主页 / server / 问题

问题[pci-dss](server)

Martin Hope
Augustin
Asked: 2016-04-12 12:18:45 +0800 CST
  • 0

我正在尝试为我的网站获取 PCI 扫描 PASS,但在此步骤中扫描失败。

The host responded 4 times to 4 TCP SYN probes sent to destination port 20 using source port 80. However, it did not respond at all to 4 TCP SYN probes sent to the same destination port using a random source port

这是我的 iptable 规则。

Chain INPUT (policy DROP) target prot opt source destination DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8083 ACCEPT tcp -- 178.62.35.106 0.0.0.0/0 tcp dpt:4653 ACCEPT tcp -- 45.58.48.37 0.0.0.0/0 tcp dpt:4653 fail2ban-VESTA tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8083 fail2ban-MAIL tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,587,2525,110,995,143,993 fail2ban-SSH tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:4653 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22,4653 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 21,12000:12100 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,587,2525 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 110,995 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 143,993 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 3306,5432 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8083 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 127.0.0.1 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT udp -- 8.8.8.8 0.0.0.0/0 udp spt:53 ACCEPT udp -- 8.8.4.4 0.0.0.0/0 udp spt:53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:80 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:443

任何帮助,将不胜感激。

linux iptables tcp pci-dss
Martin Hope
89okl
Asked: 2014-02-04 14:46:22 +0800 CST
  • 7

我只是想知道是否有人知道使用 psexec 会导致 PCI DSS 审核失败的任何原因。

我一直无法找到信息,尽管一直被告知管理员不能在 CDE 或周围环境中的任何东西上使用它。

我想知道 FUD 是否与同名的 MetaSpolit 脚本有关?不知道那是什么,但我听说它可能会引起混乱。

任何人都可以阐明这是否可以合法使用,或者它是否被高度反对/禁止?

从长远来看,psexec 被视为与在设备(如打印机等)上启用 telnet 相同。

谢谢

pci-dss
Martin Hope
Jared Green
Asked: 2012-10-15 14:47:06 +0800 CST
  • 6

我们运行 Ubuntu Lucid 10.0.4 作为我们 LAMP 环境的基础。我们正在努力成为 PCI 兼容的,以便我们可以通过我们的服务器传递 CC 信息。我们在我们的服务器上运行了一些第三方扫描以开始认证过程,并且遇到了关于 PHP 5 版本和 Apache 版本的错误。我们官方 lucid 存储库中托管的最新 PHP 版本比 PCI 合规性要求低约 10 个版本。

我们如何升级以跟上 PCI 合规性要求?

我们需要从 php 5.3.2 升级到 php 5.3.15

以及最高 apache 2.2.23

我已经广泛搜索了答案,但还没有提出一个现实的答案。一些人建议手动编译——这听起来像一场噩梦,而另一些人建议使用 PPA——这听起来不安全。我们应该做什么?

php lamp pci-dss repository
Martin Hope
mossymaker
Asked: 2012-05-15 14:06:59 +0800 CST
  • 7

由于 PCI-DSS,我们需要禁用明文身份验证。我们通过在端口 465 上使用 TLS 封装我们的邮件服务器和客户端之间的通信来实现这一点。

问题在于端口 25 必须保持打开且未加密,以便我们从 Internet 接收电子邮件,但不应允许身份验证。

我试过禁用 AUTH 命令,但这也破坏了端口 465 上的身份验证。

是否有邮件服务器或代理允许单独配置端口 25 和 465,以便仅通过安全通道进行身份验证?

还值得注意的是:我们在 FIPS 模式下使用 MailEnable 和 stunnel。

更新:

MailEnable 提供了一个修补过的 SMTP 可执行文件,它允许我通过 Windows 的注册表配置是否在每个侦听端口上提供授权。这解决了我的问题——希望他们能将补丁作为修补程序发布。

smtp pci-dss tls
Martin Hope
Saul Dolgin
Asked: 2010-02-09 08:45:32 +0800 CST
  • 3

根据我对 PCI 合规性的了解,我需要记录所有网站活动并将所述日志在线保持至少 3 个月。但是,我无法直接回答的是,必须从 IIS 日志记录属性的“高级”选项卡中包含哪些字段或属性。有些看起来很明显,需要包括在内(例如日期、时间、客户端 IP),但有些则不那么明显。

这是可用字段的列表(默认为粗体):

  • 日期
  • 时间
  • 客户端 IP 地址
  • 用户名
  • 服务名称
  • 服务器名称
  • 服务器的IP地址
  • 服务器端口
  • 方法
  • URI 词干
  • URI查询
  • 协议状态
  • 协议子状态
  • Win32 状态
  • 发送的字节数
  • 收到的字节数
  • 用的时间
  • 协议版本
  • 主持人
  • 用户代理
  • 曲奇饼
  • 推荐人
log-files security iis pci-dss
Martin Hope
user32738
Asked: 2010-01-25 09:54:59 +0800 CST
  • 2

