Articles of 安全

我正在尝试使用nginx安全链接模块，我有一个使用此nginxconfiguration的Amazon EC2服务器： location ~ /([1-9]+(0)*)/(image|music)/s-([0-9a-zA-Z]+)/source { secure_link $arg_token,$arg_expires; secure_link_md5 "$uri $arg_expires secret"; add_header 'Access-Control-Allow-Origin' "$http_origin"; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Cache-Control' 'no-cache, no-store, max-age=0'; if ($secure_link = "") { return 403; } if ($arg_download != "") { add_header 'Content-Type' "application/octet-stream"; add_header 'Content-Disposition' "attachment"; } if ($secure_link = "0") { return 200; } #?token=_e4Nc3iduzkWRm01TBBNYw&expires=2147483647 } location ~* […]

我有一个“pipe理员”服务器，可以访问所有的pipe理GUI。 我也有2个其他的服务器，1个网站和1个分贝。 当我为nodejs server / api扩展时，我想知道如何将服务器信息传输到我的pipe理服务器。 到目前为止发现的可能性： 情况1 使所有服务器生成带有top输出的jsons文件，例如在压缩文件中encryption。 pipe理服务器通过ssh / sftp连接到远程服务器，并每隔一小时抓取一次该文件。 优点：易于实施，缺点：不是真正的时间 情景2 在每台服务器上安装nodejs + socketio并连接到pipe理服务器以发送/接收数据 优点：实时，易维护，缺点：安全风险？，可能有多台服务器守护进程在每台服务器上运行，增加漏洞。 难以执行？ 我从来没有实现这样的事情，我知道有这样的aio包，但问题是，它更难以修改，因为你没有编码。 或者，也许有一个我没有听说过的神奇工具？ 感谢您的投入。 使用的操作系统：Debian 8和Ubuntu 16.04服务器：Nginx / Php，Nodejs / ES6，RethinkDb，MariaDB，Redis位置：USA NL

在尝试与我的ISP和Godaddy支持沟通后，我决定在这里发布我的问题。 问题：出现错误“您无权访问此服务器上的” http://www.godaddy.com/ “。 同时试图访问godaddy.com。 而试图访问我的任何Godaddy托pipe的网站，得到这个错误“本网站不能到达”。 我的公共IP：182.73.28.46（静态） 已经检查了黑名单的案件，并从几个网站（包括http://www.abuseat.org/lookup.cgi，www.spamhaus.org ）中删除，但仍然没有运气。 根据godaddy，他们不能也不会将IP列入黑名单，而我的ISP也是如此。 任何人遇到类似的问题或知道如何解决？ 跟踪路由 traceroute到godaddy.com（104.238.65.160），最多64跳，52字节的数据包 192.168.1.1（192.168.1.1）1.830ms 1.170ms 0.813ms 182.73.28.45（182.73.28.45）38.196ms 26.392ms 25.614ms 182.79.245.225（182.79.245.225）177.276ms 182.79.245.161（182.79.245.161）185.897ms 182.79.245.225（182.79.245.225）155.043ms 213.242.116.165（213.242.116.165）382.945 ms 300.459 ms 213.242.116.157（213.242.116.157）300.659 ms '* * *' the-go-dadd.bear1.phoenix1.level3.net（4.16.142.186）340.254 ms 353.208 ms 468.316 ms ip-184-168-0-117.ip.secureserver.net（184.168.0.117）361.239ms 308.855ms 306.429ms ip-184-168-0-117.ip.secureserver.net（184.168.0.117）426.291ms ip-184-168-0-113.ip.secureserver.net（184.168.0.113）303.738ms 390.144ms '* * *' '* * *' '* * *' '* * *' […]

我正在testing审计规则，我发现审计不logging何时对/ home / app / APP中的任何文件进行了更改我已经检查了/var/log/auth.log和/ var / log /审计/audit.log文件。 我需要什么configuration来logging对/ home / app / APP中的文件所做的任何更新？ 我正在手动运行auditd，所以我可以validation是否有任何规则产生错误。 sudo /sbin/auditctl -R /etc/audit/audit.rules No rules enabled 1 failure 1 pid 0 rate_limit 0 backlog_limit 320 lost 4889 backlog 0 backlog_wait_time 15000 这是我的audit.rules文件… -D -b 320 -a exit,always -F arch=b32 -F euid=0 -S execve -a exit,always -F arch=b64 […]

