我们有一个环境,我们的用户ssh进入系统,他们的shell被设置为在$ HOME / Maildir上启动Mutt。 我们想限制我们的用户只能发送/接收邮件。 我们意识到他们不能任意命令,因为他们没有shell提示符,但是一些用户可能是不信任的,并且可能find某种方式来突破Mutt并通过代码执行获得shell访问权限。 我们基本上正在考虑最坏的情况。 我们知道SELinux和guest_u帐户,但我们遇到了一个更好的解决scheme。 由于我们的用户都是一个组的一部分,所以说“用户”,我们可以使用下面的iptables规则来禁用出站数据包。 ping,挖,wget等不起作用,但邮件出站做。 这正是我们想要的,但是为什么用户通过Mutt阻止使用其他工具(如dig,host,ping等)来允许任何出站访问? 这是我们添加的规则: $IPT -A OUTPUT -p all -m owner –gid-owner users -j DROP
要求协助configurationSecAst电子邮件警报以使用Google Apps托pipe帐户(根据D代请求在此处发布)… 我们在系统上安装了SecAst,并使用以下版本安装了Ubuntu 12.04.4 Server x86_64 LTS和Asterisk 11.10.2的新安装: secast-1.0.1.0-x86_64-ub12.tar.gz 根据/ var / log / secast文件,MySQL,iptables,Asterisk / var / log / asterisk / messages文件和AMI的接口似乎function正常。 telnet接口按预期工作,并且套接字接口似乎根据预期在/tmp/secast.sock中创build。 我们能够以前台或守护进程的方式从命令行启动secast可执行二进制文件,或者作为服务。 目前,我们正着眼于使用'/ usr / local / secast / secast -f'在前台启动它,并检查/ var / log / secast文件以进行更改。 在运行之间,我们更改/etc/xdg/generationd/secast.conf中的configuration设置 不幸的是,即使在浏览SecAst详细安装指南PDF文档(docs / detailed_installation_guide.pdf)之后,我们仍然遇到了一些难以find电子邮件警报的工作configuration。 请注意,我们使用Google托pipe的电子邮件,通过Google Apps用于我们的域。 我们已确认POP和SMTP访问已启用并按预期工作。 我们已经从命令行使用openssl手动validation了SMTP连接的function,如下所示: https://stackoverflow.com/questions/11046135/how-to-send-email-using-simple-smtp-commands-via-gmail 在这些使用openssl的手动SMTPtesting中,我们通过端口465(SSLencryption),端口587(TLSencryption)甚至端口25(TLSencryption)使用了AUTH PLAIN和AUTH LOGIN。 所有组合按照预期通过terminal的openssltesting工作。 但是,我们还没有设法在/etc/xdg/generationd/secast.conf文件中find导致secast成功发送电子邮件警报(日志文件中的错误;见下文)的设置组合。 我们可以根据要求提供我们的电子邮件的私人信息进行故障排除。 用于身份validation“用户名”的login“用户名”必须是完整的电子邮件地址,包括@符号。 […]
我已经用mod_php PHP5安装了apache 。 我已经能够发现,Apache进程正在改变我的.htaccess和index.php文件在/var/www目录。 此目录中的所有文件都由www-data:www-data拥有ug=rwX,o=rX并拥有ug=rwX,o=rX权限。 很明显,一些恶意软件的PHP脚本正在这样做。 我如何find它? 以下是auditd的输出: time->Thu Jun 26 21:15:12 2014 type=PATH msg=audit(1403802912.787:936): item=0 name="/var/www/example/htdocs/index.php" inode=1182278 dev=ca:01 mode=0100404 ouid=33 ogid=33 rdev=00:00 type=CWD msg=audit(1403802912.787:936): cwd="/var/www/example/htdocs" type=SYSCALL msg=audit(1403802912.787:936): arch=c000003e syscall=90 success=yes exit=0 a0=7fac1ef5a128 a1=104 a2=7 a3=7fac0e1490c0 items=1 ppid=12397 pid=22347 auid=4294967295 uid=33 gid=33 euid=33 suid=33 fsuid=33 egid=33 sgid=33 fsgid=33 tty=(none) ses=4294967295 comm="apache2" exe="/usr/lib/apache2/mpm-prefork/apache2" key=(null)
我有一个新的Windows Server 2012安装,并刚刚安装了IIS。 我在应用程序日志中看到以下警告: 提供者WebAdministrationProvider已在Windows Management Instrumentation名称空间Root \ WebAdministration中注册,以使用LocalSystem帐户。 如果该帐户没有正确模拟用户请求,则该帐户有特权,并且提供程序可能会导致安全违规。 来源是“WMI”,事件ID是63。 根据此TechNet文章 ,我应该“获取不在LocalSystem安全上下文中运行的提供程序的版本”。 我几乎无法理解警告和文章。 这是什么意思? 如果我不能摆脱提供者,我可以禁用或取消注册吗?
