标签: pci-dss

我们的办公室有一个小型的“安全网络”。小我的意思是它是连接到防火墙的 Windows 7 PC，该防火墙连接到 Internet 连接。它用于处理符合 PCI DSS 的卡交易。

PCI DSS 的要求之一是安全网络中的任何机器都定期打补丁并保持最新状态。另一个是防火墙必须锁定以只允许与授权服务器的出站连接。防火墙仅通过 IP 地址进行出站例外。

由此我们可以得出以下事实：

• 服务器必须是最新的补丁
• 必须允许服务器连接到 Windows 更新
• 防火墙只能允许它通过 IP 做到这一点
• Windows 更新似乎没有一致的 IP 范围
• Win 7 盒子上没有 Small Business Server
• 因此该框将不会运行 WSUS

我们真的没有办法让盒子接收更新吗？或者我们缺少什么？

我们需要符合 PCI-DSS，以便我们可以通过我们的网站和办公室处理客户付款。我们的网络由单个 SBS 2008 服务器和 10 个工作站组成，它们都连接到戴尔交换机上的单个 LAN。互联网路由器是 DrayTek 2820n。

是否需要对我们现有的网络设置进行任何操作以使其符合 PCI-DSS？

我已经使用 1and1 托管一段时间了，总的来说，我对他们的支持水平和管理面板的易用性感到满意。

但是，我打算从只做我的 PC 维修业务扩展到做一些电子商务……为了使用 PayPal 的专业版处理信用卡，我需要一个符合 PCI 标准的主机，我正在努力定价出我的选择。有没有人有一些他们想分享的链接？

我正在寻找托管，ec2 是 SAS 70 兼容（几乎），我会直接选择 PCI 兼容和第 4 层，但我正在考虑 SAS 70。有什么区别或相似之处？

Virtualmin 的安全性如何？它与cPanel或其他网络托管控制面板相比如何？使用 Virtualmin 会阻止我符合 PCI 标准吗？

我正在设置 HAProxy 以在两个 Web 服务器之间进行负载平衡。网站上的某些页面需要 SSL。Stunnel 正在处理 https 连接并将它们传递给 haproxy（Stunnel 包含证书）。HAProxy 将使用 http 将请求传递给 Web 服务器。在内部网络中包含 Web 服务器和 haproxy 是否足以符合 PCI 标准？有什么我需要注意的吗？

我正在运行 OpenSSH 5.3p1-81.el6_3，根据我的服务器是最新的稳定版本。由于我的 OpenSSH 版本，我的 PCI 扫描显示存在 CVE-2010-4478 和 CVE-2011-0539 漏洞。

检查 "rpm -q --changelog openssh" 显示直到 2012 年 10 月都有更新。当然这些已经解决了吗？有较新版本的 SSH（我相信是 6.x），但据我所知，rehat/centos 将安全修复程序向后移植到旧的稳定版本，如 5.3。

这些在我的版本中是否已修复？如果是，我如何将其显示给我的 PCI 扫描仪以证明是误报？

谢谢！

我正在尝试使 PCI 兼容，而 PCI 扫描公司正在标记我们的 Ubuntu 12.04 PHP 5.3.10-1ubuntu3.9 为 CVE-2013-1635。根据http://people.canonical.com/~ubuntu-security/cve/2013/CVE-2013-1635.html Ubuntu 的响应是“我们不支持 open_basedir 的用户”并且所有版本都被标记为忽​​略.

我不知道在这里做什么。我已将我的扫描公司指向同一个 URL，但他们不接受并回答。

我该怎么办？

更新

我不使用此功能，并且在 php.ini 中禁用了 open_basedir 指令。然而，他们并不认为这是一个合适的解决方案。

以下是他们对否认我的争议的回应：

我们根据提供的有关如何解决此发现的信息否认了此争议。已发现当前在此系统上运行的 PHP 版本无法正确清理用户提供的输入。尽管在此系统上禁用了“open_basedir”，但攻击者可以利用此问题并在受影响的应用程序的上下文中写入 wsdl 文件。此外，已经发现其他攻击也是可能的。因此，“soap.wsdl_cache_dir”指令设置 SOAP 扩展将放置缓存文件的目录名称。禁用“open_basedir”并没有 1) 删除已经存在的缓存文件和/或 2) 停止将新缓存文件放入任意目录的可能性。

请查看https://www.pcisecuritystandards.org/security_standards/glossary.php#Compensating%20Controls以了解补偿控制的定义。除其他事项外，“补偿控制必须：......“超出”其他 PCI DSS 要求（不仅仅是符合其他 PCI DSS 要求）”，并且禁用“open_basedir”并没有真正超越，根本问题应该真的在这里解决。同样，扫描报告中列出的要求是升级系统或利用提到的补偿控制（在这种情况下，禁用 open_basedir 是不够的）。

在 PCI DSS 合规范围内的系统上检测到的任何问题都需要修复所有 PCI 不合规问题（即涉及信用卡持有人数据的存储、处理和/或传输的任何系统以及任何直接连接到此类过程中涉及的网络，而该网络没有适当的网络分段）。

请查看扫描报告并按照“修复”列下方的建议进行操作，然后在修复漏洞后执行另一次扫描以清除下一次扫描报告中的发现。

如果在此之后继续检测到漏洞和/或如果您已经执行了此操作，请随时重新对该漏洞提出争议并解释为解决该发现而执行的操作。

我一直在尝试在我们公司的 Web 服务器上升级 OpenSSH 以符合 PCI 规范。不过，我终其一生都无法弄清楚如何做到这一点。

我已经通过 SSH 尝试了以下命令（连同它们的输出）：

# ssh -V
OpenSSH_5.3p1 Debian-3ubuntu7, OpenSSL 0.9.8k 25 Mar 2009

# sudo apt-get install openssh-server openssh-client
Reading package lists... Done
Building dependency tree
Reading state information... Done
openssh-server is already the newest version.
openssh-client is already the newest version.
The following packages were automatically installed and are no longer required:
  [list removed due to length]*
Use 'apt-get autoremove' to remove them.
0 upgraded, 0 newly installed, 0 to remove and …

我有一个运行 Ubuntu 14.04.3 的 VPS。此版本的最新 Ubuntu 支持的 Apache 版本是 Apache 2.4.7。

但是我为其配置服务器的公司正在寻求 PCI 合规性，并且由于 Apache 2.4.14 中修补的安全漏洞而被拒绝。

Apache 的最新稳定版本目前是 2.4.17。

在服务器上安装 Apache 2.4.17 对我来说是否明智/可行 - 我可以通过将 apt-get 与另一个包存储库一起使用来完成，还是需要从源代码构建？