Security-all

Érdekelne, hogy vállalati környezetben milyen pendrive-al (illetve bármilyen USB háttértárral) kapcsolatos biztonsági megoldások használatosak.
Ilyesmire gondolok:

- Aktivitás monitor
- Alert
- Titkosítás
- Policy-k
- Média audit
- stb

Igazából valamiféle alkalmazást/módszert keresek, amivel megoldható a biztonságos USB háttértár használat egy közepes méretű IT rendszeren (Win AD). Az USB portok tiltása nem pálya.

Eddig ezt találáltam:
http://www.monitorusb.com/

Nagyon nem értek a tanúsítványokhoz ezért kérném a segítségeteket.
Ez alapján csináltam saját magam által aláírt tanúsítványt: http://sugo.ubuntu.hu/10.04/html/serverguide/hu/certificates-and-securi…
Mivel csak belső hálózaton használnám ocs inventory ng-hez:
A fenti leírást végig csináltam ezt a hibát látom az ssl_error.log-ban:
[Wed Aug 25 09:33:45 2010] [error] Unable to configure RSA server private key
[Wed Aug 25 09:33:45 2010] [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

Gugliztam egy csomót, sok helyen megoldották ezt a hibát, csak az a baj, hogy a gyenge angolom miatt nem értem a megoldást.
előre is köszönöm a segítséget.

Hello,

Ez mennyire mukodokepes dolog? Sajna AIX-en az a jelenseg, hogy ha a log_input be van allitva, mikor a sudo forkolna barmilyen processzt (termeszetesen shellel probalkoztam: sudo su -), se kep, se hang, a processz nem reagal. A syslogban megjelenik a kiadott parancs, a sudo-t futtato shell ^C-re visszaadja a promptot. A hivatalos legutolso stabil binaris buildet (is) probaltam.

Beallitasahoz csak a kovetkezo sort kell felvenni a sudoers-be:

Defaults log_input

A logok elvileg a /var/log/sudo-io/ alatt keletkeznenek.

udv
LGee

szerk. Hatha nem egyertelmu: a fenti csak az input logolasara vonatkozik, egy log_output sor is kell, ha a kimenet is szukseges.

Sziasztok!

A jövőhéten kellene élesítenem egy levelező szervert. Sajnos a webmail követelmény rajta. Kérdésem az hogy szigorúan biztonsági szempontból van-e valakinek tapasztalata a lenti webmail megoldásokkal.

1, squirrelmail
2, openwebmail
3, roundcube
4, horde

Ha esetleg van +/- negatív tapasztalat és azt megosztjátok, azt megköszönném.

Ki milyen módszereket ajánl/állít be magának vagy más felhasználónak a kellően biztonságos netbankoláshoz?

A Bankban általában elmondják (esetleg csak hirdetményben), hogy használatkor figyeljünk a következőkre:
1, megfelelő környezet (pl. ne netkávézó)
2, hardver/szoftver követelmények
3, hardver/szoftver feletti kontroll (pl. ne legyen keylogger)
4, megbízható, folyamatosan frissített naprakész OS/böngésző/vírusölő
5, ne admin jogoosultságú felhasználóval használjuk a számítógépet
6, gyakran változtatott megfelelő bonyolultságú netbankos jelszó, amit lehetőleg nem írunk le sehova
7, mindig magunk írjuk be a netbanki URL-t a böngésző címsorába

Bank/Netbank választás szempontja nincs a listán, az több topikban is szerepel így itt már adottnak vettem.
--
Légy derűs, tégy mindent örömmel!

Az sg.hu cikkében komoly figyelmeztetést találtam az érintőképernyők használatával kapcsolatban. Ha valakinek zsíros az ujja akkor a képernyőn maradt nyomokból elég jó eséllyel vissza lehet fejteni a jelszavakat.A Pennsylvania Egyetem öt munkatársa gondolt egyet és megnézte hogy mire jut a képernyők vizsgálatával. "Az elvégzett kísérletekben az öt szakembernek sikerült az érintőképernyőkről készített fotók segítségével megszerezniük több eszköz jelszavát." Ha valaki nekilát takarítani akkor sem egyszerű a dolga mert: "... rendkívül nehéz eltüntetni vagy felismerhetetlenné tenni a zsíros foltokat az érintőképernyőkről..."

