Perguntas[security](computer)

Alguém pode me explicar por que não consigo acessar minha partição de disco e ver o tamanho usado e livre do disco no explorer como administrador? Talvez eu não entenda corretamente como as permissões do sistema NTFS funcionam.

Aqui está a minha situação:

• Tenho o Windows Server 2022 com um disco de dados conectado.
• O disco de dados tem partição NTFS com letra F:
• Sou um usuário de domínio adicionado ao servidor como membro do grupo local "Administradores".
• Estou me conectando ao servidor usando RDP no contexto de usuário do domínio.
• Quando abro o explorer.exe, vejo a partição do disco, mas não consigo ver o tamanho livre e utilizado.
• Quando tento acessar o disco usando o Explorer, recebo o erro: "F:\ não está acessível. Acesso negado".
• Quando tento acessar o disco usando o explorer executando como administrador, recebo o erro: "F:\ não está acessível. Acesso negado"
• O proprietário da partição do disco é 'SYSTEM'
• As permissões da partição do disco contêm o grupo local 'administradores'

Quando adiciono o grupo de usuários local 'Usuários' com permissões: "Ler e Executar, Listar conteúdo de pastas, Ler" na partição do disco, tudo está funcionando. Posso ver o tamanho livre e usado, posso acessar as pastas e arquivos.

Por quê? Por que não consigo fazer essas coisas sem o grupo 'Usuários' quando estou de fato no grupo Administrador local?

Estou configurando um MikroTik cAP, para ser configurado como um ponto de acesso multitenant. A interface LAN é uma interface de tronco VLAN. Para cada locatário, bem como para a LAN de gerenciamento, estou configurando uma ponte dedicada. As portas na ponte são uma VLAN em ether1 e uma interface sem fio virtual para cada banda de frequência. Apenas a ponte para a LAN de gerenciamento tem um endereço IP configurado, as outras não, então o cAP não pode ser acessado via IP das redes de locatários. (O servidor MAC também está desligado.)

Após configurar a rede de gerenciamento e um locatário, vejo tráfego de transmissão daquele locatário na lista de conexões IP ( /ip firewall connection print, ou o equivalente no WebFig). Isso me parece como se o sistema estivesse passando-os para sua própria pilha de protocolo IP – o que eu quero evitar, para minimizar a superfície de ataque.

Como configuro uma ponte para apenas passar tráfego, sem nunca passá-lo para a pilha IP local?

Existem alguns sites que permitem que você visualize seu DNS. Por exemplo, um bom é: https://browserleaks.com/dns .

Como esse tipo de site funciona? Especialmente, eu habilitei DNS sobre HTTPS, mas o site ainda mostra meu provedor de DNS corretamente.

mkdir /files
touch /files/files{0..10}
semanage fcontext -a -t public_content_t "/files(/.*)?"
restorecon -v -R /files
semanage fcontext -a -t public_content_rw_t "/files(/files.*)?"
restorecon -v -R /files

Um erro:

/files not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files10 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files8 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files5 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files4 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files9 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files0 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files7 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files1 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files3 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files2 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0
/files/files6 not reset as customized by admin to unconfined_u:object_r:public_content_t:s0

Eu

ls -Z /files:

Saída:

-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 

0 Aug 30 00:47 files0
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files1
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files10
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files2
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files3
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files4
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files5
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files6
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files7
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files8
-rw-r--r--. 1 root root unconfined_u:object_r:public_content_t:s0 0 Aug 30 00:47 files9

O Google está afirmando que a imagem do sistema cos-101-17162-463-55não é vulnerável à vulnerabilidade de segurança, CVE-2024-6387mas não diz por quê.

Estou confuso enquanto instalei cos-101-17162-463-55:

> cat /etc/os-release
NAME="Container-Optimized OS"
ID=cos
PRETTY_NAME="Container-Optimized OS from Google"
HOME_URL="https://cloud.google.com/container-optimized-os/docs"
BUG_REPORT_URL="https://cloud.google.com/container-optimized-os/docs/resources/support-policy#contact_us"
GOOGLE_METRICS_PRODUCT_ID=26
GOOGLE_CRASH_ID=Lakitu
KERNEL_COMMIT_ID=d650d6e37bc746134b41f3f34a31d4af7d875438
VERSION=101
VERSION_ID=101
BUILD_ID=17162.463.55

Mas o OpenSSH ainda está em uma das versões vulneráveis:

> ssh -V
OpenSSH_8.5p1, OpenSSL 1.1.1v  1 Aug 2023

https://www.openssh.com/txt/release-9.8

diz que as versões 8.5p1 - 9.7p1são afetadas.

Eles acabaram de aplicar outro patch para corrigir isso sem atualizar ssh?

Verifiquei grep 'LoginGraceTime' /etc/ssh/sshd_configqual é o patch sugerido pelo Google , mas parece que não foi aplicado.

(Deixe-me saber se este não é o site certo…)

Na hora de escolher um aplicativo autenticador para GitHub e outros sites, acabei optando pelo Sophos, porque, por que não. Aparentemente, eu poderia ter escolhido o Google app ou outro.

Isso sugeriria que todos eles estão fazendo basicamente o mesmo trabalho e que o site não se importa particularmente com qual aplicativo eu uso. Certamente não contei ao site qual aplicativo estou usando, o que sugere que é bastante neutro.

Como é que isso funciona? Existe um ponto central de autenticação, ou todos seguem o mesmo algoritmo, ou existe uma lista de autenticadores aceitáveis?

