我正在为公司networking上的一个小域做系统pipe理员。 我们有我们自己的DNS,AD,DHCP服务器等,并使用HyperV和ESX。 我需要为这种设置logging什么? 例如,我已经logging了所有的密码(我更喜欢使用一种安全的密码forms,但我公司的其他人不同意,以及我本地使用密码安全)。 我也logging了DHCP服务器的范围和租期。 还有什么logging? 谢谢
我正在寻找一系列请求过滤的最佳实践规则,类似于UrlScan默认添加的内容。 任何build议或filter的例子列表,非常感谢。 默认情况下IIS 7.5只有文件扩展名和隐藏段filter。 在此先感谢,Vindberg
在共享虚拟主机的服务器上,或者在不同的PHP应用程序之间共享PHP环境,我通常实现一个使用PHP open_basedir的安全策略来限制每个用户到他/她自己的目录(以及其他PHP指令,例如disable_functions )。 我也在SF上看到很多post,讨论使用这个function的好处。 然而,现在我偶然在Debian软件包文件README.Debian.security中发现了这个通知,明确指出它们不提供(其他的)安全支持: * Vulnerabilities involving any kind of open_basedir violation, as this feature is not considered a security model either by us or by PHP upstream. 所以我想知道,这个声明是否只是放弃任何责任,还是有更多的根本原因呢? 特别是,你将如何去保护一个没有open_basedir的多个不同用户使用的PHP服务器,同时尽量不把维护工作提高到一个高的水平? 或者你会只是build议永远不要共享主机,因为PHP开发人员在他们的安全说明中指出 ?
我需要为一台或多台Windows服务器提供简单的低维护场外备份解决scheme。 使用一些消费级别的备份软件 ,我已经取得了巨大的成功,使我可以通过互联网将文件从一台PC备份到另一台。 我已经在我自己的个人电脑以及我们办公室的其他几台电脑上安装了这个软件。 它有几个很好的function,使其可靠,易于维护和成本效益。 我不知道为什么,但是在我的服务器上安装消费级软件只是感觉很脏 。 有没有合法的理由来避免消费级软件,或者我的感觉是合理的? 这些服务器不处理源代码以外的敏感数据。 这些也不是公共互联网服务器; 他们只能由VPN上的一个软件开发团队访问。 附注:我知道其他容易的专门针对服务器的非现场备份解决scheme。 由于某种原因,我不能使用其中的大部分。 那不过是重点。 这个问题并不像最佳实践那样关于备份软件。
我是一名软件开发人员。 我的团队encryption了ASP.NET web.config文件的敏感部分。 aspnet_regiis.exe用于pipe理本地密钥库,encryption和解密。 我想build立一个快速的关键pipe理器工具,以避免记住它的位置和语法,基于我发现使用知名search引擎的Powershell脚本 。 这被域策略阻止: PS H:\> Get-ExecutionPolicy Restricted 在我请求之前,这被改为RemoteSigned … 如果Intranet上的所有计算机都设置为RemoteSigned ,那么是否可以在域CS中为假设的代码安全组创build一个证书,以便证书不能用于SSL或其他证书保护的进程? 这将允许低级开发人员编写脚本并让他们签名,而不会给每个代码审查人员过度的信任。
我的系统正在生成日志文件,例如Apache,nginx,tomcat和其他东西,他们增长得非常快。 我正在寻找最佳实践的build议,因为有太多的选项来configuration的东西,我也只能从比我迄今为止pipe理服务器有更多的经验的人学习。 谢谢。
我有一个大型networking,在一所大学拥有超过1500台个人电脑和9000个用户帐户。 我们已经将用户分成了5组,并且使用MikrotiK的热点和NTTAC会计后端共享其中的带宽。 我们不仅控制用户的最大带宽/速率,还控制访问互联网的时间限制。 在这种情况下,所有用户都通过运行NTTAC +的Active Directory服务器进行身份validation。 我们已经把网关设置为一个带有热点页面的MikrotiK机器,热点页面在热点authentication之后为用户stream量添加一个转发规则(虽然用户凭证是相同的,并且通过AD服务器进行authentication,但是我们不使用SSO来使用户能够使用本地服务,并保存上网时间限制) 现在,有一些问题:1 – 看起来有这么多的用户,MikrotiK已经被推到了边缘,无法处理这种热点话务。 2 – AD服务器已经成为一个失败点,它的缺席导致许多服务的失去。 因此,我正在寻找大规模基于用户的(不是基于PC / IP的)带宽共享/整形的最佳实践,而没有单点故障。
