Вопросы Теги

Как заставить ssh соответствовать known_hosts к host/ip:port вместо просто хоста/IP?

Им не нужна копия Вашей всей внутренней политики IT, но я думаю, что они могут быть после чего-то подобного этому - кто-то определенно должен заставить Вас достаточно информации о контракте определять, сколько детали необходимо обеспечить, и о какой. Tho, который я согласовываю с Joseph - если им нужна информация по легальным причинам / причинам соответствия, должен быть легальным входом.

Справочная информация

1) Какой-либо из Ваших сотрудников расположен за пределами США?

2) Ваша компания имеет формализованные и зарегистрированные политики информационной безопасности на месте?

3) Обработка и классификация информации и данных покрыты Вашими политиками информационной безопасности?

4) Есть ли какие-либо выдающиеся нормативные проблемы, которые Вы в настоящее время решаете в состоянии (состояниях), в котором Вы действуете? Если да, объясните.

Общая безопасность

1) У Вас есть программа обучения осведомленности информационной безопасности для сотрудников и подрядчиков?

2) Какой из следующих методов для аутентификации и авторизации доступа к Вашим системам и приложениям делает Вас, в настоящее время используйте:

  • Выполненный операционной системой
  • Выполненный коммерческим продуктом
  • Единая точка входа
  • Клиентские цифровые сертификаты
  • Другая двухфакторная аутентификация
  • Собственной разработки
  • Никакой механизм аутентификации на месте

3) Кто авторизовывает доступ для сотрудников, подрядчиков, временных файлов, поставщиков и деловых партнеров?

4) Вы позволяете Вашим сотрудникам (включая подрядчиков, временные файлы, поставщиков, и т.д.) иметь удаленный доступ к своим сетям?

5) У Вас есть план реагирования на инциденты информационной безопасности? Если не, как инциденты информационной безопасности обрабатываются?

6) У Вас есть политика, которая обращается к обработке внутренней информации или конфиденциальной информации в электронных письмах к внешней стороне Ваша компания?

7) Вы рассматриваете свои политики информационной безопасности и стандарты по крайней мере ежегодно?

8) Какие методы и физические средства управления существуют для предотвращения несанкционированного доступа к компании, охраняют территории?

  • Сетевые серверы в заблокированных комнатах
  • Физический доступ к серверам, ограниченным идентификацией безопасности (платы доступа, биометрика, и т.д.)
  • Видео контроль
  • Журналы входа в систему и процедуры
  • Значки безопасности или удостоверения личности, видимые в любом случае в, охраняют территории
  • Охранники
  • Ничего
  • Другой, предоставьте дополнительную подробную информацию

9) Опишите свою политику паролей для всех сред? Т.е. Длина, сила и старение

10) У Вас есть план аварийного восстановления (DR)? Если да, как часто Вы тестируете его?

11) У Вас есть план Непрерывности бизнеса (BC)? Если да, как часто Вы тестируете его?

12) Вы предоставите нам копию своих тестовых результатов (до н.э и DR), если требуется?

Архитектура и системный обзор

1) Будет [Компания] данные и/или приложения быть сохраненным и/или обработанным на выделенном или общем сервере?

2) Если на общем сервере, как будет [Компания], данные сегментируются от других компаний’ данные?

3) Какой тип (типы) возможности соединения от компании к компании будет обеспечен?

  • Интернет
  • Частная / Выделенная линия (например, T1)
  • Коммутируемый доступ
  • VPN (виртуальная частная сеть)
  • Служба удаленных рабочих столов
  • Ничего
  • Другой, предоставьте дополнительную подробную информацию

4) Это сетевое соединение будет зашифровано? Если да, какой метод (методы) шифрования будет использоваться?

5) Есть ли какой-либо клиентский код (включая ActiveX, или код Java) потребовал для использования решения? Если да, опишите.

6) У Вас есть брандмауэр (брандмауэры) для управления доступом внешней сети к веб-серверу (веб-серверам). Если не, где этот сервер (серверы) расположен?

7) Ваша сеть включает демилитаризованную зону для доступа в Интернет к приложениям? Если не, где эти приложения расположены?