我目前有这个政策（HCL） data "aws_caller_identity" "current" {} data "aws_iam_policy_document" "admin_policy_doc" { statement { sid = "DenyAccessToModifySelf" effect = "Deny" actions = [ "iam:AddUserToGroup", "iam:AttachUserPolicy" ] resources = [ "arn:aws:iam::${data.aws_caller_identity.current.account_id}:user/&{aws:username}", ] } statement { sid = "AllowIAMControl" effect = "Allow" actions = ["iam:*"] resources = ["*"] } } 这旨在让pipe理员能够更新其他人的权限，而无需更新自己的权限以符合职责分离和最小特权。 看来，使用AddUserToGroup权限问题的资源是组而不是用户。 因此，如果用户有这个权限，用户仍然可以将自己添加到更多特权组中。 我也尝试使用这样的条件： { "Sid": "DenyAccessToAddSelfToGroup", "Effect": "Deny", "Action": […]

我正在EC2实例上运行Neo4j企业版。 在Amazon Web Services（AWS）上安全地设置Neo4j（即使用HTTPS）的最佳devise模式是什么？ 官方教程https://neo4j.com/developer/neo4j-cloud-aws-ec2-ami/创build一个不安全的实例。 将应用程序安全连接到AWS以将您的EC2实例放在应用程序负载平衡器（AWS ALB）之后的典型devise模式。 但是，在我看来，AWS ALB只接受通过端口80（http）和端口443（https）的连接。 所以螺栓连接将无法工作。 我的理解是，您无法下载由AWS Certificate Manager颁发的证书。 那么，在AWS上做这件事的正确方法是什么？ 我是否需要使用不同的第三方发行人来获得我的证书？ 我更喜欢在可能的情况下使用Amazon。

过去几天我一直在做这个错误。 当我做一个“yum更新”或基本上任何“yum”命令时，它是超时，花很长时间或基本上停止它。 我让Google上的所有人都能find解决scheme，而且没有任何帮助。 这是我的设置： VMware ESXI 6.5主机这是一个在OVHnetworking上运行的CentOS 7虚拟机。 这是当我做一个百胜餐饮更新时给我的东西 Total download size: 100 M Is this ok [y/d/N]: y Downloading packages: Delta RPMs disabled because /usr/bin/applydeltarpm not installed. warning: /var/cache/yum/x86_64/7/updates/packages/NetworkManager-libnm-1.4.0-20.el7_3.x86_64.rpm: Header V3 RSA/SHA256 Signature, key ID f4a80eb5: NOKEY Public key for NetworkManager-libnm-1.4.0-20.el7_3.x86_64.rpm is not installed (1/71): NetworkManager-libnm-1.4.0-20.el7_3.x86_64.rpm | 443 kB 00:00 (2/71): NetworkManager-team-1.4.0-20.el7_3.x86_64.rpm | 147 […]

我试图复制一些文件到wwwroot在Windows 7中，但不能做到这一点。 它曾经工作，但知道它只是显示这一点 ，当我点击继续它不会做任何事情。 还有很多事情给“指定的服务不存在作为安装的服务”的错误 。 例如试图以pipe理员或IISpipe理员身份打开命令提示符。 它曾经工作。

我读过一个问题的答案，解释“ 如何拒绝目录，但允许一个文件在该dirctory ”。 这个问题是，Apache不会加载DirectoryIndex，不得不手动在url栏上写名字。 我怎样才能告诉Apache加载索引文件，而不需要在URL中指定名称？ 我有加载域/子域（虚拟主机）文件的文件中的所有拒绝： # conf/vhosts/example.com/domain.conf <Directory "/srv/http/example.com"> Require all denied </Directory> IncludeOptional conf/vhosts/example.com/sites/*.dom 以及www网站的虚拟主机文件： # conf/vhosts/example.com/sites/www.dom <VirtualHost *:80> ServerName www.example.com #Redirect permanent / https://www.example.com/ DocumentRoot "/srv/http/example.com/www" <Directory "/srv/http/example.com/www"> <Files "index.php"> <RequireAll> Require all granted Require not env blockAccess </RequireAll> <IfModule dir_module> DirectoryIndex index.php </IfModule> SetHandler "proxy:unix:/run/php-fpm/www.example.sock|fcgi://localhost/" </Files> <IfModule mod_rewrite.c> RewriteEngine On RewriteRule […]

我正考虑在Linode托pipe的Linux系统中使用encryption文件系统（dm-crypt或gocryptfs）。 Linode的pipe理员可以访问安装的（即解密的）内容吗？ 我不确定他们使用哪种技术来提供虚拟系统。 但无论如何，我已经安装了Arch linux，并对系统有完全的控制权。 我认为他们不能修改Arch提供的内核和系统软件。 所以我认为只要不知道我的root密码，就很难读取挂载的内容。 真的吗？