Рубрика «security» - 10

в 16:07, , рубрики: active directory, bash, linux, powershell, security, ssh, sudo, windows server 2012 r2, Настройка Linux, Серверное администрирование, системное администрирование

Исторически сложилось, что sudo права регулировались содержимым файлов из /etc/sudoers.d и visudo, а авторизация по ключам велась с использованием ~/.ssh/authorized_keys. Однако с ростом инфраструктуры возникает желание управлять этими правами централизованно. На сегодняшний день вариантов решения может быть несколько:

  • Система управления конфигурацией — Chef, Puppet, Ansible, Salt
  • Active Directory + sssd
  • Разнообразные извращения в виде скриптов и ручного редактирования файлов

На мой субъективный взгляд, оптимальным вариантом централизованного управления является все-таки связка Active Directory + sssd. Преимущества данного подхода вот в чем:

  • Действительно Единый централизованный каталог пользователей.
  • Раздача прав sudo сводится к добавлению пользователя в определенную группу безопасности.
  • В случае различных Linux-систем возникает необходимость вводить дополнительные проверки на определение ОС при использовании систем конфигурации.

Сегодняшняя сюита будет посвящена именно связке Active Directory + sssd для управления правами sudo и хранением ssh ключей в едином репозитории.
Итак, зал застыл в напряженном молчании, дирижер поднял палочку, оркестр приготовился.
Поехали.
Читать полностью »

в 9:23, , рубрики: acronis, api, backup, cybersecurity, security, Блог компании Acronis, Inc, хранение данных

Начиная с 25 апреля 2019 у партнеров появилась возможность получить ранний доступ (Early Access) к платформе Acronis Cyber Platform. Это первый этап реализации программы по формированию новой экосистемы решений, в рамках которой компании по всему миру смогут воспользоваться платформой Acronis для интеграции сервисов киберзащиты в свои продукты и решения, а также получают возможность предложить собственные услуги мировому сообществу через наш будущей маркетплейс. Как это работает? Читайте в нашем посте.

Acronis впервые открывает доступ к API для разработчиков - 1
Читать полностью »

в 14:02, , рубрики: bug bounty, bugbounty, bugs, security, wi-fi, информационная безопасность, Сетевое оборудование, Тестирование IT-систем

Некоторое время назад мне предоставилась возможность поэксперементировать с настройками одного заурядного роутера. Дело в том, что первое апреля обязывало меня разыграть своих товарищей с университета. В университеть была Wi-Fi сеть. Мною было решено поднять на своем роутере поддельную есть (задать имя, пароль и установить MAC-адрес одной из легитимных точек доступа), на ноутбуке запустить вой DNS, web сервер. Каждый случайно подключившийся к моей сети и попытавшийся на зайти на какой либо сайт должен был перенапрявляться на мою страничку с первоапрельской картинкой. Но история не об этом. Когда я ковырялся в настройках роутера я нашел интересный баг, о нем я сегодня и расскажу.

image

Читать полностью »

в 15:19, , рубрики: ads, monetization, security, браузеры, Монетизация веб-сервисов
image

Начиная с сегодняшнего дня (24/04/2019) для пользователей последней версии браузера Brave доступна функция Brave Rewards. При активации Brave Rewards пользователи, просматривающие рекламу, предоставленную Brave Ads, в качестве вознаграждения будут получать 70% от оплаты за рекламу.
Читать полностью »

в 13:51, , рубрики: Bearer Tokens, hacks, oauth, security, Tokens, информационная безопасность, Разработка веб-сайтов, Тестирование веб-сервисов

OAuth 2 overview

This article assumes that readers are familiar with OAuth 2. However, below a brief description of it is presented below.

The most common OAuth 2.0 Hacks - 1

  1. The application requests authorization to access service resources from the user. The application needs to provide the client ID, client secret, redirect URI and the required scopes.
  2. If the user authorizes the request, the application receives an authorization grant
  3. The application requests an access token from the authorization server by presenting authentication of its own identity, and the authorization grant
  4. If the application identity is authenticated and the authorization grant is valid, the authorization server issues the access and refresh (if required) token to the application. Authorization is complete.
  5. The application requests the resource from the resource server and presents the access token for authentication
  6. If the access token is valid, the resource server serves the resource to the application