8) Ваша организация предпринимает шаги для обеспечения против отключений электричества Отказа в обслуживании? Опишите эти шаги

9) Вы выполняете какой-либо из следующих обзоров/тестов информационной безопасности

  • Внутренние сканирования системы/сети
  • Внутренне управляемые самооценки и/или обзоры должной осмотрительности
  • Внутренние обзоры/экспертные оценки кода
  • Внешние сторонние тесты/исследования проникновения
  • Другой, предоставьте подробную информацию, Как часто эти тесты выполняются?

10) Какие из применяющих методов информационной безопасности активно используются в Вашей организации

  • Списки управления доступом
  • Цифровые сертификаты - Сторона сервера
  • Цифровые сертификаты - Сторона клиента
  • Цифровые подписи
  • Основанное на сети обнаружение проникновения / предотвращение
  • Основанное на хосте обнаружение проникновения / предотвращение
  • Запланированные обновления обнаружения проникновения / файлы подписи предотвращения
  • Контроль проникновения 24x7
  • Непрерывный поиск вирусов
  • Запланированные обновления вирусных файлов подписи
  • Исследования проникновения и/или тесты
  • Ничего

11) У Вас есть стандарты для укрепления или обеспечения Ваших операционных систем?

12) У Вас есть расписание для применения обновлений и текущих исправлений к Вашим операционным системам? Если не, скажите нам, как Вы определяете, какой и когда применить патчи и критические обновления

13) Для обеспечивания защиты от сбоя питания или отказа сети Вы обслуживаете полностью избыточные системы для своих ключевых систем обработки транзакций?

Веб-сервер (если применимо)

1) Каков URL, который будет использоваться для доступа к приложению/данным?

2) Какая операционная система (системы) является веб-сервером (веб-серверами)? (Обеспечьте имя ОС, версию и пакет обновления или уровень установки патча.)

3) Каково программное обеспечение веб-сервера?

Сервер приложений (если применимо)

1) Какая операционная система (системы) является сервером (серверами) приложений? (Обеспечьте имя ОС, версию и пакет обновления или уровень установки патча.)

2) Каково программное обеспечение сервера приложений?

3) Вы используете основанное на роли управление доступом? Если да, как уровни доступа присвоены ролям?

4) Как Вы удостоверяетесь, что соответствующая авторизация и сегрегация обязанностей существуют?

5) Ваше приложение использует многоуровневый пользовательский доступ / безопасность? Если да, предоставьте подробную информацию.

6) Операции в Вашем приложении контролируются сторонней системой или сервисом? Если да предоставьте нам название компании и службы и какая информация контролируется

Сервер базы данных (если применимо)

1) Какая операционная система (системы) является сервером (серверами) базы данных? (Обеспечьте имя ОС, версию и пакет обновления или уровень установки патча.)

2) Какое программное обеспечение сервера баз данных используется?

3) DB копируется?

4) Часть сервера БД кластера?

5) Что сделано (если что-нибудь) для изоляции [Компании] данные других компаний?

6) Будет [Компания] данные при хранении на диске, быть зашифрованным? Если да, опишите метод шифрования

7) Как исходные данные получены?

8) Как ошибки целостности данных обрабатываются?

Аудит и вход

1) Сделайте Вы регистрируете клиентский доступ в:

  • Веб-сервер?
  • Сервер приложений?
  • Сервер базы данных?

2) Журналы рассматриваются? Если да, объясните процесс и как часто они рассматриваются?

3) Вы обеспечиваете системы и ресурсы, чтобы поддержать и контролировать контрольные журналы и журналы транзакций? Если да, какие журналы Вы сохраняете и сколько времени Вы храните их?

4) Вы разрешите [Компанию] для рассмотрения системных журналов, поскольку они принадлежат нашей компании?

Конфиденциальность

1) Что процессы и процедуры используются для рассекречивания/удаления/отбрасывания [Компании] данные, когда больше не необходимый?

2) Вы имеете когда-либо ошибочно или случайно раскрытая информация о клиенте?
Если да, какие корректирующие меры Вы реализовали с тех пор?

3) У подрядчиков (несотрудники) есть доступ к уязвимой информации или конфиденциальной информации? Если да, они подписали соглашение о неразглашении?

4) У Вас есть поставщики, которые разрешены получить доступ и поддержать Ваши сети, системы или приложения? Если да, эти поставщики в соответствии с составленными договорами, предусматривающими конфиденциальность, проверки данных и страховку/компенсацию от потери?

