标签: security

我正在寻找一种可靠且可移植的方法来检查 GNU/Linux 和其他系统上的 OpenSSL 版本，以便用户可以轻松地发现他们是否应该因为 Heartbleed 错误而升级他们的 SSL。

我认为这很容易，但我很快在使用最新的 OpenSSL 1.0.1g 的 Ubuntu 12.04 LTS 上遇到了问题：

openssl 版本 -a

我期待看到一个完整的版本，但我得到了这个：

OpenSSL 1.0.1 2012 年 3 月 14 日
建立时间：2013 年 6 月 4 日星期二 07:26:06 UTC
平台： [...]

令我不快的是，版本字母没有显示。没有 f，没有 g，只有“1.0.1”，就是这样。列出的日期也无助于发现（非）易受攻击的版本。

1.0.1 (af) 和 1.0.1g 之间的差异至关重要。

问题：

• 检查版本的可靠方法是什么，最好是跨发行版？
• 为什么不首先显示版本号？除了 Ubuntu 12.04 LTS 之外，我无法在其他任何设备上进行测试。

其他人也报告了这种行为。几个例子：

• https://twitter.com/orblivion/status/453323034955223040
• https://twitter.com/axiomsofchoice/status/453309436816535554

一些（特定于发行版的）建议正在推出：

• Ubuntu 和 Debian：apt-cache policy openssl和apt-cache policy libssl1.0.0. 将版本号与此处的软件包进行比较：http : //www.ubuntu.com/usn/usn-2165-1/
• Fedora 20：（yum info openssl感谢 Twitter 上的 …

我有一台带有 apache 的服务器，我最近安装了 mod_security2，因为我受到了很多攻击：

我的 apache 版本是 apache v2.2.3，我使用 mod_security2.c

这是错误日志中的条目：

[Wed Mar 24 02:35:41 2010] [error] 
[client 88.191.109.38] client sent HTTP/1.1 request without hostname 
(see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

[Wed Mar 24 02:47:31 2010] [error] 
[client 202.75.211.90] client sent HTTP/1.1 request without hostname 
(see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

[Wed Mar 24 02:47:49 2010] [error]
[client 95.228.153.177] client sent HTTP/1.1 request without hostname
(see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

[Wed Mar 24 02:48:03 2010] [error] 
[client 88.191.109.38] client sent HTTP/1.1 request …

有趣的是，我在搜索“OpenVPN vs IPsec”时没有找到任何好的搜索结果。所以这是我的问题：

我需要在不受信任的网络上设置专用 LAN。据我所知，这两种方法似乎都是有效的。但我不知道哪个更好。

如果您能列出两种方法的优缺点，以及您关于使用什么的建议和经验，我将不胜感激。

更新（关于评论/问题）：

在我的具体案例中，目标是让任意数量的服务器（具有静态 IP）相互透明地连接。但是一小部分动态客户端，如“公路战士”（具有动态 IP）也应该能够连接。然而，主要目标是在不受信任的网络之上运行一个“透明的安全网络”。我是个新手，所以我不知道如何正确解释“1:1 点对点连接”=> 解决方案应该支持广播和所有这些东西，所以它是一个功能齐全的网络。

如何确保我的 Bash 安装在更新后不再受到ShellShock错误的影响？

我将聘请一名 IT 人员来帮助管理我办公室的计算机和网络。我们是一家小商店，所以他将是唯一一个做 IT 的人。

当然，我会仔细面试，检查参考资料，并进行背景调查。但你永远不知道事情会如何发展。

如果我雇用的人是邪恶的，我如何限制我公司的曝光率？我如何避免让他成为组织中最有权势的人？

我们有一台运行在 Windows Server 2008 上的 Exchange 2007 服务器。我们的客户端使用另一个供应商的邮件服务器。他们的安全政策要求我们使用强制 TLS。直到最近，这都运行良好。

现在，当 Exchange 尝试将邮件传送到客户端的服务器时，它会记录以下内容：

无法在连接器“默认外部邮件”上建立到域安全域“ourclient.com”的安全连接，因为对 ourclient.com 的传输层安全性 (TLS) 证书的验证失败，状态为“UntrustedRoot”。联系 ourclient.com 的管理员解决问题，或从域安全列表中删除域。

从 TLSSendDomainSecureList 中删除 ourclient.com 会导致使用机会性 TLS 成功传递消息，但这充其量只是一种临时解决方法。

客户是一家非常大的、对安全敏感的国际公司。我们的 IT 联系人声称不知道他们的 TLS 证书有任何变化。我曾多次要求他确定生成证书的机构，以便我对验证错误进行故障排除，但到目前为止他一直无法提供答案。据我所知，我们的客户可以用来自内部证书颁发机构的证书替换他们的有效 TLS 证书。

有谁知道手动检查远程 SMTP 服务器的 TLS 证书的方法，就像在 Web 浏览器中检查远程 HTTPS 服务器的证书一样？确定谁颁发了证书并将该信息与我们的 Exchange 服务器上的受信任根证书列表进行比较可能会非常有帮助。

您如何授予LocalSystem(NT AUTHORITY\SYSTEM) 帐户访问网络资源的权限？

背景

访问网络时，LocalSystem 帐户充当网络上的计算机：

本地系统帐户

LocalSystem 帐户是服务控制管理器使用的预定义本地帐户。

...并充当网络上的计算机。

或者再说一遍：LocalSystem 帐户充当网络上的计算机：

当服务在作为域成员的计算机上的 LocalSystem 帐户下运行时，该服务具有授予该计算机帐户或该计算机帐户所属的任何组的任何网络访问权限。

如何授予“计算机”访问共享文件夹和文件的权限？

注意：

计算机帐户通常只有很少的权限并且不属于组。

那么我将如何授予计算机访问我的一个共享权限；考虑到“每个人”已经可以访问？

注意：工作组

| Account        | Presents credentials |
|----------------|----------------------|
| LocalSystem    | Machine$             |
| LocalService   | Anonymous            |
| NetworkService | Machine$             |

我看过一些建议，说你应该为私有应用程序使用不同的端口号（例如，内部网、私有数据库、任何外人都不会使用的东西）。

我不完全相信可以提高安全性，因为

1. 存在端口扫描器
2. 如果应用程序易受攻击，则无论其端口号如何，它都会如此。

我错过了什么还是我回答了我自己的问题？

我经常听到有人建议将用户帐户设置为/bin/false. 但是，在我现有的 Linux 系统上，我看到大量现有帐户（所有这些帐户都是服务帐户）都有一个 shell /sbin/nologin。

我从手册页看到/sbin/nologin向用户打印一条消息，说该帐户已被禁用，然后退出。大概/bin/false不会打印任何东西。

我还看到 中/sbin/nologin列出了/etc/shells，而未列出/bin/false。

手册页说 FTP 将禁止使用未列出的 shell 的用户访问，/etc/shells并暗示其他程序可能会这样做。这是否意味着有人可以使用具有/sbin/nologin外壳的帐户进行 FTP登录？

这里有什么区别？我应该使用其中的哪一个来禁用用户帐户，在什么情况下？上市/etc/shells还有什么其他影响？

大多数 OpenSSH 配置指南建议禁用密码身份验证以支持基于密钥的身份验证。但在我看来，密码认证有一个显着的优势：无需密钥即可从任何地方进行连接。如果始终使用强密码，这不应该是安全风险。还是应该？