标签: security

我们在 ESXi 上运行一些 Solaris / Linux VM，其中包含非常敏感的加密数据，这些数据最终会根据需要在内存中解密。

一切都很好，除了可能存储一些解密数据的 ESXi 交换文件，最重要的是，如果主机崩溃，这些文件不会被删除。

有没有办法完全禁用这些文件？

我们已经尝试在每个 VM 的基础上将整个分配的 RAM 保留给 VM，但仍然会创建文件。

为整个主机或仅为某些 VM 完全禁用 ESXi 交换需要什么？

我最近负责了一个新的 RedHat EL5.6 服务器。很明显，在过去的 12 个月中，几乎没有关注任何类型的软件包更新。

通常我的心态是如果它没有坏掉 - 不要修复它。但是，在向 RHN 注册服务器并使用 yum-security 插件检查安全更新后，只有 1100 多个“安全”更新可用。

有没有人遇到过类似的情况？我不愿意只更新所有内容，因为我想知道正在更新的内容以及它是否有可能影响机器上运行的任何内容（这是一个生产服务器）。但是，看起来与这种做法保持一致还需要我逐行检查 1100 包勘误表。有没有更有效的解决方案？

从早期开始，我就一直是 Heroku 的粉丝。但我喜欢 AWS Elastic Beanstalk 让您更好地控制实例特征的事实。我喜欢 Heroku 的一件事是我可以部署应用程序而不必担心管理它。我假设Heroku 确保及时应用所有操作系统安全更新。我只需要确保我的应用程序是安全的。

我对 Beanstalk 的初步研究表明，虽然它为您构建和配置实例，但之后它转向了更加手动的管理过程。安全更新不会自动应用于实例。似乎有两个方面的担忧：

• 新的 AMI 版本 - 随着新的 AMI 版本的出现，我们似乎希望运行最新的（大概是最安全的）。但我的研究似乎表明您需要手动启动新设置才能查看最新的 AMI 版本，然后创建一个新环境以使用该新版本。是否有更好的自动化方式将您的实例轮换为新的 AMI 版本？
• 在发布之间，将发布包的安全更新。似乎我们也想升级它们。我的研究似乎表明人们安装命令来偶尔运行 yum 更新. 但是由于新实例是根据使用情况创建/销毁的，因此新实例似乎并不总是具有更新（即实例创建和第一次 yum 更新之间的时间）。因此，有时您会遇到未打补丁的实例。而且您还将让实例不断自我修补，直到应用新的 AMI 版本。我的另一个担忧是，这些安全更新可能没有经过亚马逊自己的审查（就像 AMI 版本那样），它可能会破坏我的应用程序来自动更新它们。我知道 Dreamhost 曾经有过 12 小时的中断，因为他们在没有任何审查的情况下完全自动地应用了 debian 更新。我想确保同样的事情不会发生在我身上。

所以我的问题是亚马逊是否提供了一种方法来提供像 Heroku 这样的完全托管的 PaaS？或者 AWS Elastic Beanstalk 真的更像是一个安装脚本，之后您就可以自己动手了（除了他们提供的监控和部署工具）？

最终编辑：我对 DKIM 的看法似乎完全错误，签名域不必与发件人域相同，因此我的问题的整个前提是有缺陷的。非常感谢保罗指出我的错误！

原问题如下：

我曾尝试阅读 SPF 和 DKIM，但我不明白同时使用两者的意义，至少在打击垃圾邮件的背景下（伪造的发件人地址，这可能导致我的电子邮件服务器/域被列入黑名单）。据我所知，只有 DKIM 才能完成 SPF 应该完成的工作。

到目前为止，我的理解如下：

1. 发送电子邮件时，发件人可以声明他们想要的任何内容（例如伪造的发件人地址）
2. DKIM 允许检测伪造的发件人电子邮件地址，因为您可以根据 DNS TXT 记录中的公钥验证 DKIM 签名。
3. SPF 允许您验证电子邮件是否来自有权为给定发件人地址发送电子邮件的邮件服务器。

我不明白的是：除非 DKIM 私钥以某种方式被泄露，否则仅 DKIM 验证就足以验证电子邮件是从授权的电子邮件服务器发送的，否则电子邮件服务器将无法用于签署电子邮件的私钥。

我在这里看到了一个非常相似的问题的答案：https : //serverfault.com/a/780248/154775，作者在其中声称 DKIM 无法防止重放攻击。我承认这一点，但我发现这是一个非常极端的案例，我认为迄今为止最大的问题是带有虚假发件人地址的垃圾邮件 - DKIM 应该很容易地防止这种情况发生。

与仅 DKIM 相比，是否存在重放攻击之外的场景，其中 SPF 提供额外保护？

编辑：我用粗体标记了我的问题的核心，以澄清我到底想要什么答案。

我想为大多数（不是所有）通过 SSH 登录的用户设置一个 chroot jail。我听说最新版本的 openssh 是可能的，但我一直无法找到如何去做。How To 都在谈论修补旧版本，而该补丁已不再可用。

我正在运行 debian etch。

我在 Windows Server 2008 机器上运行带有 SSH 守护进程的 Cygwin。我在查看事件查看器时注意到，在过去一周左右的时间里，来自不同 IP 的每秒多达 5 到 6 次失败的登录尝试（蛮力）。

如何自动阻止这些 IP，而不是手动一个一个地阻止它们？

谢谢，艾哈迈德

这已上传到我的 FTP 文件夹之一。我不熟悉 Apache，但仍然很好奇 - 有人能告诉我这个文件试图提交什么类型的卑鄙行为吗？谢谢！

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR] …

在我工作的办公室，其他三名 IT 员工始终使用域管理员组成员的帐户登录他们的计算机。

我非常担心以管理员权限（本地或域）登录。因此，对于日常计算机使用，我使用一个只有普通用户权限的帐户。我还有一个不同的帐户，它是域管理员组的一部分。当我需要在我的计算机、其中一台服务器或另一个用户的计算机上执行需要提升权限的操作时，我会使用此帐户。

这里的最佳做法是什么？网络管理员是否应该始终以对整个网络的权限（或者甚至是他们的本地计算机）登录？

当特权或技术人员辞职/被解雇时，您如何处理离职流程？您是否有一份清单来确保公司基础设施的持续运营/安全？

我正在尝试制定一个很好的规范清单，列出我离开时同事应该做的事情（我一周前辞职，所以我有一个月的时间来整理和 GTFO）。

到目前为止，我有：

1. 护送他们离开场所

2. 删除他们的电子邮件收件箱（将所有邮件设置为全部转发）

3. 删除他们在服务器上的 SSH 密钥

4. 删除他们的 mysql 用户帐户

   ...

下一个是什么。我忘了提到什么，或者可能有什么类似的用处？

（尾注：为什么这是题外话？我是系统管理员，这涉及持续的业务安全，这绝对是主题。）

ls -l /etc/passwd

给

$ ls -l /etc/passwd
-rw-r--r-- 1 root root 1862 2011-06-15 21:59 /etc/passwd

所以普通用户可以读取文件。这是安全漏洞吗？