5) Как Ваши данные классифицированы и защищены?

Операции

1) Каковы частота и уровень Ваших резервных копий?

2) Каков локальный период хранения резервных копий?

3) В каком формате Ваши резервные копии хранятся?

4) Вы храните резервные копии в удаленном местоположении? Если да, каков период хранения?

5) Вы шифруете свои резервные копирования данных?

6) Как Вы удостоверяетесь, что только действительные производственные программы выполнены?

7
задан 9 October 2013 в 16:22
4 ответа

Версия OpenSSH, который идет с CentOS 5, не поддерживает номера портов в known_hosts. Необходимо будет создать и установить более новую версию, если Вы захотите, чтобы это работало.

6
ответ дан 2 December 2019 в 23:19

~/.ssh/config:

Host foohost-2201
    Hostname foohost.domain.tld
    # This should comply with the format used in OpenSSH 5.
    HostkeyAlias "[foohost.domain.tld]:2201"
    User username
    Port 2201

И серьезно, обновление.

6
ответ дан 2 December 2019 в 23:19
  • 1
    Я сделал вкусное обновление, но по-видимому that' s what' s в repos для последнего CentOS. CentOS 5.5 отсутствует сегодня, займется этим. –  Prody 14 May 2010 в 12:46

мое решение; добавьте подробную информацию о хосте к ~/.ssh/config:

Host <someidentifier>
    Hostname ip.add.re.ss
    StrictHostKeyChecking no
    User username
    Port 2201

Host <someotheridentifier>
    Hostname ip.add.re.ss
    StrictHostKeyChecking no
    User username
    Port 2202

затем можно сделать ssh someidentifier даже не имея необходимость предоставить -p и т.д.

1
ответ дан 2 December 2019 в 23:19
  • 1
    Это недопустимо потому что я don' t хотят отключить ключевую проверку. –  Prody 13 May 2010 в 19:32
  • 2
    извините я didn' t читают это в Вашем вопросе. you' ре, оставленное с опцией загрузки источника для OpenSSH и изменения его в большой степени затем. кажется, нет опции времени компиляции включить на ключи хоста порта. я предполагаю, что мой последующий вопрос был бы; почему 1 хост, с несколькими портами, давая другой hostkey? если каждый порт, посредством перенаправления портов и этажерки, приводит к различным хостам, почему бы не совместно использовать hostkey с каждым хостом, there' s ничто ' wrong' с этим, и это предотвратило бы ошибку. –  cpbills 13 May 2010 в 19:38
  • 3
    @Prody этот сайт; fixunix.com/ssh/73420-including-port-number-known_hosts.html также указывает на кого-то с подобной проблемой и ими ручное редактирование ~/.ssh/known_hosts для добавления нескольких ключей для того же имени хоста. возможно, это будет работать? –  cpbills 13 May 2010 в 20:04

Используйте это, если Ваш openssh клиент не поддерживает базирующиеся записи host+port:

Директива 'GlobalKnownHostsFile' может неправильно использоваться для указания на другой файл для каждой из 2 firewalled машин (здесь Alice и Bob). Однако эти два файла должны быть подготовлены с корректными ключами хоста или alice или боба заранее, поскольку они не записаны в при принятии неизвестных ключей.

Это не действительно забава настроить, но после того как это сделало это работы.

Мое предыдущее обходное решение, прежде чем это был 'StrictHostKeyChecking не', который не позволяет ssh-агенту передавать ключи, ни иметь переданные порты (заблокированный openssh при использовании).

Мой .ssh/config был похож на это до недавнего времени:

Host hoppingstation
        Hostname loginhost.somewhere.net
        User me
        LocalForward 2201 alice.somewhere.net:22
        LocalForward 2202 bob.somewhere.net:22
Host alice
        Hostname localhost
        Port 2201
        User root
        ForwardAgent yes
        GlobalKnownHostsFile /home/me/.ssh/known_hosts_alice
Host bob
        Hostname localhost
        Port 2202
        User root
        ForwardAgent yes
        GlobalKnownHostsFile /home/me/.ssh/known_hosts_bob
4
ответ дан 2 December 2019 в 23:19

Теги

Похожие вопросы