我知道我可以使用户在本地的Windows服务器上的pipe理员,该用户可以创build本地用户和本地组。 但是,如果我只想给用户创build本地组的能力呢? 有没有一个旋钮,我可以转而委派这个能力,而不给予用户完全的pipe理员能力?
这是SELinux执行时发生的情况: [root@shadmin ~]# elinks –dump 127.0.0.1/ASP-Portal/index.aspx Service Temporarily Unavailable The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later. ————————————————————————– Apache/2.2.15 (Red Hat) Server at 127.0.0.1 Port 80 [root@shadmin ~]# tail /var/log/httpd/error_log [Tue Aug 09 17:27:00 2016] [notice] caught SIGTERM, shutting down [Tue Aug 09 […]
在阅读Docker主机时间不同步的一些人的问题后 ,我意识到Digital Ocean上的Docker主机(通过docker-machine创build)可能需要在其上运行ntp,这让我想到系统更新到Docker一般主机。 现在已经有很多关于将更新应用到实际的Docker 服务上的讨论 – 一般认为从更新后的基础镜像重build镜像是一个很好的解决scheme – 但是我还没有看到Docker主机本身的重点。 对于那些在生产环境中使用Docker的人,你是否还在使用Docker-Machine,或者使用Chef / Puppet /等传统工具来构build和维护Docker主机?
当特定的Windows域试图访问我的服务器上的一个网站时,我遇到了一个错误 – 我们称之为ABC域。 根据此域中的用户,网站会提示他们input其Windows凭据。 经过3次尝试后,将它们带入黑屏。 我已经根据组策略将域(ABC \ Domain Users)添加到应该有权访问networking的用户组(在Windows中编辑本地用户和组)。 我已经在IIS中的站点级别编辑了安全权限,为此域组提供读取权限。 我对Windows身份validation相对来说比较陌生,但我已经search和search无济于事。 任何帮助将不胜感激! 以下是事件查看器错误的详细信息: Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 10/4/2016 11:01:56 AM Event ID: 4625 Task Category: Logon Level: Information Keywords: Audit Failure User: N/A Computer: tlcstdg47apdvg.adb.abcorp.com Description: An account failed to log on. Subject: Security ID: NULL SID Account Name: – Account Domain: – […]
我们已经限制NTP只听eth0,其余的应该忽略。 但是我们可以看到,在ntp.conf中进行更改后,它正在尝试侦听广播,并且无法将地址与意外错误绑定。 ntpd[89217]: ./../lib/isc/unix/ifiter_ioctl.c:617: unexpected error: ntpd[89217]: eth2:6: getting broadcast address: Cannot assign requested address ntpd[89217]: i/o error on routing socket No buffer space available – disabling ntpd[5410]: ./../lib/isc/unix/ifiter_ioctl.c:617: unexpected error: ntpd[5410]: eth3.1238:0: getting broadcast address: Cannot assign requested address ntpd[5410]: ntpd exiting on signal 15 ntpd[1508]: ntpd exiting on signal 15 以下是客户服务器的ntp.conf文件: 猫ntp.conf 软性127.127.1.0阶层10 […]
我需要禁用Windows Server 2012 R2服务器上的不安全密码套件才能通过PCI漏洞扫描。 从我做的研究似乎这是在IIS中完成一些registry更新,我编译了一个列表,并运行它们。 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client] "DisabledByDefault"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128] "Enabled"=dword:00000000 在应用上面的步骤后,重新启动并重新运行扫描,它仍然不能通过启用RC4套件来进行testing。 所以我做了一些更多的挖掘和谷歌search显示SCHANNEL: KB2868725补丁,所以我试图安装,但它是与系统不兼容(RC2已安装已经)。 之后,我尝试了IIS Crypto ,它已经显示R4 cyphers禁用(通过registry键我更改),但我打开PCI模式,它禁用了一堆更多的套件/密码。 重启后我很乐观,但扫描仍然失败。 从另外的研究看来,2012 R2应该具有禁用内置RC4的function,而IIS应该尊重这一点,但是它并没有这样做,所以我不知道该从哪里走。
我们有一个networking服务,目前只能在networking内部运行,并且networking之外不能访问。 这个Web服务是用Java编写的,并通过一个Jetty servlet引擎运行。 这是一个纯粹的骨骼Web服务,内置很less的安全性。 它执行less量的数据validation以防止拒绝服务攻击,并使用BasicAuth。 没有encryption/解密,这里没有SSL。 我正在寻找安全的方法,将这个不太安全的Web服务公开给客户,通过网站的forms请求连接到公共networking。 现在我正在调查在Microsoft Windows IIS中使用反向代理来执行此操作,但我不确定这会添加任何安全性。 人们通常如何以安全的方式向互联网公开Web服务?
我想知道是否可以在logrotate.conf中使用prerotate和postrotate。 事情是我只想使日志追加,通常我会添加chattr -a预旋转和chattr +a postrotate脚本/etc/logrotate.d ,但如果我想这是所有日志的默认设置? 可以在logrotate.conf定义吗? 怎么样的文件名? 还是我做的完全错误,还有另一种方法来使所有日志处理logrotate附加?
我正在使用dhcpcd通过WiFi在笔记本电脑上获取IP地址。 login到路由器后,我注意到它太了解我的系统: Host Name: hostname Device Type: dhcpcd-6.11.3:Linux-4.8.4-1-ARCH:x86_64:GenuineIntel IP Address: 192.168.1.100 MAC Address: aa:bb:cc:dd:ee:ff … 我可以在dhcpcd中隐藏“设备types”,还是提供更一般的东西?
我打算提供有限的ssh访问备份服务。 到目前为止,我想到的最好的解决scheme是使用chroot,只允许访问某些命令,例如:cd,mkdir,mv,rm,rsync,sftp等,并将主目录挂载为noexec。 我打算在一个centos 7系统上这样做。 有没有什么方法可以让恶意客户摆脱chroot系统侵入其他用户的数据或创build其他问题? 任何其他安全考虑?