我们服务器的安全审核员在两周内提出了以下要求:
我们正在运行带有 LDAP 身份验证的 Red Hat Linux 5/6 和 CentOS 5 机器。
据我所知,该列表中的所有内容要么不可能获得,要么难以获得,但如果我不提供这些信息,我们将面临无法访问我们的支付平台并在过渡期间失去收入的情况,因为我们转向新服务。关于如何解决或伪造这些信息的任何建议?
我能想到的获得所有纯文本密码的唯一方法是让每个人重置他们的密码并记下他们设置的内容。这并不能解决过去六个月更改密码的问题,因为我无法追溯记录此类内容,记录所有远程文件也是如此。
获取所有公共和私人 SSH 密钥是可能的(尽管很烦人),因为我们只有少数用户和计算机。除非我错过了一个更简单的方法来做到这一点?
我已经多次向他解释过,他所要求的东西是不可能的。针对我的担忧,他回复了以下电子邮件:
我在安全审计方面有超过 10 年的经验,并且对 redhat 安全方法有充分的了解,所以我建议你检查你的事实,了解什么是可能的,什么是不可能的。你说没有公司可能拥有这些信息,但我已经进行了数百次审计,这些信息很容易获得。所有 [通用信用卡处理提供商] 客户都必须遵守我们的新安全政策,此审核旨在确保这些政策已正确实施*。
*“新安全策略”是在我们审核前两周引入的,并且在策略更改之前不需要六个月的历史记录。
简而言之,我需要;
如果我们未能通过安全审核,我们将无法访问我们的卡处理平台(我们系统的关键部分),并且需要两周时间才能转移到其他地方。我有多烂?
感谢您的所有回复,知道这不是标准做法让我感到非常欣慰。
我目前正在计划我给他的电子邮件回复,解释情况。正如你们中的许多人指出的那样,我们必须遵守 PCI,其中明确规定我们不应该以任何方式访问纯文本密码。我写完后会发邮件。不幸的是,我不认为他只是在考验我们;这些东西现在在公司的官方安全政策中。然而,我已经让轮子运动起来,暂时离开它们并转移到贝宝上。
这是我起草的电子邮件,对添加/删除/更改内容有什么建议吗?
嗨[姓名],
不幸的是,我们无法向您提供某些要求的信息,主要是纯文本密码、密码历史、SSH 密钥和远程文件日志。这些事情不仅在技术上是不可能的,而且能够提供这些信息既违反 PCI 标准,也违反了数据保护法。
引用 PCI 要求,8.4 使用强密码术在所有系统组件上传输和存储期间使所有密码不可读。
我可以为您提供我们系统上使用的用户名和散列密码的列表、SSH 公钥和授权主机文件的副本(这将为您提供足够的信息来确定可以连接到我们服务器的唯一用户数量以及加密使用的方法)、有关我们的密码安全要求和我们的 LDAP 服务器的信息,但这些信息不得带离现场。我强烈建议您查看您的审核要求,因为我们目前无法在遵守 PCI 和数据保护法案的同时通过此审核。
问候,
[我]
我将抄送公司的 CTO 和我们的客户经理,我希望 CTO 可以确认此信息不可用。我还将联系 PCI 安全标准委员会,解释他对我们的要求。
我们的信用卡处理商最近通知我们,自 2016 年 6 月 30 日起,我们将需要禁用 TLS 1.0 以保持 PCI 合规性。我试图通过在我们的 Windows Server 2008 R2 机器上禁用 TLS 1.0 来主动,只是在重新启动后立即发现我完全无法通过远程桌面协议 (RDP) 连接到它。经过一些研究,RDP 似乎只支持 TLS 1.0(请参阅此处或此处),或者至少不清楚如何通过 TLS 1.1 或 TLS 1.2 启用 RDP。有人知道在不破坏 RDP 的情况下在 Windows Server 2008 R2 上禁用 TLS 1.0 的方法吗?Microsoft 是否计划支持基于 TLS 1.1 或 TLS 1.2 的 RDP?
注意:似乎有一种方法可以通过将服务器配置为使用 RDP 安全层来实现,但这会禁用网络级身份验证,这似乎是一种恶作剧。
更新 1:微软现在已经解决了这个问题。有关相关服务器更新,请参阅下面的答案。
更新 2:Microsoft 发布了有关SQL Server 支持 PCI DSS 3.1 …
有谁知道为什么我不能通过更新配置来禁用 tls 1.0 和 tls1.1。
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
这样做之后,我重新加载了 apache 我使用 ssllabs 或 comodo ssl 工具进行了 ssl 扫描,它仍然说支持 tls 1.1 和 1.0。我想删除这些?
