کدام سازمان به عنوان مدیر ارشد دیجیتال (CDO) اداره می شود؟ مثال هایی مانند SOX، DMCA، GLBA، HIPPA، FISMA …
به روز رسانی – توصیه های امنیتی کامل و قابل اعتماد برای وردپرس؟
من می خواهم راهنمایی های امنیتی به موقع را برای وردپرس دریافت کنم و البته از وردپرس منظورم تمام نرم افزاری است که به طور کلی نصب شده است: هسته وردپرس، پلاگین ها و تم ها. من هیچ چیزی رسمی پیدا نکردم، به جز وبلاگ WordPress.org که هر بار انتشار امنیتی ایجاد می شود، اما اخبار فقط شامل هسته وردپرس (بدون افزونه ها یا تم ها) می شوند. سپس پایگاه داده آسیب پذیری WPScan (wpvulndb.com) وجود دارد، اما من نمی دانم چطوری "کامل" است، و من نمی دانم که آیا اخبار به موقع است و یا می تواند تاخیری وجود داشته باشد. همچنین به نظر میرسد که این پایگاه داده با استفاده از ابزارهای خودکار برای جلوگیری از نصب Worpdress مورد استفاده قرار میگیرد، بنابراین ممکن است با توجه به زمان آسیبپذیری که در آن وجود دارد، ممکن است خیلی دیر شود زیرا مهاجمان از آن برای اسکن استفاده میکنند. چک کردن صفحات رسمی برای هر پلاگین یا تم ممکن است یک گزینه باشد، اگر چه ممکن است یک درد در گردن باشد (اما RSS میتواند کمک کند)، اما من فکر نمیکنم اطلاعاتی که برخی از توسعه دهندگان درباره بهروزرسانیهای آنها ارائه میدهند همیشه روشن است. به عنوان مثال، من چند پلاگین را که در WPScan ذکر شده است را بررسی کردم و در حالی که یکی به صراحت "اولویت بالا" و "آسیب پذیری" را در فهرست تغییرات ذکر می کند، دیگر به سادگی بیان می کند: "add nonce و غیره" بدون هیچ مرجع واقعا صریح یا چشم نواز به یک تعمیر امنیتی. من شرط می بندم حتی حتی به ذکر هر چیزی برای جلوگیری از "ترساندن" کاربران خود. آخرین گزینه ای که من پیدا کردم لیست ایمیل WordFence است، شما مشترک و شما باید هشدار از طریق ایمیل دریافت کنید. به نظر میرسد خدماتی است که در پشت پلاگین امنیتی برای وردپرس ایجاد شده است، بنابراین دوباره چیزی جز رسمی نیست و من هیچ راهی برای ارزیابی قابلیت اطمینان آن ندارم. آیا گزینه های خوبی وجود دارد که من از آنها آگاه نیستم؟ چگونه می توانم با تمام این منابع مقابله کنم بدون این که دیوانه بشمارم دو بار چک کردن چندین وب سایت را بررسی کنم؟
دلیل این امر: من اساسا به دنبال راهی برای دریافت مشاوره های امنیتی به موقع هستم، بنابراین می توانم تصمیم بگیرم که با بعضی از وب سایت های WordPress چه کار کنم که تحت کنترل من هستند به محض انتشار یک به روز رسانی می توانم همه چیز را به روز رسانی کنم، من می توانم مسائل مربوط به خرابکاری را برطرف کنم و به روزرسانی ها باید آزمایش شود. اما اگر یک بروزرسانی فوری باشد زیرا آن را در معرض آسیب جدی قرار می دهد، اگر من آن را در اسرع وقت دانستم، می توانم تصمیم بگیرم چه کاری باید انجام دهم، شاید تصمیم بگیرد که خطر شکستن وب سایت را به خطر بیندازد و یا آن را به موقع به روزرسانی کند تا تصمیم بگیرد برای غیر فعال کردن آن و تغییر پوشه آن به طور موقت در حالی که من به روز رسانی ها را در یک محیط پیمایش تست می کنم. اما البته برای انجام این کار، من نیاز به توصیه های امنیتی دارم که قابل اعتماد و کامل هستند (از جمله پلاگین ها و تم هایی که من استفاده می کنم) و قطعا به موقع (حتی ممکن است یک تاخیر یک روزه ممکن است دشوار باشد اگر حملات خودکار در وحشی ظاهر شود) 19659003]
تحقیق – چگونه برای پیدا کردن بالاترین کیفیت دوربین امنیتی IR بدون گرفتن تبلیغات باطل؟
این برای شرکتی است که من برای آن کار میکنم و در حال تبدیل شدن به غیرممکن است که پاسخهای واقعی را به صورت آنلاین پیدا کنم، زیرا مهم نیست که چه عباراتی جستجو کنم که با تبلیغات، تبلیغات و لیستهای "دوربینهای برتر" بمباران شوند که به نظر آگهیها بمباران شود. (گوگل، بینگ و من حتی یاهو را امتحان کردیم).
