Jestem /sbini widzę, że shutdownma uprawnienia rwxr-xr-x. Czy to nie oznacza, że każdy może to wykonać?
Zastanawiam się nad bezpieczeństwem sygnałów UNIX. SIGKILLzabije proces. Co się stanie, gdy proces użytkownika innego niż root wyśle sygnał do procesu użytkownika root? Czy proces nadal wykonuje procedurę obsługi sygnału? Śledzę przyjętą odpowiedź (gollum) i piszę man capabilites, i znajduję...
Dlaczego ludzie boją się wpisywać hasła w wierszu poleceń? Plik historii znajduje się w ~/.history, więc jest dostępny tylko dla użytkownika, który wykonał polecenia (i
Piszę program, który przetestuje programy napisane przez studentów. Obawiam się, że nie mogę im ufać i muszę się upewnić, że nie skończy się to źle na komputerze, na którym jest uruchomiony. Zastanawiałem się nad stworzeniem jakiegoś użytkownika do testów zderzeniowych z ograniczonym dostępem do...
Jestem dość nowy w świecie administracji systemem. Ostatnio pracuję nad aplikacją i kiedy sprawdzam logi serwera aplikacji, ciągle otrzymuję różne adresy IP próbujące ssh na mój serwer brutalną siłą. Oto przykład mojego dziennika serwera: Feb 14 04:07:20 foodwiz3 sshd[1264]: error: Could not load...
Korzystam z VPS, który chciałbym zabezpieczyć za pomocą UFW, pozwalając na połączenia tylko z portem 80. Aby jednak móc administrować nim zdalnie, muszę pozostawić port 22 otwarty i mieć do niego dostęp z domu. Wiem, że UFW można skonfigurować tak, aby zezwalał na połączenia z portem tylko z...
Przez ostatnie kilka tygodni na moim serwerze testowym Ubuntu była dziwna aktywność. Sprawdź poniższy zrzut ekranu z htopa. Każdego dnia ta dziwna usługa (która wygląda jak usługa wydobywania kryptowaluty) działa i zajmuje 100% procesora. Mój serwer jest dostępny tylko poprzez klucz ssh, a...
Wiem, że najlepiej jest tworzyć pliki tymczasowe mktemp, ale co z nazwanymi potokami? Wolę, aby rzeczy były jak najbardziej zgodne z POSIX, ale tylko Linux jest akceptowalny. Unikanie bashism jest moim jedynym trudnym kryterium, kiedy piszę
Chciałbym utworzyć nowego użytkownika i dać mu dostęp do sudo. Mówiąc konkretnie, chcę, aby używał sudo vimi edytował httpd.conf. Napisałem to w sudoers: user ALL=(ALL) /usr/bin/vim /etc/httpd/confs/httpd.conf Słyszałem jednak, że może to być ryzykowne. Dlaczego to jest problematyczne? Jak...
Po ostatniej włamaniu na maszynę z systemem Linux znalazłem plik wykonywalny w folderze domowym użytkownika ze słabym hasłem. Wyczyściłem wszystko, co wydaje się być wszystkimi uszkodzeniami, ale dla pewności przygotowuję pełne wyczyszczenie. Co może zrobić złośliwe oprogramowanie uruchamiane...
Chciałbym móc wyodrębnić plik tar, tak aby wszystkie wyodrębnione pliki zostały umieszczone w określonym katalogu prefiksów. Każda próba zapisania plików tar do zewnętrznych katalogów przez pliki tar powinna spowodować niepowodzenie wypakowania. Jak możesz sobie wyobrazić, jest to tak, że mogę...
Mam laptopa z Debianem i zamierzam go sprzedać. Czy wystarczy usunąć instalację Debiana przed sprzedażą, aby całkowicie wyczyścić mój laptop z moich danych osobowych, a jeśli tak, to jak mogę odinstalować Debiana (aby nie było żadnego systemu operacyjnego na
Czytając szczegóły CVE-2009-4487 (który dotyczy niebezpieczeństwa sekwencji specjalnych w plikach dziennika) jestem nieco zaskoczony. Cytując CVE-2009-4487 : nginx 0.7.64 zapisuje dane do pliku dziennika bez odkażania znaków niedrukowalnych, co może pozwolić zdalnym atakującym na modyfikację...
Chcę połączyć się z moim domowym serwerem z pracy za pomocą NFS. Próbowałem sshfs, ale niektórzy twierdzą, że nie jest tak niezawodny jak NFS. Wiem, że ruch sshfs jest szyfrowany. Ale co z NFS? Czy ktoś może obwąchać mój ruch i wyświetlić pliki, które kopiuję? Używam NFSv4 w mojej sieci LAN i...
Jak sprawdzić, które .rsa, .pem i inne pliki są „ładowane” lub „aktywne” ssh-add? Właśnie przestraszyłem się: $ scp -i /home/dotancohen/.ssh/dotancohen.pem [email protected]:~/files.tgz . Warning: Identity file /home/dotancohen/.ssh/dotancohen.pem not accessible: No such file or...
Wiem, że pewien zakres adresów IP powoduje problemy z moim serwerem. 172.64.*.*Jaki jest najlepszy sposób na zablokowanie dostępu do mojej instancji Amazon EC2? Czy istnieje sposób, aby to zrobić za pomocą grup zabezpieczeń, czy lepiej jest to zrobić za pomocą zapory na samym...
Podczas audytu /var/log/auth.logna jednym z moich publicznych serwerów znalazłem: Jan 10 03:38:11 Bucksnort sshd[3571]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.19.255.53 user=bin Jan 10 03:38:13 Bucksnort sshd[3571]: Failed password for bin from...
Jak zablokować polecenie, powiedzmy mkdirdla konkretnego użytkownika? To, co właśnie stworzyłem, stworzyłem funkcję tylko do odczytu i przechowuję w profilu użytkownika ~/.bashrc /bin/mkdir() { echo "mkdir command not allow for you" } mkdir() { echo "mkdir command not allow for...
Najwyraźniej działa: perl -n -e 'some perl code' * Lub find . ... -exec perl -n -e '...' {} + (to samo z -pzamiast -n) Lub perl -e 'some code using <>' * często spotykane w linijkach opublikowanych na tej stronie, ma wpływ na bezpieczeństwo. O co chodzi? Jak tego...
Zarządzam modułem Gentoo Hardened, który korzysta z możliwości plików, aby wyeliminować większość potrzebnych plików binarnych z katalogu root setuid (np. /bin/pingMa CAP_NET_RAW itp.). W rzeczywistości, jedyne pliki binarne, które mi pozostały, to: abraxas ~ # find / -xdev -type f -perm...