我们的傀儡代码存在于github上,所以我们拉到了木偶大师身上。 但是我们的github存储库是私有的。 是标准(最佳)的做法,给puppet主ssh密钥github没有密码(什么github调用部署密钥)? 我能做得更好吗?
与我的networking应用程序,我已经提供文件给第三方API不幸的是只接受文件名称。 这些文件可以位于任何位置,本地或networking共享。 这些文件实际上存储在一个networking共享上,由于安全性,只有一个系统帐户可以访问。 Web应用程序(使用此系统帐户运行)将检查授权,读取文件并通过反向代理将数据上载为http响应的有效内容。 在客户端上,这些文件被保存到一个本地目录,然后这个文件位置被赋予第三方api。 问题是本地存储是有限的,数据量是相当大的。 另外,性能并不像用户所期望的那样。 最后,我们的IT-sec接受这个临时解决scheme,因为没有数据应该存储在本地机器上。 有没有办法安全地授予访问networking共享(NFS协议1)。 像nfs反向代理? 或者这样的问题如何解决? 干杯, 一月
我最近注意到,我的一个运行nginx代理的站点可以通过一堆随机域访问。 其中一些是由http://unblocksit.es等网站生成的代理。 这些大多是无害的,但是有代理注入添加和其他看起来像他们旨在拦截用户凭据。 我知道我可以阻止他们的IP,但它是不断的比赛,我将永远是一个必须赶上。 有没有其他机制可以用来防止通过反向代理访问nginx?
所以我的问题是在Solaris非全局区域内运行BART(Solaris基本审计报告工具)。 我对这个问题感到困惑,因为我一直在阅读很多相互矛盾的观点,手册页上这样说: 任何非全局区域的根文件系统不得使用-R选项进行引用。 这样做可能会损坏全局区域的文件系统,可能会危及全局区域的安全,并可能会损坏非全局区域的文件系统 所以在研究这个话题之后,我看到了很多似乎来回回答的答案。 人们已经说过要在全球区域运行它,有人说要login到非全球区域并在那里运行。 所以我的问题是,我有一堆Solaris非全局区域,我想要BART检查。 是否可以ssh或zlogin到非全局区域并运行BART? BART检查“/”(又名根目录)和我的非全局区域的最安全的方法是什么?
我们公司有两种不同types的网站,其中一种是面向公众的网站,用户不需要基于服务器的身份validation(匿名身份validation)就可以访问我们公司员工需要访问的其他网站。 这些员工为我们的对外服务工作,需要连接到来自全国各地的这些网站。 我将这两种不同的网站分成两个不同的IIS 8.5服务器。 我现在所关心的是我们内部网站上的用户身份validation以及想要通过powershell访问这些网站的可能的入侵者。 我读了关于摘要,基本和Windowsauthentication。 据我所知,摘要authentication工作速度最快,所需的服务器资源比其他authentication方法less。 但是为了进行摘要authentication,服务器需要在一个域中,因为它需要从域控制器获得一个散列。 我也读过这是不可能的,委托通过digestauth收到的用户凭证到特定的网站。 就像用户需要在网站内的login屏幕上进行身份validation一样,在访问服务器时不能拿到他通过的凭据,并将其作为网站login名。 由于我不希望我的用户两次authentication自己,如果我正确地理解了这个authentication方法,那么这个authentication方法就不适合我的需求。 基本身份validation通过base64“encryption”以纯文本forms发送密码。 这也不是很安全,因为入侵者可以简单地捕获这些证书。 Windows身份validation应该比基本身份validation更安全一些,Web服务器不需要在域中,但所有需要身份validation的用户都需要位于Web服务器上的用户组中。 我不知道这个方法是如何编码的。 我的问题是,从安全的angular度来看,对于我的内部网站,您build议使用哪种身份validation方法。 注意:我们使用SSL(HTTPS)为所有我们的网站,内部和公众面对。
我已经inheritance了CentOS系统,我无法通过控制台login。 我可以ssh到机器和login,但不能通过控制台。 我如何去启用控制台login?
这里的问题与我的(更广泛的)问题类似,但不完全相同,即: TLD; DR版本 是否有任何CentOS 6的工具(最好在基本或EPEL回购),提供任何或所有以下function: 列出出于安全原因需要更新的软件包 (1)需要更新并且(2)最近(即在最近两个月内)已经在CESA / RHSA中的软件包列表。 (这里假定之前发布的重要安全更新已经过testing,批准和部署) 列出与上述相关的RHSA或CESA 为什么? 只有yum-plugin-security软件包和未修改是不够的。 在CentOS上, yum-security插件没有提供完整的结果。 一些已经在上周进行过CESA + RHSA更新的软件包在运行yum –security check-update (包括对内核(!) yum –security check-update时没有列出。 其他软件包,例如openssh和openssl都被列出。 虽然我可以在一两天内通过发布CentOS公布的邮件列表档案来编写一个具有后两个function的工具,但我宁愿与现有工具一起工作,而不是重新发明轮子。
我的Tomcat服务器目前正在运行pipe理员应用程序不受保护。 我们希望继续将其作为启动,停止和部署应用程序的主要手段。 我们的tomcat用户文件如下所示: <tomcat-users xmlns="http://tomcat.apache.org/xml" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://tomcat.apache.org/xml tomcat-users.xsd" version="1.0"> <user username="tcadmin" password="P98ohnoes" roles="admin-gui,manager-gui" /> </tomcat-users> 经过多人testing,我们发现: http://服务器:8080 /经理 加载他们的pipe理员界面没有密码的挑战。 我错过了什么? 我们在端口8080上的Windows Server 2012 R2上运行此操作,同时我们在端口80上运行IIS。 我已经尝试重新启动服务器,并且已经审查了我们的Dev和QA服务器,以确保server.xml和tomcat-users.xml和web.xml文件都是平等的,没有什么不同。 在每台服务器上,安全性都在起作用。 他们在端口80上运行Windows 7 64位,没有其他Web服务器并行运行。 更新 从Java Ranch的Tim Holloway,我了解到,我们应该关心server.xml文件中的GlobalNamingResourcesconfiguration。 我已经审查过,并确认它符合我们的工作服务器configuration。 <GlobalNamingResources> <!– Editable user database that can also be used by UserDatabaseRealm to authenticate users –> <Resource name="UserDatabase" auth="Container" type="org.apache.catalina.UserDatabase" description="User […]
我的环境(10 / 8.1 / XP / 7工作站)上的任何东西都无法再远程访问WMI。 这里有一些细节: 1)我是域pipe理员,“MRT”是我的用户名和密码“mmmmn”。 2)自从发生这种情况以来,我一直在研究文章,并查看并validation了WMI和DCOM安全设置是正确的。 我试着改变了几台机器的设置,看看有没有什么办法可以奏效。 3)WBEMTEST工作正常。 我可以在本地连接并查询任何我想要的东西。 如果我远程尝试,它不起作用。 我收到一个“Number:0x80070005访问被拒绝”错误。 4)我用"WMIC /node:172.16.98.12 /user:MRT /password:11111 computersystem get totalphysicalmemory" ,得到Access被拒绝的响应。 5)扫描病毒和恶意软件,什么都没有。 怎么了? 很显然,在我的环境中发生了一些变化,对我没有回应。
我们有一个“演示”机器,我们用它作为本地用户提供远程访问演示软件。 有没有办法隐藏和拒绝访问除了用户文件夹使用GPO的一切?