在此服务器上运行 PCI 安全扫描时,它在端口 25 上失败,并显示:

SSL 服务器支持弱加密 nCircle ID:6174 端口:25 CVSS 得分:5.8 不符合说明 SSL(安全套接层)服务器支持弱加密密钥,定义为长度小于 128 位的加密密钥。使用弱加密密钥加密的消息对于未经授权的用户来说相对容易解密。

我尝试通过各种更改修改 /etc/postfix/main.cf :

  • postconf -e smtpd_tls_mandatory_protocols="SSLv3,TLSv1"
  • postconf -e smtpd_tls_mandatory_ciphers="high"
  • postconf -e smtpd_tls_exclude_ciphers="SSLv2,aNULL,ADH,eNULL"

没运气。这是唯一未通过扫描的端口。我的 web 和 IMAP 都很好。

任何建议表示赞赏。

mac-osx smtp osx-snow-leopard pci-dss
Martin Hope
Colin Mackay
Asked: 2010-01-16 06:19:29 +0800 CST
  • 7

我有一个网站刚刚未能通过 PCI 合规性检查 - 报告称该网站支持弱密码。我以为我已经通过关闭网络服务器上的 SSL 2.0 来禁用它。(如果我告诉浏览器只使用 SSL 2.0,它会拒绝加载网页)

还有什么我需要禁用或检查的吗?(这是一个网络农场,负载均衡器上有什么我需要查看的 - 顺便说一下,负载均衡器应该只是简单地传递数据,加密/解密都在网络服务器上完成)

Windows Server 2003、IIS 6.0、ASP.NET 2.0 网站。

- - 更新 - -

通过 GregD 提供的链接,我已经解决了大部分问题。我仍然遇到证书不受信任的问题。SSL Labs 网站有用地提供了一些提示,说明为什么会这样(但在其他方面不是很明确):

证书可能不受信任的原因有很多:

  • 它在其激活日期之前使用(它在日期内)
  • 它在到期日之后使用(它在日期内)
  • 证书主机名与站点不匹配(主机名和站点匹配)
  • 它已被撤销(我怎么知道?)
  • 它是自签名的(它是由威瑞信提供的)
  • 颁发者不是知名的证书颁发机构(威瑞信足够知名吗?)
  • 证书链不完整(我怎么知道?)

Firefox 似乎对证书没有问题,在地址栏上放置了一个漂亮的绿色区域。

iis-6 pci-dss
Martin Hope
Insyte
Asked: 2009-07-07 14:32:55 +0800 CST
  • 7

PCI-DSS 3.0 要求 8.1.8 规定:“如果会话空闲超过 15 分钟,则要求用户重新验证以重新激活终端或会话。” PCI-DSS 2.0 要求 8.5.15 也是如此。

处理在 bash 提示符下空闲的 ssh 会话的第一种也是最明显的方法是强制只读全局$TMOUT900。不幸的是,这仅涵盖坐在 bash 提示符下的会话。PCI 规范的精神还需要终止运行 top/vim/etc 的会话。

我考虑过编写一个 */1 cron 作业来解析“/usr/bin/w”的输出并杀死相关的 shell,但这似乎是一个生硬的工具。对于实际上可以满足规范要求并锁定终端的任何想法?我看过awayvlock; 它们似乎都非常适合自愿锁定您的终端,但我需要一个 cron/daemon 任务来强制锁定。

linux unix shell pci-dss
Martin Hope
Neil Enock
Asked: 2009-06-18 21:36:44 +0800 CST
  • 1

我刚刚将服务器升级到最新的 OS X 版本 10.5.7,我的合规性扫描告诉我这些安装在 OS 上的组件正在导致漏洞。我看不到在哪里可以下载更高版本,或者即使它们存在!

Kerberos 5 被列为具有“多个漏洞”,但据我所知,没有适用于 Mac OS X 的更高版本。

5.2.9 之前的 PHP 也被列为具有“多个漏洞”,我可以看到 5.2.9 已被普遍使用,但似乎无法在任何地方下载它。甚至苹果网站上的下载链接也已失效。

MySQL 也被列为漏洞,他们说 5.1.9 之前的版本存在漏洞,但只有 5.1.35 可以作为稳定版本下载。

有人知道如何回答这些看似无法回答的问题吗?我只有几台服务器运行 40-50 个网站。全部在 Mac OS 上。谢谢

mysql php mac-osx kerberos pci-dss