标签: security

鉴于越来越多的安全问题，例如新宣布的针对 SSL/TLS 的浏览器漏洞利用 (BEAST)，我很好奇我们如何通过 OpenSSL 和 Apache 启用 TLS 1.1 和 1.2 以确保我们不会受到攻击到此类威胁载体。

我正在寻找一个日志文件或任何服务来报告由于用户名/密码不匹配而失败的最新登录尝试。CentOS 是否有任何此类实用程序可用？（最好是内置的）

我的第二个问题，更一般地说，我需要一个渗透尝试到我的服务器的日志文件。理想情况下，此日志应包含所有尝试，包括登录、httpd 活动和其他常规开放端口。

在我们的小型企业中，我们使用了大约 75 台 PC。服务器和台式机/笔记本电脑都是最新的，并使用 Panda Business Endpoint Protection和Malwarebytes Business Endpoint Security（MBAM + Ant-Exploit）进行保护。

但是，在我们的生产环境中，我们有大约 15 台 Windows XP PC 在运行。他们连接到公司网络。主要用于 SQL 连接和日志记录目的。他们对服务器的写访问权限有限。

Windows XP PC 仅用于一种专用（自定义）生产应用程序。没有办公软件（电子邮件、浏览、办公……）。此外，这些 XP-PC 中的每一个都有 Panda 网络访问控制，不允许访问 Internet。唯一的例外是 Windows 和 Panda 更新。

从安全的角度来看，是否有必要用新 PC 替换这些 Windows XP PC？

我今天读了一篇文章，描述了渗透测试人员如何能够创建一个余额为 1400 万美元的假银行账户。然而，有一段描述这次攻击的内容很突出：

然后他“淹没”交换机——引导数据流量的小盒子——用数据淹没银行的内部网络。这种攻击将交换机变成了一个“集线器”，可以不加选择地向外广播数据。

我不熟悉描述的效果。是否真的可以通过发送大量流量来强制交换机向其所有端口广播流量？在这种情况下到底发生了什么？

我最近在一个小型 .NET MVC 站点上安装了 ELMAH，并且不断收到错误报告

System.Web.HttpException: A public action method 'muieblackcat' was not found on controller...

这显然是试图访问不存在的页面。但是为什么会尝试访问此页面？

这是一次攻击还是仅仅是机器人扫描以查看我是否已被感染？'muieblackcat' 到底是什么，为什么要尝试访问这个 URL？

我想有一个安全的连接，当我登录到我的 webmail、phpMyAdmin等时。

因此，我使用 OpenSSL 签署了自己的 SSL 证书，并告诉 Apache 侦听端口 443。

这实际上安全吗？我的所有密码是否真的通过安全可靠的层发送？如果我从Verisign购买 SSL 证书或签署我自己的证书，这有什么区别？在一天结束时，无论如何所有数据都将在我的服务器上。那么最大的区别是什么？

我通常喜欢为自己设置单独的登录，一个具有常规用户权限，另一个用于管理任务。例如，如果域是 XXXX，我会设置一个 XXXX\bpeikes 和一个 XXXX\adminbp 帐户。我一直这样做是因为坦率地说，我不相信自己以管理员身份登录，但在我工作过的每个地方，系统管理员似乎只是将他们常用的帐户添加到域管理员组中。

有没有最佳实践？我看过 MS 的一篇文章，它似乎说你应该使用运行方式，而不是以管理员身份登录，但他们没有给出一个实现的例子，我从来没有见过其他人这样做。

我现在已经与服务原则名称搏斗了几次，而微软的解释是不够的。我正在配置一个 IIS 应用程序以在我们的域上工作，看起来我的一些问题与我需要在运行托管我的站点的应用程序池的 Windows 服务帐户上配置特定于 http 的 SPN相关。

所有这一切让我意识到我只是没有完全理解服务类型（MSSQL、http、主机、termrv、wsman 等）、Kerberos 身份验证、活动目录计算机帐户（PCName$）、Windows 服务帐户、SPN 之间的关系，以及我用来尝试访问服务的用户帐户。

有人可以解释 Windows 服务原则名称 (SPN) 而不过度简化解释吗？

创意类比的加分点会引起中等经验的系统管理员/开发人员的共鸣。

所以，情况就是这样。看来我们需要一个开放的 TCP 端口 5432 到全世界，客户可以访问他的 PostgreSQL 数据库。

出于显而易见的原因，我们不能只说“不”，只能作为最后的手段。

最大的困难是什么？如何保护我们的基础设施？

无论如何：为什么不应该向世界开放？我想，也许它比一些已有 20 年历史、无人维护的 FTP 服务器更安全。

PS VPN 不行。一些加密可能（如果我可以给他其中JDBC连接URL的作品）。

我不确定是否应该在此处或在security.stackexchange.com上询问此问题...

在复活节长周末，我们的一个小办公室发生了网络故障，使用一台旧的 HP 打印机打印了一些非常令人反感的反犹太文件。这似乎已经发生了一些西方文化在世界各地的大学。

无论如何......我读到它实际上是大多数联网打印机的一个非常基本的安全漏洞。与 TCP 端口 9100 和 Internet 访问有关。我没能找到很多关于如何的细节的信息，因为每个人似乎都太关心为什么了。

对于受影响的办公室来说，网络设置非常简单。它有 4 台个人电脑、2 台联网打印机、一个 8 端口交换机和一个运行 ADSL2+ 连接的住宅调制解调器/路由器（具有静态互联网 IP 和非常简单的配置）。
是调制解调器/路由器或打印机的弱点吗？

我从未真正将打印机视为需要配置的安全风险，因此为了保护该办公室的网络，我想了解打印机是如何被利用的。如何停止或阻止漏洞利用？并在我们其他更大的办公室中检查或测试漏洞（或正确的漏洞块）？