debaty, argumentów, ankiet lub rozszerzonej dyskusji. Jeśli uważasz, że to pytanie można poprawić i ewentualnie ponownie otworzyć, odwiedź centrum pomocy w …
12 security  hacking 
2
Dlaczego „AcceptEnv *” jest uważany za niepewny?
W /etc/ssh/sshd_configistnieje opcja nazywa AcceptEnvże klient ssh pozwala wysyłać zmienne środowiskowe. Muszę być w stanie wysłać dużą liczbę zmiennych środowiskowych. Zmieniają się one przy każdym połączeniu klienta, więc umieszczenie ich w skrypcie logowania na serwerze byłoby trudniejsze. Przeczytałem, że "AcceptEnv *"to niepewne. Chciałbym zrozumieć, dlaczego zanim spróbuję uzyskać listę wszystkich …
5
Czy powinienem zgłosić próby włamania?
Korzystam z małego serwera (opartego na systemie Windows). Gdy sprawdzam dzienniki, widzę ciągły (nieudany) sposób prób hakerskich zgadywania haseł. Czy powinienem spróbować zgłosić te próby właścicielom źródłowych adresów IP, czy te próby są obecnie uważane za całkowicie normalne i i tak nikt by się tym nie przejmował?
3
Jak mogę zmniejszyć poziom szczegółowości niektórych zadań Ansible, aby nie wprowadzać haseł do syslog?
Czasami chciałbym użyć Ansible's lineinfilelub blockinfilemodułów do napisania hasła do jakiegoś pliku konfiguracyjnego. Jeśli to zrobię, cała linia lub blok, łącznie z hasłem, trafi do mojego syslog. Ponieważ nie uważam syslogza bezpieczne miejsce do przechowywania haseł, w jaki sposób mogę powiedzieć Ansible, aby nie ujawniał mojego hasła syslog? Mam nadzieję, …
14
Jak bezpiecznie połączyć dwie sieci razem przez Internet?
Powiedzmy, że są dwie lokalizacje. Obie lokalizacje mają własne szybkie połączenia internetowe. Jak połączyć te dwie sieci razem, aby każdy komputer widział każdy inny komputer? Potrzebujesz kontrolera domeny, czy możesz to zrobić z grupami roboczymi? Oczywistym rozwiązaniem wydaje się być VPN, ale czy VPN można wdrożyć tylko na routerach? Czy …
2
Zarządzanie poświadczeniami bezpieczeństwa IAM dla wielu kontenerów dokerów
W zwykłym środowisku EC2 zarządzanie dostępem do innych zasobów AWS jest dość proste dzięki rolom i poświadczeniom IAM (automatycznie pobieranych z metadanych instancji). Jeszcze łatwiejsze dzięki CloudFormation, w którym możesz tworzyć role w locie po przypisaniu określonej roli aplikacji do instancji. Jeśli chciałbym przeprowadzić migrację do Dockera i mieć coś …
1
Dowiedz się, ile przeglądarek odrzuca certyfikat SSL
Chciałbym dowiedzieć się, ile przeglądarek odrzuca nasz certyfikat SSL podczas wysyłania żądań HTTP do naszego serwera. Korzystamy z bezpłatnego CA, który wydaje się być rozpoznawany przez większość współczesnych przeglądarek, ale chciałbym uzyskać pewne liczby bez wyczerpującego testowania kombinacji przeglądarek i systemów operacyjnych. Rozumiem, że przeglądarka przerywa połączenie, gdy weryfikacja certyfikatu …
1
Zagrożenia bezpieczeństwa związane z PermitUserEnvironment w ssh
Przeczytałem sporo postów dotyczących użycia PermitUserEnvironmenti pliku ~/.ssh/environmentw celu przekazania zmiennych env do powłoki ssh. Oficjalne dokumenty sshd i kilka innych zasobów wskazują na pewne ryzyko związane z bezpieczeństwem. Włączenie przetwarzania środowiska może umożliwić użytkownikom ominięcie ograniczeń dostępu w niektórych konfiguracjach przy użyciu mechanizmów takich jak LD_PRELOAD. Jakie są prawdopodobne …
3
Jakie jest uzasadnienie minimalnego wieku hasła?
Właśnie miałem użytkownika, który nie mógł zmienić swojego hasła w domenie Windows 2008. To dawało mu tajemniczą wiadomość o wymaganiach dotyczących złożoności, mimo że był pewien, że wybrane hasło je spełnia. Sam to przetestowałem i potwierdziłem. Wygląda na to, że jego ostatnie hasło zostało ustawione zbyt niedawno na zalecaną przez …
2
W jaki sposób spamer sfałszował e-maile w mojej domenie Google Apps (ma nawet DKIM!)
Ostatnio otrzymuję wiele odrzuceń. Myślałem, że moje konto Google Apps zostało przejęte, ale na moim koncie aplikacji nie ma żadnej aktywności, a na pewno nie widzę złośliwego użytkownika. Ponieważ wiadomość e-mail jest zawsze wysyłana z dowolnej losowej nazwy użytkownika (np. OnSecNtV1@mydomain.com), próbowałem znaleźć sposób na uniemożliwienie wysyłania wiadomości e-mail od …
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.