من به سادگی تلاش می کنم دوربین عکاسی با کیفیت بالای IR را در اختیار عموم قرار دهم، پول برای این تحقیق انجام نمی شود. من لیستی را نمی خواهم که سعی در پیدا کردن یک کنفرانس فعلی داشته باشم که دارای مشخصات قوی ترین مطلق در مورد آن است. من حتی سعی کردم در "نقل قول" "قدرتمندترین جهان" را جستجو کنم و هنوز تبلیغاتی کردم. به طور معمول هرگز از یک سؤال برای چیزی که می تواند به صورت آنلاین تحقیق شود بپرسم، اما من تلاش می کنم برای پیدا کردن یک پاسخ پاسخ ندهم چون نمی توانم چیزی جز تبلیغات پیدا کنم.
آیا حفاظت از رمز عبور یک پایگاه داده که در کنار برنامه زندگی می کند، هر امنیتی را اضافه می کند؟
من دیده ام تنظیماتی که پایگاه داده محافظت شده با رمز عبور در همان سرور به عنوان یک برنامه نگهداری اعتبار به گفتگو با پایگاه داده در متن ساده دیده می شود.
مزایای چنین تنظیماتی بر روی یک پایگاه داده صرفا محافظت نشده چیست؟ 19659002] به استثنای برخی از سوء تفاهمات، نیاز به پیکربندی هر دو، پایگاه داده و برنامه، به نظر می رسد فقط به این اعتبارات پیچیده تر، اما نه امنیت واقعی. یک مهاجم با دسترسی به سرور همیشه می تواند فقط اطلاعات مربوط به پرونده config را پیدا کند.
ویرایش:
من در مورد یک پایگاه داده صحبت می کنم که تنها در یک دستگاه قابل مشاهده است و در خارج از آن قرار ندارد.
کنترل دسترسی – فایل های chmodding با محیط امنیتی SELinux / ACL
خوب، بنابراین من یک دسته از bash و پایتون اسکریپت که من نوشته شده است، همه فقط در یک پوشه بزرگ chilling کردن. خوب، در واقع زیر شاخه های جداگانه ای وجود دارد، اما همه آنها در این پوشه اصلی توزیع شده اند.
بنابراین برای بحث، ساختار پوشه به نظر می رسد چیزی شبیه به این:
پیدا کنید. -type d .
./scripts/sh
./scripts/sh/a
./scripts/sh/b
./scripts/sh/c
./scripts/py
./scripts/py/x
./scripts/py/y
./scripts/py/z هرگز، من سعی کردم کل مجموعه اسکریپت های اجرایی را تمام کنم، همه در یک با افت پیدا کردم و chmod :
پیدا کردم. -type f -exec chmod + x {} + معمولا، این همه چیزی است که من باید انجام دهم، اما متوجه شدم که + x کمی هنوز ناپدید شده است. تمام مجوزهای آنها همچنان به نظر می رسد:
ls -l ./scripts/py/z-rw-rw----. 1 ریشه 1015 801 7 مه 12:00 script_name.py ظاهرا. . شخصیت (پس از پرچم مجوز)، نوعی از زمینه امنیتی SELinux، با یک لیست کنترل دسترسی یا مشابه آن را نشان می دهد. من با getfacl را بررسی کردم، واقعا نمی دانستم چی به چی بپوشم اول یک دایرکتوری است، دوم یکی از فایل های اسکریپت است:
getfacl -acp ./scripts/py/z &&
getfacl -acp ./scripts/py/z/*user::rwx
گروه :: rwx
دیگر :: - x
کاربر :: rw-
گروه :: rw-
دیگر :: --- من با گزینه های زیر setfacl زیر را امتحان کردم، فایده ای نداشت:
setfacl --help | grep 'remove' -x، --remove = acl حذف نوشته ها از ACL (ها) فایل (ها)
-X، --remove-file = فایل خواندن ACL برای حذف از فایل
-b، --remove-all حذف تمام ورودی های ACL پیشرفته
-k، --remove-default حذف ACL پیش فرض بنابراین، در وضعیتی که root مجوز کاربر احترام گذاشته شده است، و sudo استفاده نیست بپرسید؛ چگونه می توانم کنترل دسترسی فایل های شخصی خود را به دست آورم؟
