Articles of 安全

只能在应用程序服务器上安全访问预授权的个人

我正在构build一个PHP应用程序,并希望将后端(甚至login页面)locking为只能由预先授权的人员访问 – 甚至还能够将活动链接到授权的个人。 我知道,这样的locking可以使用SSL或一个类别的证书,但不知道它是什么,或如何实现它。 我已经看到不同的公司以下面提到的方式实施它 在一家公司,用户填写一份详细的表格,公司发布用户在浏览器上安装的证书,以便访问后端 另一家公司,一个用户每次想要访问后端时都要运行一个exe。 我的PHP应用程序正在运行在Windows服务器2016年,我想知道如何实现上述两个或两者之一。 资源或具体将不胜感激。 我不确定这个问题是否在这里或另一个堆栈交换networking,请原谅我的无知。

在Kail Linux和Ubuntu上,OpenVAS与NVT Feed同步错误

最近在ISO的Kail Linux和Ubuntu上安装了OpenVAS,但是在同步过程中遇到了一个问题。 当通过Kail VM映像更新安装到VMware Workstation时,openvas-Setup过程全部更新正常。 当通过ISO安装Kail Linux与OpenVAS时,出现下面的错误。 在使用OpenVAS软件包安装到Ubuntu 16.04上时,也会出现下面的错误。 bzip2:(stdin)不是bzip2文件tar:孩子返回状态2 tar:错误不可恢复:现在退出 NVT更新是小瓶的扫描,所以我需要帮助理解为什么它说这不是一个bzip2文件。 其他提要同步没有问题。 NVT_bzip2_error

在MariaDB中使用letsencrypt服务器证书

在使用我们encryption时,以下目录只能由root访问: /etc/letsencrypt/live/ /etc/letsencrypt/archive/ 启动MariaDB时,它以“mysql”用户身份运行,因此当您尝试使用Let's Encrypt证书启用SSL时,您会收到一条错误消息。 [Warning] SSL error: SSL_CTX_set_default_verify_paths failed 这是迄今为止的预期行为。 当我执行时: chmod 755 /etc/letsencrypt/live/ chmod 755 /etc/letsencrypt/archive/ 这允许MariaDB启用SSL,在连接到MariaDB时可以使用以下命令进行检查: show variables like '%ssl%' 那么,问题是这是一个多大的安全问题。 Nginx可以使用让我们使用默认权限对证书进行encryption,尽pipe它在我的系统上以用户“nginx”的身份运行,但由于它使用<1024以下的端口,所以似乎以比MariaDB更高的权限运行。 chmod 755使letsencrypt私钥文件“世界可读”在我的系统…丑陋。 您只能通过SSH公钥authentication连接到我的服务器,root不允许login。 被允许login的用户除了su root之外不能做任何事情,所以甚至在系统上的暴力似乎也是不可能的。 还有一些系统上的其他sftp用户是chroot,无法访问/ etc / … 所以我应该是安全的,但我不知道是否有任何解决scheme,而不使letsencrypt目录世界可读。 (当然,除了使用MariaDB的自签名证书)

如果我有一个内核版本,我可以得到它易受攻击的CVE列表吗?

所以说我有一个内核版本。 就像其中之一一样: 3.10.0-229.el7.x86_64 2.6.32-220.el6.x86_64 3.10.0-514.26.2.el7.x86_64 3.10.35-43.137.amzn1.x86_64 2.6.32-358.14.1.el6.x86_64 有没有办法以编程方式获得内核版本易受攻击的CVE列表? 我知道,如果我知道一个CVE,我可以很容易地看到哪个内核版本容易受到攻击,但是我正在寻找另一种方式。

通道 – 证书validation

我有信心为Redis提供SSL。 我有以下configuration: [redis] CAfile= /etc/stunnel/ca.crt accept = 636 cert = /etc/stunnel/server1.crt connect = localhost:6379 key = /etc/stunnel/server1.key verify = 2 我用openssl生成所有的密钥和证书: # generate ca openssl req -new -x509 \ -keyout "/etc/stunnel/ca.crt" \ -out "/etc/stunnel/ca.key" \ -days 365 \ -passout "pass:123456" \ -subj "$subj" 然后我通过openssl genrsa -des3生成密钥然后我通过openssl req -new -key生成csr。 然后我通过openssl x509 -req生成签名证书CA和openssl x509 -req指向ca.crt和ca.key然后我通过openssl rsa解密密钥 […]

Suexec:无效的命令错误

我试图用suexec设置lighttpd,但是在testing时出了点问题:当我尝试通过suexec启动某个东西时,它给了我日志: [2017-10-08 00:23:24]: invalid command (/srv/http/main/htdocs/cgi-bin/test.py) suexec -V输出: -D AP_DOC_ROOT="/srv/http" -D AP_GID_MIN=100 -D AP_HTTPD_USER="lighttpd" -D AP_LOG_EXEC="/var/log/lighttpd/suexec.log" -D AP_SAFE_PATH="/usr/local/bin:/usr/bin:/bin" -D AP_UID_MIN=100 -D AP_USERDIR_SUFFIX="public_html" 我用来启动程序的包装器: #!/bin/bash filename="$1" user="$(/usr/bin/stat -c "%U" "$filename") group="$(/usr/bin/stat -c "%G" "$filename") cd "$(dirname "$filename")" /usr/local/bin/suexec "$user" "$group" "$filename" 权限没问题,没有stream氓写入位设置。 尝试从两个userdirs( /home/$USER/public_html )和从docroot。

Nginx的PAM模块是否“安全”?

