Tag: sicurezza

C'è una vulnerabilità statica sul lato server / virus / malware / scanner BadThings ™?

Facciamo un webserver hosting condiviso con il solito stack LAMP. È in function da molti anni fa (uhm, Apache-1.3 e PHP-3 giorni?) E ha attraversato molte iterazioni. Ci sforziamo di avere buone politiche di sysadmin, come mantenere tutte le stack aggiornate, verificare le password deboli, minimizzare la superficie di attacco, utilizzare il suhosin, tenere d'occhio […]

Che cosa dovrebbero essere le autorizzazioni di Apache SSL directory, certificato e chiave?

Ho i miei file cert.pem e cert.key nelle cartelle /etc/apache2/ssl . Quali sarebbero le autorizzazioni più sicure e la properties; di: directory /etc/apache2/ssl /etc/apache2/ssl/cert.pem /etc/apache2/ssl/cert.key (Garantire https:// accesso funziona ovviamente :). Grazie, JP

L'opzione PHP 'cgi.fix_pathinfo' è veramente pericolosa con Nginx + PHP-FPM?

Ci è stato molto parlare di un problema di sicurezza relativo cgi.fix_pathinfo PHP utilizzata con Nginx (di solito PHP-FPM, CGI veloce). Di conseguenza, il file di configuration predefinito nginx è stato usato per dire: # NOTE: You should have "cgi.fix_pathinfo = 0;" in php.ini Tuttavia, adesso, il wiki "ufficiale" Nginx afferma che PATH_INFO può essere […]

Strategia di aggiornamento Apache

Sono su CentOS 6.5 e Apache 2.2.15. Volevo che il mio httpd fosse aggiornato, così ho fatto: yum update httpd Dopo di che è ancora versione 2.2.15, ma la versione più recente è 2.2.22. Vedi anche aggiornamenti di sicurezza tra 2.2.15 e 2.2.22. Vorrei sapere se 2.2.15 è sicuro? Devo costringere l'aggiornamento alla versione più […]

Protezione dei webserver PHP

Le applicazioni PHP hanno una reputazione di problemi di sicurezza superiori alla media. Quali tecniche di configuration utilizzate per assicurarvi che l'applicazione sia più sicura? Sto cercando idee come: Utilizzo di PHP / Suhosin temprato Utilizzando mod_security Distriggersre register_globals e allow_url_fopen in php.ini Normalmente uso Linux, ma non esitate a suggerire soluzioni Windows.

Come posso registrare i comandi di bash degli utenti?

Sto eseguendo un server etch debian in cui gli utenti verranno accolti (probabilmente) un carcere chroot attraverso ssh. Come posso avere i comandi che eseguono il login in modo che non possono eliminare, né impedire?

come faccio a eseguire azioni root dall'account non root?

Voglio essere in grado di riavviare i servizi da un php-script. in esecuzione sotto l'account utente www. Qual è il modo migliore per eseguire queste azioni? Ricordo che posso mettere a creare un file con que'd comandi, letto da CRON, ma la soluzione prende. Quello che sto pensando è un piccolo servizio, che funziona sotto […]

Aggiornamento delle abilità di pulizia dei malware

Ho visto alcuni siti che offrono "Malware University", corsi di formazione per sbarazzarsi di malware. Pensi che l'aggiornamento delle tue abilità di rimozione di malware (o arsenale) sia necessaria di volta in volta? Come diventa più efficace affrontare questa crescente e molto complicata minaccia?

Come sapere se una chiave SSH pubblica ha una passphrase

Questo è probabilmente una domanda noob, ma come posso determinare se il pubblico SSH chiave che qualcuno mi dà ha una passphrase o no? Abbiamo una situazione in cui non genero le chiavi SSH per gli utenti, ma voglio assicurarsi che each chiave SSH che metto su un server abbia una passphrase, ma ho la […]

Evitare di mantenere il command nella storia

Io uso bash e vorrei evitare che alcuni comandi venissero conservati nella storia. È ansible farlo solo per il command successivo? È ansible farlo per tutta la session?

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.