我们服务器的安全审核员在两周内提出了以下要求:
我们正在运行带有 LDAP 身份验证的 Red Hat Linux 5/6 和 CentOS 5 机器。
据我所知,该列表中的所有内容要么不可能获得,要么难以获得,但如果我不提供这些信息,我们将面临无法访问我们的支付平台并在过渡期间失去收入的情况,因为我们转向新服务。关于如何解决或伪造这些信息的任何建议?
我能想到的获得所有纯文本密码的唯一方法是让每个人重置他们的密码并记下他们设置的内容。这并不能解决过去六个月更改密码的问题,因为我无法追溯记录此类内容,记录所有远程文件也是如此。
获取所有公共和私人 SSH 密钥是可能的(尽管很烦人),因为我们只有少数用户和计算机。除非我错过了一个更简单的方法来做到这一点?
我已经多次向他解释过,他所要求的东西是不可能的。针对我的担忧,他回复了以下电子邮件:
我在安全审计方面有超过 10 年的经验,并且对 redhat 安全方法有充分的了解,所以我建议你检查你的事实,了解什么是可能的,什么是不可能的。你说没有公司可能拥有这些信息,但我已经进行了数百次审计,这些信息很容易获得。所有 [通用信用卡处理提供商] 客户都必须遵守我们的新安全政策,此审核旨在确保这些政策已正确实施*。
*“新安全策略”是在我们审核前两周引入的,并且在策略更改之前不需要六个月的历史记录。
简而言之,我需要;
如果我们未能通过安全审核,我们将无法访问我们的卡处理平台(我们系统的关键部分),并且需要两周时间才能转移到其他地方。我有多烂?
感谢您的所有回复,知道这不是标准做法让我感到非常欣慰。
我目前正在计划我给他的电子邮件回复,解释情况。正如你们中的许多人指出的那样,我们必须遵守 PCI,其中明确规定我们不应该以任何方式访问纯文本密码。我写完后会发邮件。不幸的是,我不认为他只是在考验我们;这些东西现在在公司的官方安全政策中。然而,我已经让轮子运动起来,暂时离开它们并转移到贝宝上。
这是我起草的电子邮件,对添加/删除/更改内容有什么建议吗?
嗨[姓名],
不幸的是,我们无法向您提供某些要求的信息,主要是纯文本密码、密码历史、SSH 密钥和远程文件日志。这些事情不仅在技术上是不可能的,而且能够提供这些信息既违反 PCI 标准,也违反了数据保护法。
引用 PCI 要求,8.4 使用强密码术在所有系统组件上传输和存储期间使所有密码不可读。
我可以为您提供我们系统上使用的用户名和散列密码的列表、SSH 公钥和授权主机文件的副本(这将为您提供足够的信息来确定可以连接到我们服务器的唯一用户数量以及加密使用的方法)、有关我们的密码安全要求和我们的 LDAP 服务器的信息,但这些信息不得带离现场。我强烈建议您查看您的审核要求,因为我们目前无法在遵守 PCI 和数据保护法案的同时通过此审核。
问候,
[我]
我将抄送公司的 CTO 和我们的客户经理,我希望 CTO 可以确认此信息不可用。我还将联系 PCI 安全标准委员会,解释他对我们的要求。
我负责维护两台 Debian 服务器。每次我必须对安全证书做任何事情时,我都会谷歌搜索教程并击败它,直到它最终起作用。
然而,在我的搜索中,我经常遇到不同的文件格式(.key, .csr, .pem),但我从来没有找到对每种文件格式的用途的很好的解释。
我想知道 ServerFault 的好人是否可以就此问题提供一些说明?
我需要获取人类可读的 du 输出列表。
但是,du没有“按大小排序”选项,并且管道sort无法与人类可读标志一起使用。
例如,运行:
du | sort -n -r
按大小(降序)输出排序的磁盘使用情况:
du |sort -n -r
65108 .
61508 ./dir3
2056 ./dir4
1032 ./dir1
508 ./dir2
但是,使用人类可读的标志运行它,排序不正确:
du -h | sort -n -r
508K ./dir2
64M .