背景: 我想为使用Nginx托pipe的网站部分实现HTTPauthentication,但允许用户使用他们用于samba / shelllogin的相同密码,类似于IIS上的Windows身份validation。 题: ngx_http_auth_pam_module似乎做我想做的,但是在自述文件中的这一行让我害怕: 您需要让Web服务器用户读取/ etc / shadow文件 我知道影子保存的是密码哈希而不是密码,但是由于这些哈希和关联的用户名可能会暴露给networking,所以这仍然看起来像一个暴露给www数据组的“坏东西”。 这是一个有效的恐惧,还是我只是偏执? 在旁边: 随着一点挖掘,似乎PAMvalidation应该是可行的,而不能访问阴影,所以我不知道为什么插件是这样实现的… …

Squid Proxy使用易受攻击的端口

我的防火墙(Juniper SRX)使用已知可用于木马,Windows后门和NHL 2013等易受攻击端口的方式获取出站stream量。有一点看起来很奇怪,那就是stream量正在使用ICMP协议。 这已经每天进行了几次。 我正在Ubuntu 16.04上运行一个更新的Squid代理。 自动更新被禁用,并且基于主机的防火墙具有默认的拒绝入站/出站,只有端口80到特定IP的允许出站。 在拿我的棒球棒之前,有人可以解释或确认鱿鱼的行为吗? 或与HTTPstream量有关的Ubuntu后台行为? 下面是一天stream量会话的副本,除了Ubuntu镜像(91.189.xx)之外,IP已经被遮盖了。 如果匹配时间戳,则可以看到每次创build允许的会话时都会有一个拒绝的会话。 在这一天我没有运行任何更新或从主机生成HTTPstream量,这让我想知道Ubuntu在后台做什么。 IP地址 8.8.8.8 = Public IP Gateway 10.1.1.1 = Squid Proxy (RFC1918 using source NAT –> 8.8.8.8) 192.168.1.1 = Host 192.168.1.2 = Host 192.168.1.3 = Host 拒绝stream量 Oct 15 03:53:37 firewall RT_FLOW: RT_FLOW_SESSION_DENY: session denied 10.1.1.1/1024->91.189.91.23/42518 0x0 icmp 1(8) deny vlan1 uplink UNKNOWN UNKNOWN […]

Servlet安全性的Wild </s>

我正在尝试运行一个需要特定angular色的servlet的基本项目。 在standalone.xmlconfiguration文件中,我添加了一个JDBC绑定数据源到一个derby数据库,该数据库包含启用在同一个文件中添加的特定安全域中定义的authentication和授权的表 <datasource jndi-name="java:jboss/datasources/TestDS" pool-name="TestDS" enabled="true"> <connection-url>jdbc:derby://localhost:1527/JPADB</connection-url> <driver-class>org.apache.derby.jdbc.ClientDriver</driver-class> <driver>derbyclient.jar</driver> <transaction-isolation>TRANSACTION_READ_COMMITTED</transaction-isolation> <pool> <min-pool-size>10</min-pool-size> <max-pool-size>100</max-pool-size> <prefill>true</prefill> </pool> <security> <user-name>user</user-name> <password>passw0rd</password> </security> <statement> <prepared-statement-cache-size>32</prepared-statement-cache-size> <share-prepared-statements>true</share-prepared-statements> </statement> </datasource> … <security-domains> <security-domain name="testDomain" cache-type="default"> <authentication> <login-module code="Database" flag="required"> <module-option name="dsJndiName" value="java:jboss/datasources/TestDS"/> <module-option name="rolesQuery" value="SELECT role, 'Roles' FROM users WHERE username=?"/> <module-option name="hashAlgorithm" value="MD5"/> <module-option name="hashEncoding" value="hex"/> <module-option name="principalsQuery" value="SELECT password […]

更改system-auth和password-auth后无法login

所以我正在努力完成一些事情,我不能完全理解。 我试图限制login尝试3(通过SSH,terminal或GUI,3次失败后,我想locking帐户1小时。 我有两个testing帐户在更改之前正常工作: user1 is an ldap account , user2 is a local account with a set password 在对rhel站点上build议的system-auth和password-auth进行更改后,我根本无法login。 幸运的是,我没有修改root帐户,我仍然可以访问系统,但是我没能find出错的地方。 system-auth和password-auth都是一样的,这是我的configuration: auth required pam_env.so auth required pam_faillock.so preauth silent deny=3 unlock_time=3600 fail_interval=900 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail deny=3 unlock_time=3600 fail_interval=900 auth sufficient pam_faillock.so authsucc audit deny=3 auth requisite pam_succeed_if.so uid >= […]