MarkHelms's questions

我全新安装了 CentOS 8。我从 repo 安装了 Apache 2.4.37。然后安装最新的 ModSecurity：

dnf install mod_security -y

检查安装

dnf info mod_security

结果：

Name         : mod_security
Version      : 2.9.2

所需的 Apache 模块可用/已加载：

apachectl -M | grep security -> security2_module (shared)
apachectl -M | grep unique -> unique_id_module (shared)

从 repo 安装核心规则集：

dnf install mod_security_crs

它会自动将规则链接到 apache 文件夹中

/etc/httpd/modsecurity.d/activated_rules

规则已经检查/到位。

主配置文件

/etc/httpd/conf.d/mod_security.conf

包括必要的进一步配置文件，包括规则配置文件本身：

IncludeOptional /etc/httpd/modsecurity.d/crs-setup.conf
IncludeOptional /etc/httpd/modsecurity.d/activated_rules/*.conf
IncludeOptional /etc/httpd/modsecurity.d/local_rules/*.conf

（路径已经过双重检查）并激活规则引擎：

SecRuleEngine On

规则配置文件modsecurity.d/crs-setup.conf（包含在 中mod_security.conf，见上文）提供

SecDefaultAction "phase:1,log,auditlog,deny,status:403"
SecDefaultAction "phase:2,log,auditlog,deny,status:403"

Apache httpd.conf 调用 ModSecurity：

SecStatusEngine On

重新启动 ( apachectl restart) 表明 ModSecurity 已成功加载：

ModSecurity: StatusEngine call successfully sent. <-- including LUA etc.

使用受操纵的 URL 进行测试，例如脚本插入：

/?q=%22%3E%3Cscript%3Ealert(1)%3C/script%3E%27

在 ModSecurity 方面没有表现出任何反应。ModSecuritie 的审计和调试日志文件中根本没有条目（调试级别设置为 3），Apache 的日志文件中没有错误。

对于我们的许多openssh服务器，我们在 DNS ( SSHFP )中有他们的指纹。我们还没有使用安全的 DNS，即虽然 FP 在 DNS 中，但像这样的连接

    ssh -o VerifyHostKeyDNS=yes <user>@sshserver

会像这样回答

    Matching host key fingerprint found in DNS.

不幸的是，但完全符合 man man ssh

    Host key verification failed.

由于我们有许多外部客户遇到此消息，因此通常会引起混淆和问题。有没有办法改变这些消息？

执行

iptables -F

如果您对一个或所有链的默认策略是DROP

bashrc我想在like中使用别名

alias iptables -F="echo \
'WARNING: due to the DROP default rule, flushing all rules would lock you out'"

但这不起作用。

目标：

维护以前的同事系统，我想锁定所有密码登录，以便只允许基于 ssh 密钥的登录。

信息：

• CentOS 6.5 系统不提供任何基于网络的身份验证功能（没有 Kerberos、ldap、gssapi 等，/etc/nsswitch.conf只知道“文件”）。

• /etc/passwd显示我期望的所有非系统用户。

问题：

/etc/shadow只显示其中的一半。用工作锁定他们的密码passwd -l username。现在我也想查看其他用户的条目，并且他们的密码也被锁定。

审判：

passwd -l username为其中一个“失踪”用户做了一个，系统给了我passwd: Success. 但我仍然在阴影中看不到该用户的条目。有任何想法吗？

操作系统：CentOS 6.5 SSH v5.3

目标：

• 来自多个主机的 PubKeyAuthentication 允许 root 访问。

• “group1”的用户可以使用他们提供的任何东西登录：PubKey、Password、GSSAPI、KerberosPassword；但它们只能从一个特定的 IP 到达：192.168.1.10

状态：root 访问权限已通过 中的多个from=""-entries定义~/.ssh/authorized_keys，并且按预期工作。

问题：group1 的用户可以从 192.168.1.10 或从其他地方到达；或完全锁定（使用早期测试的配置）。

我尝试了几种变体，但无济于事。

/etc/pam.d/sshd实际上看起来像：

    auth        sufficient    pam_unix.so nullok try_first_pass
    auth        requisite     pam_succeed_if.so uid >= 500 quiet

目前我在sshd_config：

    PermitRootLogin without-password
    PasswordAuthentication no
    KerberosAuthentication no
    GSSAPIAuthentication no
    UsePAM yes

    AllowGroups root group1

    Match Group [email protected]
        KerberosAuthentication yes
        PasswordAuthentication yes
        GSSAPIAuthentication yes
        PubKeyAuthentication yes
    Match Group root
        PubKeyAuthentication yes

有什么建议吗？