Als «security» getaggte Fragen

Wenn Sie unix.stackexchange.com schon länger folgen, sollten Sie jetzt hoffentlich wissen, dass das Nichtanführen einer Variablen im Listenkontext (wie in echo $var) in Bourne / POSIX-Shells (zsh ist die Ausnahme) eine ganz besondere Bedeutung hat und sollte nicht gemacht werden, es sei denn, Sie haben einen sehr guten Grund dazu. …

206 bash  shell  shell-script  security  quoting 

Das setuidBerechtigungsbit weist Linux an, ein Programm mit der effektiven Benutzer-ID des Eigentümers anstelle des Executors auszuführen: > cat setuid-test.c #include <stdio.h> #include <unistd.h> int main(int argc, char** argv) { printf("%d", geteuid()); return 0; } > gcc -o setuid-test setuid-test.c > ./setuid-test 1000 > sudo chown nobody ./setuid-test; sudo chmod …

184 shell  scripting  setuid  security 

Technisch gesehen kann, sofern nicht so konfiguriert pamist , dass Ihre Shell mit pam_shellskeiner dieser Optionen überprüft wird , die Anmeldung verhindert werden, wenn Sie nicht in der Shell sind. Auf meinem System sind sie sogar unterschiedlich groß, daher vermute ich, dass sie tatsächlich etwas tun. Was ist der Unterschied? …

169 shell  security  login 

Kann sich meine Linux-Box mit Malware infizieren? Ich habe noch nie von jemandem gehört, den ich kenne, und ich habe einige Male gehört, dass dies nicht möglich ist. Ist das wahr? Wenn ja, was ist mit der Linux-Anti-Virus-Software (Sicherheitssoftware) los?

142 security  malware 

Ein wenig Kontext zum Fehler: CVE-2014-6271 Bash unterstützt den Export nicht nur von Shell-Variablen, sondern auch von Shell-Funktionen in andere Bash-Instanzen über die Prozessumgebung in (indirekte) untergeordnete Prozesse. Aktuelle Bash-Versionen verwenden eine Umgebungsvariable, die nach dem Funktionsnamen benannt ist, und eine Funktionsdefinition, die mit „() {“ im Variablenwert beginnt, um …

122 bash  security  shellshock 

Ich möchte das Root-Konto in Sicherheit haben, auch wenn mein nicht privilegierter Benutzer gefährdet ist. Unter Ubuntu kann sudo standardmäßig nur aus "Sicherheitsgründen" verwendet werden. Ich bin mir jedoch nicht sicher, ob dies sicherer ist, als nur die Anmeldung an einer Konsole im Textmodus zu verwenden. Es gibt zu viele …

120 security  sudo  login  su  privileges 

Sie sollten niemals aus dem Internet in Ihr Terminal einfügen . Stattdessen sollten Sie in Ihren Texteditor einfügen, den Befehl überprüfen und dann in das Terminal einfügen. Das ist in Ordnung, aber was ist, wenn Vim mein Texteditor ist? Könnte man einen Inhalt fälschen, der Vim in den Befehlsmodus versetzt …

112 security  vim  escape-characters  clipboard  special-characters 

CVE-2014-0160 aka Heartbleed ist eine Sicherheitslücke in OpenSSL. Es sieht beängstigend aus. Wie stelle ich fest, ob ich betroffen bin? Was muss ich tun, wenn ich betroffen bin? Anscheinend reicht ein Upgrade nicht aus.

93 security  openssl 

Ich bemerke eine seltsame (naja, meiner Meinung nach) Sache mit Passwörtern. Wenn ich zum Beispiel beim Anmelden ein falsches Kennwort eingebe, dauert es einige Sekunden, bis das System dies mitteilt. Wenn ich es sudomit einem falschen Passwort versuche, muss ich auch warten, bis die Shell "Sorry, try again" sagt. Ich …

89 security  password  authentication  pam 

Im Laufe der Jahre (seit 2005) habe ich auf mehreren von mir verwalteten DNS / BIND-Servern Protokolle mit seltsamen zufälligen DNS-Anfragen gesehen. May 7 12:13:50 1.1.1.1 named[63742]: client 1.1.1.2#24123 (verxkgiicjmcnxg): view internal: query: verxkgiicjmcnxg IN A + (1.1.1.1) May 7 12:13:50 1.1.1.1 named[63742]: client 1.1.1.2#29159 (epqoaqsayo): view internal: query: epqoaqsayo …

88 security  dns  chrome 

Unter Linux kann ich einen SHA1-Passwort-Hash mit erstellen sha1pass mypassword. Gibt es ein ähnliches Kommandozeilen-Tool, mit dem ich sha512Hashes erstellen kann ? Gleiche Frage für Bcryptund PBKDF2.

83 security  password  encryption  hashsum 

Jeder im Internet rät dazu, die Root-Anmeldung über SSH zu deaktivieren, da dies eine schlechte Praxis und eine Sicherheitslücke im System darstellt, aber niemand erklärt, warum dies so ist. Was ist so gefährlich beim Aktivieren der Root-Anmeldung (insbesondere bei deaktivierter Passwortanmeldung)? Und was ist der Unterschied zwischen dem X-Symbol-Benutzernamen und …

83 ssh  security  root 

Ich weiß, was es tut, aber ich weiß nicht warum . Welche Angriffe werden verhindert? Ist es für alle Arten von Authentifizierungsmethoden relevant? (hostbasiert, Passwort, Publickey, keyboard-interaktiv ...)

79 ssh  security  dns  openssh 

In meiner /etc/passwdDatei kann ich sehen, dass der www-datavon Apache verwendete Benutzer sowie alle Arten von Systembenutzern entweder /usr/sbin/nologinoder /bin/falseals Anmeldeshell haben. Hier zum Beispiel eine Auswahl von Zeilen: daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin sys:x:3:3:sys:/dev:/usr/sbin/nologin games:x:5:60:games:/usr/games:/usr/sbin/nologin www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin syslog:x:101:104::/home/syslog:/bin/false whoopsie:x:109:116::/nonexistent:/bin/false mark:x:1000:1000:mark,,,:/home/mark:/bin/bash Wenn ich versuche, zu einem dieser Benutzer zu wechseln (was ich manchmal tun …

77 shell  security  users  login 

Ich schaute auf meine Tastatur und tippte mein Passwort ein, weil ich dachte, ich hätte bereits meinen Anmeldenamen eingegeben. Ich drückte Enterund als es nach dem Passwort fragte, drückte ich Ctrl+ c. Sollte ich Vorsichtsmaßnahmen treffen, um sicherzustellen, dass das Passwort nicht im Klartext gespeichert wird, oder sollte ich das …

75 security  login  password