Digamos que eu tenha um dispositivo de armazenamento que desejo usar com minha máquina Windows 10. Tenho alguns dados confidenciais na unidade e gostaria de apagá-la antes de usá-la. Normalmente eu uso apenas ddpara preencher a unidade com /dev/zeroou /dev/urandomde uma máquina Linux. Eu sei que não é o mais seguro, especialmente para armazenamento flash, mas deve ser suficiente no meu caso.

Mas se estou planejando criptografá-lo com o BitLocker no Windows de qualquer maneira e selecionar a opção "criptografar unidade inteira" em vez de "criptografar apenas o espaço usado", é necessário limpá-lo com ddantecedência? Ou o BitLocker essencialmente o limpa com segurança ao criptografar toda a unidade?

A mesma resposta se aplica a outros métodos de criptografia de unidade completa, como o LUKS?

hydra -S -l "$email" -P w_file -V -s 465 smtp.gmail.com smtp

Onde emailestá apenas uma das minhas contas do Gmail e w_fileé um arquivo com três senhas incorretas e uma correta ( karina6cna última linha está a senha correta. Hydra não consegue recuperar a senha, recebo a seguinte saída:

Hydra v9.2 (c) 2021 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).

Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2024-01-04 12:33:21
[INFO] several providers have implemented cracking protection, check with a small wordlist first - and stay legal!
[WARNING] Google Mail and others have bruteforce and hydra detection and send false positives. You are not doing anything illegal right?!
[WARNING] !read the above!
[DATA] max 4 tasks per 1 server, overall 4 tasks, 4 login tries (l:1/p:4), ~1 try per task
[DATA] attacking smtps://smtp.gmail.com:465/
[ATTEMPT] target smtp.gmail.com - login "*******@gmail.com" - pass "jdut" - 1 of 4 [child 0] (0/0)
[ATTEMPT] target smtp.gmail.com - login "*******@gmail.com" - pass "kdfsknf" - 2 of 4 [child 1] (0/0)
[ATTEMPT] target smtp.gmail.com - login "*******@gmail.com" - pass "krege" - 3 of 4 [child 2] (0/0)
[ATTEMPT] target smtp.gmail.com - login "*******@gmail.com" - pass "karina6c" - 4 of 4 [child 3] (0/0)
1 of 1 target completed, 0 valid password found
Hydra (https://github.com/vanhauser-thc/thc-hydra) finished at 2024-01-04 12:33:27

Meu script falha porque o acesso a aplicativos e dispositivos de terceiros não é mais uma opção do Gmail? Ou há um erro no meu script?

Estou pensando em abandonar as soluções hospedadas (ex: 1Password, BitWarden) e estou interessado em usar um banco de dados KeePass para armazenar meus segredos.

Historicamente, não prestei muita atenção ao KeePass, pois o aplicativo nunca pareceu tão atraente visualmente, mas agora sei que o próprio KeePass possui um formato de banco de dados que pode ser usado com vários aplicativos.

Quanta variação existe entre esses diferentes aplicativos e quão seguro o banco de dados permanece por si só? Há algum risco que eu deva estar ciente ao usar esses tipos de aplicativos?

Estou procurando uma solução como Strongbox ou KeePassium , pois trabalho quase exclusivamente no ecossistema Apple e elas parecem ser altamente recomendadas. Eles também parecem oferecer suporte à sincronização de armazenamento em nuvem, o que eu gostaria de ter, se possível.

Eu gostaria de proteger meu banco de dados com uma senha mestra forte, bem como um conjunto de YubiKeys, mas não estou certo se as YubiKeys estão vinculadas ao aplicativo específico ou se é realmente um recurso do formato de banco de dados KeePass e pode ser aberto com algo como KeePassXC se o Strongbox fechasse repentinamente e parasse de funcionar por qualquer motivo.

Supondo que eu tenha um banco de dados configurado com uma senha mestra segura e YubiKeys, mesmo que alguém acesse meu arquivo de banco de dados e tenha minha senha mestra, o YubiKey o protegeria independentemente do aplicativo que estivesse usando? A preocupação obviamente é que, uma vez que o arquivo esteja disponível, ele estará disponível. Ao contrário de algo como 1Password, onde você pode revogar o acesso até certo ponto.

O maior risco de usar algo como Strongbox ou KeePassium é que uma atualização não autorizada possa ser lançada por um dos desenvolvedores para roubar suas credenciais?

Nesse caso, visto que ambos estão na App Store, isso me faz sentir um pouco melhor, pois sei que há pelo menos algumas verificações nessa plataforma (embora eu esteja ciente de que não é perfeita).

Se alguém pudesse me dar alguma luz, seria ótimo! Eu fiz uma boa pesquisa, mas devido a todas as diferentes variações, nada me parece muito simples e fico paranóico.

O acesso remoto à área de trabalho desabilitado é 100% seguro.

Existe um método infalível para ativar exclusivamente o acesso à Área de Trabalho Remota de um laptop designado para uma estação de trabalho na minha LAN? Entendo que alcançar a segurança absoluta é um desafio, mas pretendo estabelecer uma configuração que permita o acesso apenas a partir deste dispositivo específico, priorizando ao máximo a segurança.

Pretendo atingir um nível de segurança que impeça o acesso à Área de Trabalho Remota mesmo no caso de outra conexão na LAN com o mesmo endereço IP e MAC que possui a Senha.

Talvez com uma abordagem baseada em certificado autoassinado?