在最近的一次审计中,我们被要求在运行 linux (bind9) 的 DNS 服务器上安装防病毒软件。服务器在渗透测试期间没有受到损害,但这是给出的建议之一。
通常安装linux杀毒软件是为了扫描发往用户的流量,那么在dns服务器上安装杀毒软件的目的是什么?
你对这个提议有什么看法?
你真的在你的 linux 服务器上运行防病毒软件吗?
如果是这样,您会推荐哪种防病毒软件,或者您目前正在使用哪种防病毒软件?
我有一个 NGINX 作为我们网站的反向代理,并且运行良好。对于需要 ssl 的站点,我关注raymii.org以确保拥有尽可能高的 SSLLabs 分数。其中一个站点需要符合 PCI DSS,但基于最新的 TrustWave 扫描,由于启用了 TLS 1.0,现在失败。
在 nginx.conf 中的 http 级别我有:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
对于特定的服务器,我有:
ssl_protocols TLSv1.1 TLSv1.2;
我已经更改了密码,将内容从 http 级别移到了每个 ssl 站点服务器,但无论何时运行:
openssl s_client -connect www.example.com:443 -tls1
我获得了 TLS 1.0 的有效连接。SSLLabs 将站点的 nginx 设置作为A但使用 TLS 1.0,所以我相信我的其余设置是正确的,它只是不会关闭 TLS 1.0。
关于我可能会错过什么的想法?
openssl version -a
OpenSSL 1.0.1f 6 Jan 2014
built on: Thu Jun 11 15:28:12 UTC 2015
platform: debian-amd64
nginx -v
nginx version: nginx/1.8.0
我们的客户之一是 Tier 1 PCI 公司,他们的审计员就我们作为系统管理员和我们的访问权限提出了建议。
我们管理他们完全基于 Windows 的基础架构,大约有 700 台桌面/80 台服务器/10 台域控制器。
他们建议我们转向一个拥有三个独立账户的系统:
DOMAIN.CO.UK\UserWS
DOMAIN.CO.UK\UserSRV
DOMAIN.CO.UK\UserDC
然后制定策略以防止从错误的帐户登录到错误类型的系统(包括删除非 DC 计算机上域管理员帐户的交互式登录)
这是为了防止受感染的工作站公开域管理员登录令牌并针对域控制器重新使用该令牌的情况。
这似乎不仅对我们的日常运营来说是一项非常具有侵入性的政策,而且还需要进行大量工作,以解决相对不太可能的攻击/利用(无论如何这是我的理解,也许我误解了这种利用的可行性) .
我很想听听其他管理员的意见,尤其是这里那些曾经参与过 PCI 注册公司并且您有类似建议的人。您对管理员登录有何政策。
作为记录,我们目前有一个我们通常使用的域用户帐户,以及一个域管理员帐户,当我们需要其他权限时,我们也会提升该帐户。老实说,我们都有点懒惰,经常只是使用域管理员帐户进行日常操作,尽管这在技术上违反了我们公司的政策(我相信你明白!)。
我们目前处理但不存储信用卡数据。我们使用 authorize.net API 通过自行开发的应用程序对卡进行授权。
如果可能,我们希望将影响我们服务器(例如安装 Anti-Virus)的 PCI 的所有要求限制在一个隔离的单独环境中。在保持合规性的同时可以做到吗?
如果是这样,什么才能构成足够的隔离?如果没有,是否有明确定义该范围的地方?
除了 AWS 发布的所有常见问题解答、文档和声明,是否有任何 1 级商家在 AWS 上真正实现了PCI 合规性?我们正在评估将我们的一些服务迁移到 EC2/VPC,但我们的审计员表示,当他们的其他客户试图实现合规性而不得不转而使用 Rackspace 时,AWS 没有合作。他们遇到的问题是,
更新:这个问题最初是在 StackExchange 上提出的,但由于不适合该站点而被否决/sf/ask/479588161/
Windows 中有没有办法检查安全公告MS**-***或CVE-****-*****已修补?例如类似于 RedHat 的东西rpm -q --changelog service
视窗 2008 R2 SP1
我刚刚在https://www.ssllabs.com/上测试了我的网站,它说 SSLv2 不安全,我应该禁用它以及弱密码套件。
我怎样才能禁用它?我尝试了以下但它不起作用。
/etc/httpd/conf.d/ssl.conf通过ftp去了。添加
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
通过腻子连接到服务器并发出service httpd restart命令。
但它仍然在网站上显示不安全。我该如何解决?我的服务器是 Plesk 10.3.1 CentOS。同一台服务器上有 3-4 个站点。
pci-dss ×10
security ×3
ssl ×3
tls ×2
amazon-ec2 ×1
anti-virus ×1
apache-2.2 ×1
apache-2.4 ×1
bind ×1
centos ×1
linux ×1
mod-ssl ×1
nginx ×1
rdp ×1
windows ×1