标签: security

初始问题

我们制造运行网络服务器的设备，用户可以通过直接浏览设备的 IP 来控制设备的某些功能。当使用直接 WiFi 或以太网连接时，这可以是固定 IP，但在大多数情况下，这是设备从网络中的 DHCP 服务器接收的 IP。

访问浏览器的一些更高级的功能需要越来越多的 HTTPS。例如访问缓存（https://developer.mozilla.org/en-US/docs/Web/API/Cache），允许使用网络摄像头（https://blog.mozilla.org/webrtc/camera -microphone-require-https-in-firefox-68/ ), Service Workers ( https://www.digicert.com/dc/blog/https-only-features-in-browsers/ ), ...列表保留每天都在成长。

我都赞成拥有安全系统，但我认为存在一个主要问题。HTTPS (TLS) 设置证书的方式仅在域名与证书中的域名匹配并且证书颁发机构被客户端浏览器接受时才被标记为有效，即所谓的信任链。这在使用固定主机名的网络上非常有效。

然而，当用户不使用互联网而是使用他们的本地网络时，主机名是事先不知道的。有时用户可以使用本地 DNS、mDNS，但情况并非总是如此。很多时候用户只使用内部 IPv4 地址。这是问题开始的地方，因为使用我们制造的设备有两种选择：

1. 用户不使用 HTTPS（我们不强制执行，请继续阅读以了解原因）。目前的主要浏览器不会给出明确的警告，而是将页面标记为浅灰色的“不安全”。大多数用户甚至没有注意到它并且非常高兴。
2. 用户在同一设备上使用 HTTPS。尽管这使得连接更加安全，但浏览器现在明确告诉他们要极其谨慎地使用该设备，并且连接可能被黑客入侵，私人数据可能会被盗。该站点现在以红色标记为“不安全”，用户必须按 2 或 3 个按钮以允许证书例外。

选项 2 是我们不强制设备通过 HTTPS 访问的原因，因为它只是向许多用户发出警报并淹没客户服务。五年前，这并不是真正的问题，因为没有 HTTPS 一切都可以完成。随着越来越多的 API 现在只能在“安全上下文”中工作，这对我们来说真的是一个问题。

因此，我认为设计一个完全在内部网络中使用 HTTPS 而不使用主机名系统的系统的需求变得非常大。我可以想象私有 IPv4 范围可以从警告或更聪明的东西中排除。这让我想到我的问题，您是否面临同样的问题，如何解决？

更新 1

正如第一条评论中所指出的，现在提出的解决方案是使用通配符证书并为公共域上的设备配置 DNS 条目。然而，这存在客户端仍然需要活动互联网连接的问题。在此类设置中，情况当然并非总是如此。

更新 2

我还发现了这篇关于 Let's encrypt 的文章，它在没有给出解决方案的情况下讨论了同一主题：https : //letsencrypt.org/docs/certificates-for-localhost/

更新三：假设的解决思路

阅读以下答案和评论后，我正在考虑针对该问题的可能的安全解决方案。下面的设置（如果允许的话）是否安全？

1. 从具有名称约束的受信任根 CA 请求中间 CA 证书，该证书仅允许创建多个中间 CA，这些中间 CA 只能为单个固定主机名“*.mydevice.local”或类似内容创建证书，并允许所有私有 IPv4 地址在 SAN 中使用。 …

使用指纹读取器时操作系统身份验证是否比（强）密码更安全？

• 可以轻松破解吗？

• 顺便问一下，指纹存储在哪里？在硬件芯片上还是在文件系统上？

  • 这是否取决于阅读器的硬件？

  • 这是否依赖于库/操作系统实现？

是否有任何 Linux 软件可以监控传入的 ssh 会话。在之前的一份工作中，有人告诉我，如果你需要 Red Hat 的支持，例如，你可以让他们通过 SSH 连接到你的机器，你可以观察他们在做什么。