The are some main Pros and Cons in OAuth 2.0

+OAuth 2.0 is easier to use and implement (compared to OAuth 1.0)
+Wide spread and continuing growing
+Short lived Tokens
+Encapsulated Tokens

-No signature (relies solely on SSL/TLS ), Bearer Tokens
-No built-in security
-Can be dangerous if used from not experienced people
-Too many compromises. Working group did not make clear decisions
-Mobile integration (web views)
-Oauth 2.0 spec is not a protocol, it is rather a framework — RFC 6749

Читать полностью »

в 15:17, , рубрики: active directory, open source, security, Windows Server, безопасность, информационная безопасность, пароль, пользователи, Серверное администрирование, системное администрирование

Человек, как известно, существо ленивое. А тем более, когда касается вопроса выбора устойчивого пароля.

Думаю, каждый из администраторов когда-либо сталкивался с проблемой использования легких и стандартных паролей. Такое явление часто встречается среди верхних эшелонов руководства компании. Да-да, именно среди тех, кто имеет доступ к секретной или коммерческой информации и крайне нежелательно было бы устранять последствия утечки/взлома пароля и дальнейших инцидентов.
Читать полностью »

в 11:16, , рубрики: css, security, безопасность веб-приложений, верстка, перевод

Привет! Представляю Вашему вниманию перевод статьи «Why can’t I set the font size of a visited link?» автора Jim Fisher.

Почему нельзя установить размер шрифта у посещенной ссылки - 1

Посещенные ссылки отображаются фиолетовым; не посещенные — голубым. Это различие пришло к нам с времен появления веба. Но CSS позволяет нам перенастроить эти свойства с помощью псевдо-селектора :visited! Скажем, вы хотите сделать посещенные ссылки серыми и уменьшить их размер, для того чтобы показать пользователю что эта ссылка уже была посещена.
Читать полностью »

в 11:25, , рубрики: api, axis, camera, ip camera, network, open systems, recording, security, software, video management systems, video surveillance, Блог компании ROI4CIO, видеонаблюдение, видеотехника, информационная безопасность, Софт

Review of Open Video Management Systems - 1

Video surveillance has long been used to solve various problems. In the 1950s and '60s, these were analog closed video surveillance systems, the name CCTV (closed circuit television) reveals the meaning of the concept.
Читать полностью »

в 10:54, , рубрики: HideMe.ru, HideMy.name, it-эмиграция, security, vpn, анонимность, Блог компании HideMy.name, блокировка сайтов, Законодательство в IT, китай, копирайт, Роскомнадзор, фриланс, цензура

Цензура тесно связана с политикой. Ежегодный мировой рейтинг свободы в интернете наглядно иллюстрирует эту зависимость: государства, в которых нарушаются права человека, блокируют «неугодные» ресурсы или перекрывают доступ к глобальной сети.
   Государственный интернет: рассказ удалёнщика о VPN в Китае - 1

Только 13 из 65 стран, анализ которых исследователи из Freedom House провели в 2017 году, не препятствует информационной свободе своих граждан. Большинство остальных пользователей мирового интернета может получить доступ к заблокированным ресурсам только с помощью VPN-сервисов. В том числе и жители Китая, где в последнее время ужесточилась охота за нелицензионными VPN.

Фронтенд-разработчик Арарат Мартиросян, который живет в Китае и работает удалённо, рассказал нам о том, что происходит с местными VPN-сервисами и где, по его мнению, самый свободный интернет. Публикуем здесь его рассказ.
Читать полностью »

в 18:22, , рубрики: C#, c++, devops, DevSecOps, java, microsoft mvp, mvp, open source, opensourse, programming, pvs-studio, pvs-studio free, SAST, security, static code analysis, static code analyzer, Блог компании PVS-Studio, информационная безопасность, статический анализ кода

PVS-Studio Free

Существует несколько вариантов бесплатного лицензирования статического анализатора кода PVS-Studio, предназначенного для поиска ошибок и потенциальных уязвимостей. Бесплатной лицензией могут воспользоваться открытые проекты, маленькие закрытые проекты, публичные специалисты по безопасности и обладатели статуса Microsoft MVP. В статье кратко рассматривается каждый из этих вариантов.

PVS-Studio — это инструмент для выявления ошибок и потенциальных уязвимостей в исходном коде программ, написанных на языках С, C++, C# и Java. Работает в среде Windows, Linux и macOS.
Читать полностью »

1...91011...2030...44
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js