Kíváncsi lennék ki hogyan szokott törődni ezzel a problémával és mit tesz ellene?

Hello!

Minden héten van 1-2 ilyen mávinformatikás kitiltás a tűzfalon. Szokott jönni digis látogatóktól is. Mástól nem, csak máv és digi.
Log:
http://pastebin.com/6uiuAGyL

Mi ez, mi az oka ennek? Tippek?

Hi,

Van egy *.domain.com tanusítvány, amit több szerveren is használunk. Nyílván ezért vettünk wildcard certificate-et. Nem sokára beindul egy új weboldal, ami azonban nem saját szerveren lesz, hanem menedzselt szolgáltatás. Nekünk is teljes hozzáférésünk van, de külsős cég a saját szerverein működteti a mi domainünk alatt a mi ügyfeleink számára. Szóltak, hogy állítsam be apache alatt az ssl-t.

A kulcs nem jelszavas, tudom öreg hiba, ez van...

Mennyire legyek paranoiás? Nincs velük negatív tapasztalat. Egy ilyen kapcsolat a bizalomra épül megfelelő szerződéses garanciákkal megtámogatva, de valahogy mégsem akaródzik kirakni a kulcsot egy külsős szerverre. Ti vásárolnátok erre a célra egy külön tanúsítványt?

Fefe

Sziasztok,

tomcat-re szeretnek globalsign (http://www.globalsign.co.uk/) altal alairt certifikaciot rakni, de
A processz megvan, hogy kell, szepen vegig csinalom a kovetkezo keppen:

lokalis cert letrehozasa:
-keytool -genkey -alias tomcat -keyalg RSA -keystore keystore.tomcat

-csr letrehozasa:
-keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore keystore.tomcat

szepen megkapom a certreq.csr fajlomat, amit elkuldtok a globalsign-nak aki vissza is kuldi az alairt .crt file-t.

Ezek utan beimportalom a mar meglevo tomcat.keystore fajlba a ceg rootCA-t, az interCA-t es a sajat mar visszakapott/alairt .crt file-omat:

-keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file root.crt ,ezt az importot vegig csinalom az inter.crt-vel es a sajat.crt-vel is.

ezek utan a tomcat konfigjaban. vagyis a server.xml-ban megcsinalom a hivatkozast a a keystore-ra.

Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="/path-to-keystore/tomcat.keystore" keystorePass="keystore jelszo"

tomcat restart es... nem mukodik!!

illetve a self signed cert-et elfogadja, tehat, https://domainev:8443 cimen elerem a honlapot, csak ugye nem biztosnagos kapcsolat, sajat certet letolteni majd elfogadni stbstb.

Ha a bongeszoben megnezem a certifikaciot, kiirja, hogy nincs rootCA telepitve, tehat ezert nem fogadja el az alair cert-et. en telepitettem a fenti keytool parancsal, ha kilistazom a keystore file-t keytool -list -el , akkor mutatja is hogy szerepel benne.

annyi talan meg erdekes lehet hogy ez egy alfresco applikacios szerver (centos 5.5), dokumentum kezelo progi, jdk-t es tomcat-et, automatikusan magatelepiti, a progi indito szkripjevel. A webes feluletes http-n igy erem el: http://alfresco.domain.com:8080/share, secure modban pedig: https://alfresco.domain.com:8443/share, de mint mondtam ez csak self signed cert-el megy, az alairt root-al nem...

Mi lehet a gond, miert nem fogadja el a rootCA-t nekem?

koszi elore is a segitseget, nagy szuksegem lenne megoldani, mar napok ota ezzel szorakozom :)

udv

Titkosítja valaki az éteri csatornát a wifi-s cuccal?
Mert szerintem baromság.

A WiFi nálam csak és kizárólag átviteli közeg.
Tehát nem bízom rá a titkosítást. Az csak a dolga, hogy vigye át az adatokat.