由于最近的安全发现可能大多数 SSD 都以一种完全幼稚和破坏的方式实现加密,我想检查我的哪些 BitLocker 机器正在使用硬件加密,哪些机器正在使用软件。
我找到了一种禁用硬件加密的方法,但我不知道如何检查我是否使用了硬件加密(在这种情况下,我必须重新加密驱动器)。我该怎么做?
我知道manage-bde.exe -status这给了我一个输出,例如:
Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [Windows]
[OS Volume]
Size: 952.62 GB
BitLocker Version: 2.0
Conversion Status: Used Space Only Encrypted
Percentage Encrypted: 100.0%
Encryption Method: XTS-AES 128
Protection Status: Protection On
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors:
TPM
Numerical Password
但我不知道我想要的信息是否在这个屏幕上。
Linux 中的 root 用户是否可以实时(或接近实时)查看其他用户通过终端或 SSH 登录的 shell 命令?显然,它们存储在 .bash_history 中,但只有在用户注销时才会保存,也可以禁用。
编辑:理想情况下,可以轻松打开和关闭的东西。
我想开始安排远程 mysqldump crons,我更愿意为此目的使用一个特殊帐户。我想授予该用户获取完整转储的最低权限,但我不确定最好的方法。
是不是就这么简单
grant SELECT on *.* to '$username'@'backuphost' identified by 'password';
还是我错过了更好的方法?
我有一台装有 IIS6、SQL Server 2005、MySQL 5 和 PHP 4.3 的 Windows Server 2003 SP2 机器。这不是生产机器,而是通过域名向世界公开。机器上启用了远程桌面,并且有两个管理帐户在其上处于活动状态。
今天早上我发现机器已经注销,登录文本框中仍然有一个未知的用户名。经过进一步调查,我发现已创建两个 Windows 用户,已卸载防病毒软件,并将少量 .exe 文件放入 C: 驱动器。
我想知道的是,我应该采取什么步骤来确保这种情况不再发生,以及我应该关注的领域来确定进入的途径。我已经检查了 netstat -a 以查看哪些端口是打开的,并且那里没有任何奇怪的地方。我确实在 MySQL 的数据文件夹中找到了未知文件,我认为这可能是入口点,但我不确定。
我非常感谢对服务器黑客进行良好的事后分析的步骤,以便我将来可以避免这种情况。
调查后审查
经过一番调查,我想我知道发生了什么。首先,在 08 年 8 月至 09 年 10 月的时间范围内,机器尚未联机。在此期间,发现了一个安全漏洞,即MS08-067 漏洞。“这是一个远程执行代码漏洞。成功利用此漏洞的攻击者可以远程完全控制受影响的系统。在基于 Microsoft Windows 2000、基于 Windows XP 和基于 Windows Server 2003 的系统上,攻击者可以利用此漏洞无需身份验证即可通过 RPC 运行,并且可以运行任意代码。” 2008 年 10 月发布的 KB958644 安全更新修复了此漏洞。
由于当时机器处于离线状态,错过了这次更新,我相信这个漏洞是在 09 年 10 月机器重新上线后不久被利用的。我发现对一个被描述为后门程序的 bycnboy.exe 程序的引用,该程序会对受感染的系统造成严重破坏。机器上线后不久,自动更新安装了补丁,关闭了远程控制系统的能力。由于后门现已关闭,我相信攻击者随后在该机器上创建了物理帐户,并能够再使用该机器一周,直到我注意到发生了什么。
在积极清除恶意代码、.exes 和 .dlls,删除自托管网站和用户帐户后,机器现在再次处于工作状态。在不久的将来,我将监视系统并查看服务器日志,以确定事件是否重复发生。
感谢您提供的信息和步骤。
如何在我的 ubuntu 服务器上,在 Iptables 中只允许特定端口上的一个 IP 地址?
谢谢
首先声明,这不是我的想法,我不想讨论这样的行为是否合理。
但是,对于一个公司来说,有没有办法阻止员工访问公有云服务呢?特别是,他们不应该能够将文件上传到网络上的任何地方。
阻止 HTTPS 可能是第一个简单但非常激进的解决方案。使用 IP 地址黑名单也是不够的。可能需要某种软件来过滤内容级别的流量。代理可能会有所帮助,以便能够过滤 HTTPS 流量。
到目前为止,这些是我的想法。你怎么认为?有任何想法吗?
这是一个非常敏感的话题,需要我们最终解决。我几乎没有租给少数人的服务器。我拥有扫描服务器的所有合法权限和权利。
我想阻止人们存储儿童色情、虐待动物或其他类似性质的视频。首要任务是能够防止儿童色情,因为这是最敏感的问题。
我尝试在网上搜索解决方案,但找不到很多人甚至讨论这个问题,我认为主要是因为它被认为是讨论的禁忌话题。
我的想法之一是在服务器上搜索已知文件的签名。任何地方都有这样的数据库吗?
我知道像 GoDaddy 这样的大公司有这样的预防系统,但作为一个小公司老板我能做什么?
在 *nix 系统上,我可以使用chroot将两个进程彼此隔离并与系统的其余部分隔离。windows下有没有类似的安全系统?或者有什么方法可以防止两个进程读取/写入彼此的文件?
缓存的 Active Directory 域凭据如何存储在 Windows 客户端上?它们是否存储在本地 SAM 数据库中,从而使它们容易受到与本地用户帐户相同的彩虹表攻击,或者它们的存储方式不同?请注意,我确实意识到它们被加盐和散列,以便不以纯文本形式存储,但是它们是否以与本地帐户相同的方式散列并且它们存储在同一位置?
我意识到至少他们很容易受到蛮力攻击,但这比在机器被盗时容易受到彩虹表的攻击要好得多。
我有一个 Ubuntu 12.04 服务器。我已经更新了OpenSSL软件包以修复 heartbleed 漏洞。但即使我重新启动了 Web 服务器,甚至整个服务器,我仍然很容易受到攻击。
为了检查我的漏洞,我使用了:
dpkg 给出:
dpkg -l |grep openssl
ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools
(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)