我处于类似的情况，我想通过 ssh 进入我朋友的机器来帮助他，但我希望他能够出于教育目的观看我正在做的事情，并确保我不会做任何恶意的事情。

有什么建议？

谢谢

很多时候，您不想在冲浪时被识别。一方面，您的浏览历史记录可能会在您不知情的情况下出售，对您没有任何好处。

我即将实施我自己的证书颁发机构 (CA)，仅供内部使用。

现在有一个问题，CA 私有永远不应该被利用。所以现在私钥是加密的。

还可以做些什么来增强私钥的安全性？

我有一个在 Ubuntu Precise 12.04 上运行的 OpenSSH 5.9p1 服务器，它接受来自内部网络和 Internet 的连接。我想要求对来自 Internet 的连接进行公钥身份验证，但对来自内部网络的连接接受公钥或密码身份验证。我可以配置 OpenSSH 来实现这一点吗？

想象一下共享虚拟主机公司的服务器设置，其中多个（约 100 个）客户可以访问单个服务器。

许多网络“软件”建议使用chmod 文件 0777。我很担心我们的客户不明智地遵循这些教程，向我们的其他客户开放他们的文件。（我cmod 0777自己当然不会无谓地使用！）有没有一种方法可以确保客户只能访问他们自己的文件并防止他们访问其他用户的世界可读文件？

我查看了AppArmor，但它与一个进程紧密耦合，该进程在该环境中似乎失败了。

这些年来，我尝试了各种基于网络的 IDS 和 IPS 系统，但从未对结果感到满意。要么系统太难管理，只能在基于旧签名的众所周知的漏洞上触发，要么就是对输出过于健谈。

无论如何，我不认为他们为我们的网络提供了真正的保护。在某些情况下，由于丢失有效连接或只是简单的失败，它们是有害的。

在过去的几年里，我确信事情已经发生了变化，那么现在推荐的 IDS 系统是什么？他们是否有有效的启发式方法并且不对合法流量发出警报？

或者，依靠良好的防火墙和加固的主机是否更好？

如果你推荐一个系统，你怎么知道它在做它的工作？

正如一些人在下面的答案中提到的，让我们也得到一些关于主机入侵检测系统的反馈，因为它们与基于网络的 IDS 密切相关。

对于我们当前的设置，我们需要监控两个总带宽为 50mbps 的独立网络。我在这里寻找一些真实世界的反馈，而不是能够执行 IDS 的设备或服务列表。

我使用的是 SLES 10.1，并尝试配置 vsftpd 以允许 root 登录。有谁知道如何做到这一点？

到目前为止，我有这个：

local_enable=YES
chroot_local_user=NO
userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd.users

我已经将 root 添加到 /etc/vsftpd.users。当我尝试登录时，这是我得到的：

$ ftp susebox
连接到 susebox.example.com。
220-FTP 服务器（用户“me@example.com”）
220
用户 (susebox.example.com:(none))：root
331-密码：
331
密码：
远程主机关闭了连接。

C:\>

顺便说一句，如果你不知道答案，请不要打扰我说我不应该允许 root 登录。我知道我在做什么，我对可能导致的时空连续体的任何破裂承担全部责任。

我正在寻找对 IIS 使用的 IUSR 和 IWAM 帐户的一个很好的解释，以帮助我更好地配置我们的托管环境：

• 他们为什么在那里？
• 它们之间有什么区别？
• 名字代表什么有意义的东西吗？
• 我应该做出哪些最佳实践更改？
• IIS 还为我提供了将应用程序池作为网络服务、本地服务或本地系统运行的选项。我是不是该？
• 我的网络服务器是域的一部分，这如何改变事情？

在将多个站点部署到服务器时，创建这些帐户的您自己的版本似乎很常见，这会引发一些额外的问题：

• 我什么时候可以创建自己的 IUSR 和 IWAM 帐户？
• 我应该如何创建这些附加帐户，以便他们拥有正确的权限？

我使用的 IIS 6 和 IIS 7 大多采用默认配置。