我不知道如何最好地问这个问题。 几年来,我发展到一个angular落,需要弄清楚一些事情。 到目前为止,我几乎可以肯定地没有遵循最佳实践,但是你去了。 我在我自己的Linux(Ubuntu)服务器上制作和托pipeDjango网站。 我用Bazaarpipe理他们的版本控制,并通过SSH + BZR上传。 他们都进入了一个名为/websites/富有想象力的父目录。 生产副本只是主BZR分支(不是出口)。 我不运行任何types的FTP服务器,只是SSH。 我的工作stream程是编辑网站的本地副本,进行更改。 因为它们都是绑定分支,所以它会自动将其提交到服务器,并有一个钩子,然后运行一个更新,从而决定是否需要重新加载Django站点。 我刚写了一些东西,所以他们为我工作。 所有网站的文件都属于我的用户帐户oli 。 目前所有的网站都在该帐户下运行 。 有时客户想访问他们的网站,这是公平的,但我不确定在目前的结构下是否可以这样做。 我想事情需要改变,以便让我实现以下目标: 我可以为客户创build一个新的用户帐户,以便他们可以login并使用他们的网站(以及他们的网站)。 我相信我的客户,但是我的其他客户不应该被强迫他们互相信任。 我仍然可以在所有网站上工作,就像我自己的帐户一样,理想情况下在一个地方,但如果在服务器上,他们根据用户分割,我会生存。 如果可能的话,强迫用户通过BZR,这样他们就不会把愚蠢的生产分支搞糊涂了,而这个分支不容易被回滚。 你知道这是如何工作的:如果我给客户端访问和“神秘”的东西停止工作,这是我的错,不pipe发生了什么。 我需要能够跟踪发生了什么,但是类似的客户端需要能够在没有我的交互的情况下进行更改(关守VCS模型不适用于我)。 所以假设我可以做任何事情来改变我目前的设置, 这样做的最好方法是什么? 我目前的想法是: 安装一个简单的FTP(等)服务器作为oli运行,以保留任何权限,并试图强制他们使用BZR,否则需要同步更新。 如果你认为这是可行的,是否有一个FTP的安全等同于系统认为是一个用户,但类似的东西,我可以任意限制某些目录(例如用户客户端 – 一个只能查看网站的子目录)。 完全摇动,使用不同的SSHlogin,保持客户的$HOME dirs网站。 如果得到您的投票,我最好的办法是阻止他们做任何事情,但访问他们的文件? 有没有一个很好的组合来限制一个chroot机制的ForceCommand internal-sftp ? 但是,我从坏习惯中学会了坏习惯。 你会怎么做?
今天,我们在办公时间closures了一台Active Directory服务器,以检查UPS上的加载情况。 由于所有的服务器都是在一个单独的build筑中提供Active Directory,所以主build筑起火了,或者其他什么,我们不认为这会对我们的用户有任何影响。 服务器closures后,我们有十几个电话遇到这个问题的用户: – [Microsoft SQL Serverlogin] SQLState:'28000'[Microsoft] [ODBC SQL Server驱动程序] [SQL Server]login失败。 login来自不受信任的域,不能用于身份validation。 一旦我们意识到发生了什么,我们迅速重新启动了下来的Active Directory服务器。 问题解决了。 但是为什么会这样呢? 而如果有一天服务器出现故障,并且几个小时或几天不在线下呢? 域服务authentication请求中的其他Active Directory服务器是否不会中断用户? 我们有3台运行Active Directory的Windows Server 2003 Standard服务器作为全局编录的域控制器,所有这些服务器都以千兆位速度位于同一networking中。 我相信该域最初是Windows Server 2000,甚至可能是NT 4.0。 这个问题可以归结为从这些旧的服务器操作系统inheritance的旧的组策略,还是需要更改的Active Directory中的一些默认设置?
在共享主机上,当服务器的/tmp目录已满时偶尔会出现问题。 我们的托pipe公司build议我们将会话保存path更改为每个站点都是唯一的。 ini_set('session.save_path', DOCUMENT_ROOT . '/_SESSIONS/'); 是的,这使我们的会议在网站的根。 我们通过在该文件夹中包含一个.htacces文件来处理潜在的隐私问题: deny from all 这工作。 我们现在已经转移到我们自己的托pipe服务器。 此服务器上的默认会话保存path是/var/lib/php/session 。 有没有什么好的理由继续覆盖/var/www/vhosts/example.net/httpdocs/_SESSIONS/ ?