Unix & Linux security

3

Conséquences pour la sécurité de l'oubli de citer une variable dans les shells POSH / bash

Si vous suivez unix.stackexchange.com depuis un moment, vous devriez savoir maintenant que laisser une variable non citée dans le contexte de liste (comme dans echo $var) dans les shells Bourne / POSIX (zsh étant l'exception) a une signification toute particulière et ne devrait pas être fait à moins d’avoir une …

206 bash shell shell-script security quoting

8

Autoriser setuid sur les scripts shell

Le setuidbit d'autorisation indique à Linux d'exécuter un programme avec l'ID utilisateur effectif du propriétaire à la place de l'exécuteur: > cat setuid-test.c #include <stdio.h> #include <unistd.h> int main(int argc, char** argv) { printf("%d", geteuid()); return 0; } > gcc -o setuid-test setuid-test.c > ./setuid-test 1000 > sudo chown nobody …

185 shell scripting setuid security

8

Quelle est la différence entre / sbin / nologin et / bin / false

Techniquement, si rien pamn'est configuré pour vérifier votre shell, pam_shellsaucun de ceux-ci ne peut réellement empêcher votre connexion, si vous n'êtes pas sur le shell. Sur mon système, ils ont même des tailles différentes, alors je suppose qu'ils font réellement quelque chose. Alors quelle est la différence? Pourquoi les deux …

170 shell security login

9

Les mythes sur les logiciels malveillants sous Unix / Linux

Est-il possible que ma machine Linux soit infectée par un malware? Je n'en ai entendu parler à personne que je connaisse et j'ai entendu dire à plusieurs reprises que ce n'était pas possible. Est-ce vrai? Si tel est le cas, que se passe-t-il avec le logiciel Linux Anti-Virus (sécurité)?

142 security malware

2

Quand le bogue shellshock (CVE-2014-6271 / 7169) a-t-il été introduit et quel correctif le corrige-t-il complètement?

Un peu de contexte sur le bug: CVE-2014-6271 Bash prend en charge l'exportation non seulement de variables shell, mais également de fonctions shell vers d'autres instances bash, via l'environnement de processus, vers des processus enfants (indirects). Les versions actuelles de bash utilisent une variable d'environnement nommée par le nom de …

122 bash security shellshock

8

Quel est le moyen le plus sûr d’obtenir les privilèges root: sudo, su ou login?

J'aimerais avoir le compte root en sécurité même si mon utilisateur non privilégié est compromis. Sur Ubuntu, vous ne pouvez utiliser sudo que pour des "raisons de sécurité" par défaut. Cependant, je ne suis pas sûr que ce soit plus sûr que d'utiliser simplement la connexion sur une console en …

120 security sudo login su privileges

2

Vim est-il à l'abri de l'attaque copier-coller?

Vous ne devriez jamais coller de Web à votre terminal . Au lieu de cela, vous devez coller dans votre éditeur de texte, vérifier la commande puis coller dans le terminal. Ce n'est pas grave, mais si Vim est mon éditeur de texte? Pourrait-on forger un contenu qui permette à …

112 security vim escape-characters clipboard special-characters

3

Comment puis-je récupérer du bogue Heartbleed dans OpenSSL?

CVE-2014-0160, également appelé Heartbleed, est une vulnérabilité dans OpenSSL. Ça a l'air effrayant. Comment puis-je déterminer si je suis affecté? Si je suis affecté, que dois-je faire? Apparemment, la mise à niveau ne suffit pas.

93 security openssl

3

Pourquoi y a-t-il un grand délai après la saisie d'un mot de passe incorrect?

Je remarque une chose étrange (bien, selon moi) à propos des mots de passe. Par exemple, si je tape un mot de passe incorrect lors de la connexion, quelques secondes s’écouleront avant que le système me le dise. Lorsque j'essaie d' sudoutiliser un mot de passe incorrect, je dois également …

89 security password authentication pam

1

Chrome: requêtes DNS avec des noms DNS aléatoires: un logiciel malveillant?

Au fil des ans (depuis 2005), j'ai vu des journaux de requêtes DNS aléatoires étranges effectuées sur les multiples serveurs DNS / BIND que je maintenais. May 7 12:13:50 1.1.1.1 named[63742]: client 1.1.1.2#24123 (verxkgiicjmcnxg): view internal: query: verxkgiicjmcnxg IN A + (1.1.1.1) May 7 12:13:50 1.1.1.1 named[63742]: client 1.1.1.2#29159 (epqoaqsayo): …

89 security dns chrome

10

Comment créer des hachages de mots de passe SHA512 en ligne de commande

Sous Linux, je peux créer un hachage de mot de passe SHA1 avec sha1pass mypassword. Existe-t-il un outil de ligne de commande similaire qui me permet de créer des sha512hachages? Même question pour Bcryptet PBKDF2.

83 security password encryption hashsum

5

Pourquoi la connexion root via SSH est-elle si mauvaise que tout le monde recommande de la désactiver?

Tout le monde sur Internet conseille de désactiver la connexion root via SSH car il s’agit d’une mauvaise pratique et d’une faille de sécurité dans le système, mais personne n’explique pourquoi. Qu'est-ce qui est si dangereux dans l'activation de la connexion root (en particulier avec la connexion par mot de …

83 ssh security root

5

Quel est l'intérêt de l'option “UseDNS” de sshd?

Je sais ce que ça fait, mais je ne sais pas pourquoi . Quelles attaques empêche-t-il? Est-ce pertinent pour tous les types de méthodes d'authentification? (hôte, mot de passe, publickey, clavier interactif ...)

79 ssh security dns openssh

8

Est-ce que / usr / sbin / nologin en tant que shell de connexion sert un objectif de sécurité?

Dans mon /etc/passwddossier, je peux voir que l’ www-datautilisateur utilisé par Apache, ainsi que toutes sortes d’utilisateurs du système, ont un shell /usr/sbin/nologinou /bin/falseun shell de connexion. Par exemple, voici une sélection de lignes: daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin sys:x:3:3:sys:/dev:/usr/sbin/nologin games:x:5:60:games:/usr/games:/usr/sbin/nologin www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin syslog:x:101:104::/home/syslog:/bin/false whoopsie:x:109:116::/nonexistent:/bin/false mark:x:1000:1000:mark,,,:/home/mark:/bin/bash Par conséquent, si j'essaie d'utiliser l'un de ces …

78 shell security users login

2

J'ai accidentellement saisi mon mot de passe dans le champ de connexion. Est-il toujours sécurisé?

Je regardais mon clavier et saisissais mon mot de passe parce que je pensais avoir déjà saisi mon identifiant. J'ai appuyé sur Enter, puis quand il a demandé le mot de passe, j'ai appuyé sur Ctrl+ c. Devrais-je prendre des mesures de précaution pour m'assurer que le mot de passe …

75 security login password

Questions marquées «security»