61M ./dir3
2.1M ./dir4
1.1M ./dir1
有谁知道du -h 按大小排序的方法?
确定 bash 中的变量是否为空(“”)的最佳方法是什么?
我听说建议我这样做 if [ "x$variable" = "x" ]
这是正确的方法吗?(一定有更直接的东西)
这里只是一个快速的健全性检查。
你能ping通机器的特定端口吗,如果可以,你能提供一个例子吗?
我正在寻找类似的东西ping ip address portNum。
这是关于服务器安全的规范问题- 响应违规事件(黑客攻击)
另请参见:
规范版本
我怀疑我的一台或多台服务器受到了黑客、病毒或其他机制的危害:
原版
2011.01.02 - 我在周日晚上 9.30 上班的路上,因为我们的服务器不知何故遭到入侵,导致对我们的供应商的 DOS攻击。访问 Internet 的服务器已关闭,这意味着我们的 5-600 多个客户站点现已关闭。现在这可能是 FTP 黑客攻击,或者某处代码中的一些弱点。我不确定,直到我到达那里。
我怎样才能快速追踪到这个?如果我不尽快备份服务器,我们将面临大量诉讼。任何帮助表示赞赏。我们正在运行 Open SUSE 11.0。
2011.01.03 - 感谢大家的帮助。幸运的是,我不是唯一负责这个服务器的人,只是最近的人。我们设法解决了这个问题,尽管它可能不适用于不同情况下的许多其他问题。我会详细说明我们做了什么。
我们从网络上拔掉了服务器。它正在印度尼西亚的另一台服务器上执行(试图执行)拒绝服务攻击,而犯罪方也在那里。
我们首先试图确定这是来自服务器上的哪个位置,考虑到我们服务器上有 500 多个站点,我们预计会在一段时间内兼职。然而,在 SSH 访问仍然存在的情况下,我们运行了一个命令来查找在攻击开始时编辑或创建的所有文件。幸运的是,有问题的文件是在寒假期间创建的,这意味着当时在服务器上创建的其他文件并不多。
然后,我们能够识别ZenCart网站内上传的图像文件夹内的违规文件。
在短暂的休息之后,我们得出结论,由于文件位置的原因,它一定是通过文件上传工具上传的,但该工具没有得到足够的保护。经过一番谷歌搜索,我们发现 ZenCart 管理面板中存在一个安全漏洞,允许上传文件以获取唱片公司的图片。(它从未真正使用过的部分),发布此表单只是上传了任何文件,它没有检查文件的扩展名,甚至没有检查用户是否已登录。
这意味着可以上传任何文件,包括用于攻击的 PHP 文件。我们在受感染站点上使用 ZenCart 保护漏洞,并删除了有问题的文件。
工作完成了,我在凌晨 2 点回家
道德 - 始终为 ZenCart 或任何其他 CMS 系统应用安全补丁。当安全更新发布时,全世界都意识到了这个漏洞。- 总是做备份,备份你的备份。- 雇用或安排在这种时候会在那里的人。防止任何人依赖服务器故障上的恐慌帖子。
如何使用密码自动进行SSH登录?我正在配置我的测试虚拟机,所以没有考虑高安全性。选择 SSH 以获得可接受的安全性,且配置最少。
前任)
echo password | ssh id@server
这不起作用。
我记得我是用一些技巧来做到这一点的,有人指导我,但我现在不记得我使用的技巧了......
关于 Windows,让我无休止地烦恼的一件事是旧的共享冲突错误。通常你无法确定是什么让它打开了。通常它只是一个指向相关目录的编辑器或资源管理器,但有时我不得不重新启动我的机器。
关于如何找到罪魁祸首的任何建议?
我想将我的 Web 服务器上的所有 http 请求重写为 https 请求,我从以下内容开始:
服务器 {
听80;
地点 / {
重写 ^(.*) https://mysite.com$1 永久;
}
...
一个问题是这会剥离任何子域信息(例如,node1.mysite.com/folder),我如何重写上述内容以将所有内容重新路由到 https 并维护子域?