问题[security](computer)

有人能解释一下为什么我无法以管理员身份访问我的磁盘分区并在资源管理器中查看磁盘的已用和可用大小吗？也许我真的不明白 NTFS 系统权限是如何工作的。

我的情况如下：

• 我有 Windows Server 2022，并且附加了数据磁盘。
• 数据盘有NTFS分区，盘符为F：
• 我是一名域用户，作为本地“管理员”组的成员添加到服务器。
• 我正在域用户环境下使用 RDP 连接到服务器。
• 当我打开 explorer.exe 时，我看到了磁盘分区，但看不到可用和已用大小。
• 当我尝试使用资源管理器访问磁盘时，出现错误：“F:\ 无法访问。访问被拒绝”。
• 当我尝试使用以管理员身份运行的资源管理器访问磁盘时，出现错误：“F:\ 无法访问。访问被拒绝”
• 磁盘分区的所有者是“SYSTEM”
• 磁盘分区的权限包含本地组“管理员”

当我在磁盘分区上添加具有以下权限的本地用户组“用户”时：“读取和执行、列出文件夹内容、读取”，一切正常。我可以看到可用和已用大小，我可以访问文件夹和文件。

为什么？为什么当我实际上处于本地管理员组中时，没有“用户”组就无法执行这些操作？

我正在设置一个 MikroTik cAP，将其配置为多租户接入点。LAN 接口是 VLAN 中继接口。对于每个租户以及管理 LAN，我都配置了一个专用网桥。网桥上的端口是 ether1 上的 VLAN 和每个频带的虚拟无线接口。只有管理 LAN 的网桥配置了 IP 地址，其他网桥没有配置，因此无法通过 IP 从租户网络访问 cAP。（MAC 服务器也已关闭。）

配置管理网络和一个租户后，我在 IP 连接列表中看到了来自该租户的广播流量（/ip firewall connection print，或 WebFig 中的等效项）。在我看来，这就像系统将它们传递到自己的 IP 协议栈一样——我想避免这种情况，以尽量减少攻击面。

如何配置网桥，使其只传输流量，而不将其传递到本地 IP 堆栈？

有几个网站可以让你查看你的 DNS。例如，一个不错的网站是： https: //browserleaks.com/dns。

这种网站怎么运作？特别是，我已经启用了 HTTPS 上的 DNS，但网站仍然正确显示我的 DNS 提供商。

mkdir /files
touch /files/files{0..10}
semanage fcontext -a -t public_content_t "/files(/.*)?"
restorecon -v -R /files
semanage fcontext -a -t public_content_rw_t "/files(/files.*)?"
restorecon -v -R /files

错误：

/files not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files10 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files8 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files5 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files4 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files9 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files0 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files7 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files1 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files3 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files2 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files6 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0

負責

ls -Z /files:

输出：

-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 

0 Aug 30 00:47 files0
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files1
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files10
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files2
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files3
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files4
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files5
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files6
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files7
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files8
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files9

谷歌表示，系统映像cos-101-17162-463-55不易受到安全漏洞的影响CVE-2024-6387，但没有说明原因。

我很困惑，因为我已经安装了cos-101-17162-463-55：

> cat /etc/os-release
NAME="Container-Optimized OS"
ID=cos
PRETTY_NAME="Container-Optimized OS from Google"
HOME_URL="https://cloud.google.com/container-optimized-os/docs"
BUG_REPORT_URL="https://cloud.google.com/container-optimized-os/docs/resources/support-policy#contact_us"
GOOGLE_METRICS_PRODUCT_ID=26
GOOGLE_CRASH_ID=Lakitu
KERNEL_COMMIT_ID=d650d6e37bc746134b41f3f34a31d4af7d875438
VERSION=101
VERSION_ID=101
BUILD_ID=17162.463.55

但OpenSSH仍处于易受攻击的版本之一：

> ssh -V
OpenSSH_8.5p1, OpenSSL 1.1.1v  1 Aug 2023

https://www.openssh.com/txt/release-9.8

表示版本8.5p1 - 9.7p1受到影响。

他们是否只是应用另一个补丁来修复此问题而没有进行更新ssh？

我检查了Google 建议的grep 'LoginGraceTime' /etc/ssh/sshd_config补丁，但似乎并未应用。

（如果这不是正确的网站，请告诉我……）

在为 GitHub 和其他网站选择身份验证应用程序时，我最终选择了 Sophos，因为，为什么不呢。显然，我可以选择 Google 应用程序或其他应用程序。

这表明它们基本上都在做同样的工作，而且该网站并不特别关心我使用哪个应用程序。我当然没有告诉网站我正在使用哪个应用程序，所以这表明它相当中立。

这是如何工作的？是否有一个身份验证中心点，还是它们都遵循相同的算法，或者是否有一个可接受的身份验证器列表？

假设我有一个存储设备想要与我的 Windows 10 计算机一起使用。我的驱动器上有一些敏感数据，我想在使用前擦除驱动器。通常我只是用Linux 机器来填充dd驱动器。我知道这不是最安全的，特别是对于闪存存储，但对我来说应该足够了。/dev/zero/dev/urandom

