相关疑难解决方法(0)

在最近的一次审计中，我们被要求在运行 linux (bind9) 的 DNS 服务器上安装防病毒软件。服务器在渗透测试期间没有受到损害，但这是给出的建议之一。

1. 通常安装linux杀毒软件是为了扫描发往用户的流量，那么在dns服务器上安装杀毒软件的目的是什么？

2. 你对这个提议有什么看法？

3. 你真的在你的 linux 服务器上运行防病毒软件吗？

4. 如果是这样，您会推荐哪种防病毒软件，或者您目前正在使用哪种防病毒软件？

我的托管公司说 IPTables 没用，不提供任何保护。这是谎言吗？

TL;DR
我有两台位于同一地点的服务器。昨天我的 DC 公司联系我告诉我，因为我使用的是软件防火墙，我的服务器“容易受到多种关键安全威胁”，而我当前的解决方案提供“无法抵御任何形式的攻击”。

他们说我需要防火墙获得一个专用的思科（$ 1000安装则$ 200 /每月每），以保护我的服务器。我一直认为，虽然硬件防火墙更安全，但 RedHat 上的 IPTables 之类的东西为您的普通服务器提供了足够的保护。

两台服务器都只是网络服务器，对它们没有任何重要意义，但我使用 IPTables 将 SSH 锁定到我的静态 IP 地址并阻止除基本端口（HTTP（S）、FTP 和其他一些标准服务）之外的所有内容）。

我不打算安装防火墙，如果服务器的以太被黑客入侵，那将是一个不便，但它们运行的​​只是一些 WordPress 和 Joomla 站点，所以我绝对认为不值得花钱。

有人这么告诉我，我有一些疑问，但我在网上找不到任何信息。

一位 SEO 顾问已询问（要求）网络环境的凭据，以便他可以做......无论他们做什么。

我是公司的新手，但我是一位经验丰富的系统工程师。我刚刚陷入这种情况，但我对给他证书的反应是非常坚定的“不”，除非他能提供一个令人信服的理由，这将是即将到来的。在我被带进来之前，他已经得到了相关文件的存档，但他说这还不够。

我对 SEO 知之甚少（无可否认）告诉我，他应该能够获得他想要的所有内容view source或文件副本，并且我们将在审查后在生产部署中实施他的更改。

我正在尝试使 PCI 兼容，而 PCI 扫描公司正在标记我们的 Ubuntu 12.04 PHP 5.3.10-1ubuntu3.9 为 CVE-2013-1635。根据http://people.canonical.com/~ubuntu-security/cve/2013/CVE-2013-1635.html Ubuntu 的响应是“我们不支持 open_basedir 的用户”并且所有版本都被标记为忽​​略.

我不知道在这里做什么。我已将我的扫描公司指向同一个 URL，但他们不接受并回答。

我该怎么办？

更新

我不使用此功能，并且在 php.ini 中禁用了 open_basedir 指令。然而，他们并不认为这是一个合适的解决方案。

以下是他们对否认我的争议的回应：

我们根据提供的有关如何解决此发现的信息否认了此争议。已发现当前在此系统上运行的 PHP 版本无法正确清理用户提供的输入。尽管在此系统上禁用了“open_basedir”，但攻击者可以利用此问题并在受影响的应用程序的上下文中写入 wsdl 文件。此外，已经发现其他攻击也是可能的。因此，“soap.wsdl_cache_dir”指令设置 SOAP 扩展将放置缓存文件的目录名称。禁用“open_basedir”并没有 1) 删除已经存在的缓存文件和/或 2) 停止将新缓存文件放入任意目录的可能性。

请查看https://www.pcisecuritystandards.org/security_standards/glossary.php#Compensating%20Controls以了解补偿控制的定义。除其他事项外，“补偿控制必须：......“超出”其他 PCI DSS 要求（不仅仅是符合其他 PCI DSS 要求）”，并且禁用“open_basedir”并没有真正超越，根本问题应该真的在这里解决。同样，扫描报告中列出的要求是升级系统或利用提到的补偿控制（在这种情况下，禁用 open_basedir 是不够的）。

在 PCI DSS 合规范围内的系统上检测到的任何问题都需要修复所有 PCI 不合规问题（即涉及信用卡持有人数据的存储、处理和/或传输的任何系统以及任何直接连接到此类过程中涉及的网络，而该网络没有适当的网络分段）。

请查看扫描报告并按照“修复”列下方的建议进行操作，然后在修复漏洞后执行另一次扫描以清除下一次扫描报告中的发现。

如果在此之后继续检测到漏洞和/或如果您已经执行了此操作，请随时重新对该漏洞提出争议并解释为解决该发现而执行的操作。