我负责根据最新的CIS基准策略来configurationGPO。 然而,对“身份validation后模拟客户端”的testing总是失败,尽pipe似乎所有东西都configuration正确。 Computer Configuration => Policies => Windows Settings => Security Settings => Local Policies => User Rights Assignment => Impersonate a client after authentication 以上设置包含: pipe理员 本地服务 networking服务 服务 这当然不符合Tripwire使用的正则expression式(根据报告)。 "^\s*BUILTIN\\Administrators,\s+NT\s+AUTHORITY\\LOCAL\s+SERVICE,\s+NT\s+AUTHORITY\\NETWORK\s+SERVCE,\s+NT\s+AUTHORITY\\SERVICE\s*$" 但是,如果将“pipe理员”replace为“BUILTIN \ Administrator”,GPMC控制台会提示以下内容: Administrators and SERVICE must be granted the impersonate client after authentication privileve. 现在的问题是: 我给GPO提供了正确的string还是需要正则expression式更正?
我目前有一个用户DOMAINJOINER(位于WIN7Support OU),我用它来部署Windows 7机器。 该用户可以在WIN7Computers OU中创build和删除计算机对象,只要涉及访问,但他也在Domain Users组中。 当新的Windows 7计算机启动(通过自定义映像)时,他们使用DOMAINJOINER凭据join域。 当计算机join域时,它们被添加到WIN7Computers OU(这是在自定义映像中设置的)。 WIN7Computers OU将容纳所有的Windows 7机器。 在我们的一个GPO中,我有一个设置可以执行以下操作: 拒绝作为批处理作业login:domain \ DOMAINJOINER拒绝本地login:domain \ DOMAINJOINER拒绝通过terminal服务login:domain \ DOMAINJOINER 不幸的是,这个GPO只能连接到WIN7Computers Ou,而不是用户DOMAINJOINER所在的WIN7Support OU。 我的问题是,如何拒绝DOMAINJOINER交互式login到域中的任何计算机,但允许自定义图像继续使用DOMAINJOINER凭据,以允许计算机join域?
这个问题不依赖于时间…所以这不是关于保持磁带或任何类似的数据。 我有3个不同的个人电脑与关键信息。 电脑正在运行Windows操作系统。 他们都持有关键数据,在任何时候都需要保密(encryption)。 我试图find一种方法来保护个人电脑上的数据,同时让他们共享数据,编辑并查看数据。 现在个人电脑被encryption,每个人都有自己的密钥解密,所以我需要使用FAT32的外部硬盘传输数据(现在是未encryption的,因为它不是一个NTFS分区,我使用Windowsencryption)。 我想根除数据共享过程的物理部分,并在本地安全地共享文件。 我们正在寻找购买服务器的选项,并制作本地encryption的云,但我打开更好的方式来做到这一点。
拥有需要SSH访问的服务器的专用networking。 由于这些实例位于私有子网中,因此无法通过SSH直接访问它们,并需要公共的Bastion主机才能访问。 Workstation -> via SSH -> Bastion -> via SSH Forwarding -> private subnet instnce 我们使用NAT主机作为专用networking的公共网关。 User -> via HTTP -> NAT -> via private networking -> private subnet instance 将Bastion和NAT主机分开保存有什么好处? 结合他们有什么好处?
我有一个专用IP地址A的服务器和一个dynamicIP地址B (通过no-ip.org路由)的服务器。 A通过sshpass将备份上载到B: export SSHPASS=*** sshpass -e sftp **@** << ! [..] put [..] bye ! 每次现在(A)下面发生: 警告:将IP地址[[]]的ECDSA主机密钥永久添加到已知主机列表中。 我有一些感觉,这可能不是一个安全的方法来传输备份数据(tar文件)。 是否有人可以拦截备份? 另外,我不应该再次从已知主机列表中删除IP吗? 备份每天运行。 听起来像是一个长长的已知主机,只是dynamic的!
我使用apache(Ubuntu主机)运行owncloud服务器7.0.2,并将其configuration为使用自签名SSL证书。 一切工作正常我的家庭电脑 在另一台机器上,我想使用Ubuntu中的桌面同步客户端,它位于代理之后。 此代理修改SSL证书并更改证书颁发机构。 更专注一些: 我的证书:(当我在家访问时) 是为:我 发行:我 更改证书 发给:我 由代理运营商发行 我不确定,但我认为这是为什么我不能在这台机器login的问题。 日志说,当我尝试login以下 http://pastebin.com/MUMdJYsy (德文) http://pastebin.com/ds5bETjC (英文) (由于这是一个很长的日志,我使用了pastebin) 我觉得特别是第9-12行很有意思,因为这是证书变更的签名者。 (当然它是匿名的) 你有什么想法如何解决这个问题? 谢谢。