但是，如果我打算在 Windows 中使用 BitLocker 对其进行加密，并选择“加密整个驱动器”选项而不是“仅加密已使用的空间”，是否需要事先擦除它dd？或者 BitLocker 在加密整个驱动器时本质上会安全擦除它吗？

同样的答案是否适用于其他全驱动器加密方法（例如 LUKS）？

hydra -S -l "$email" -P w_file -V -s 465 smtp.gmail.com smtp

其中email只有一个是我的 gmail 帐户，并且w_file是一个包含三个错误密码和一个正确密码的文件（karina6c最后一行是正确的密码。Hydra 无法恢复密码，我得到以下输出：

Hydra v9.2 (c) 2021 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).

Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2024-01-04 12:33:21
[INFO] several providers have implemented cracking protection, check with a small wordlist first - and stay legal!
[WARNING] Google Mail and others have bruteforce and hydra detection and send false positives. You are not doing anything illegal right?!
[WARNING] !read the above!
[DATA] max 4 tasks per 1 server, overall 4 tasks, 4 login tries (l:1/p:4), ~1 try per task
[DATA] attacking smtps://smtp.gmail.com:465/
[ATTEMPT] target smtp.gmail.com - login "*******@gmail.com" - pass "jdut" - 1 of 4 [child 0] (0/0)
[ATTEMPT] target smtp.gmail.com - login "*******@gmail.com" - pass "kdfsknf" - 2 of 4 [child 1] (0/0)
[ATTEMPT] target smtp.gmail.com - login "*******@gmail.com" - pass "krege" - 3 of 4 [child 2] (0/0)
[ATTEMPT] target smtp.gmail.com - login "*******@gmail.com" - pass "karina6c" - 4 of 4 [child 3] (0/0)
1 of 1 target completed, 0 valid password found
Hydra (https://github.com/vanhauser-thc/thc-hydra) finished at 2024-01-04 12:33:27

我的脚本是否会因为gmail不再提供对第三方应用程序和设备的访问而失败？或者我的脚本有错误？

我正在考虑放弃托管解决方案（例如：1Password、BitWarden），并且有兴趣使用 KeePass 数据库来存储我的秘密。

从历史上看，我并没有太关注 KeePass，因为该应用程序看起来从来没有那么具有视觉吸引力，但我现在知道 KeePass 本身具有可与各种应用程序一起使用的数据库格式。

这些不同的应用程序之间有多少差异以及数据库本身的安全性如何？使用这些类型的应用程序时我应该注意哪些风险？

我正在寻找像Strongbox或KeePassium这样的解决方案，因为我几乎只在 Apple 生态系统中工作，而且它们似乎受到强烈推荐。他们似乎还支持云存储同步，如果可能的话我希望拥有它。

我希望使用强主密码和一组 YubiKey 来保护我的数据库，但我不清楚 YubiKey 是否与特定应用程序绑定，或者它是否实际上是 KeePass 数据库格式的一项功能并且可以打开如果 Strongbox 突然停业并因某种原因停止工作，可以使用KeePassXC之类的东西。

假设我有一个带有安全主密码和 YubiKeys 的数据库设置，即使有人访问我的数据库文件并拥有我的主密码，YubiKey 是否会保护它，无论他们使用什么应用程序？显然，人们担心的是，一旦文件存在，它就存在。与 1Password 不同，您可以撤销对学位的访问权限。

使用 Strongbox 或 KeePassium 等工具的最大风险是，其中一位开发人员可能会推出恶意更新来窃取您的凭据？

如果是这样，看到它们都在应用程序商店上，这让我感觉好一点，因为我知道至少在该平台上进行了一些检查（尽管我知道它并不完美）。

如果有人能为我提供一些线索那就太好了！我确实做了很多研究，但由于所有不同的变化，对我来说似乎没有什么是超级直接的，而且我偏执。

禁用远程桌面访问是 100% 安全的。

是否有一种万无一失的方法可以专门启用从指定笔记本电脑到我的 LAN 内的工作站的远程桌面访问？我知道实现绝对安全具有挑战性，但我的目标是建立一种配置，仅允许从该特定设备进行访问，同时尽可能优先考虑安全性。

我的目标是达到一个安全级别，即使在 LAN 上的另一个连接具有相同的 IP 和 MAC 地址且具有密码的情况下，也能阻止远程桌面访问。

也许使用基于自签名证书的方法？