我们正在为我们的基础设施使用AWS。 工程师需要访问生产服务器(EC2)进行调查,但大多数服务器是短暂的。 我们这样做的方式是让一个中央服务器拥有pipe理员用户的AWSangular色,可以访问任何服务器。 问题是,现在所有的工程师都会以pipe理员用户身份login到这个中央服务器,而不是使用他们自己的账户,所以我们不能跟踪谁在这些服务器上做了什么。 我知道最终我们需要确保工程师总是使用他们自己的帐户,但是我正在寻找一个短期的解决scheme,没有大量的时间和财务投资。 任何build议如何做到这一点?
我用Centos 7.3获得了一个新的vServer。 和SELinux 2.5。*。 我想让SELinux活跃起来,以便对我的服务器进行更好的访问控制,但没有任何效果。 如果我检查SELinux模式并进入 getenforce: disabled 要么 SELinux status: disabled 另外我用shutdown -r重新启动服务器,现在仍然是同样的问题。 检查你的CentOS上安装了哪些SELinux软件包 rpm -qa | grep selinux libselinux-python-2.5-6.el7.x86_64 libselinux-utils-2.5-6.el7.x86_64 libselinux-2.5-6.el7.x86_64 selinux-policy-3.13.1-102.el7_3.7.noarch 我已经安装了更多的SELinux包,以便在日志中捕获更多的错误消息,但是所有的日志文件都是空的。 cat /var/log/messages | grep "SELinux is preventing" empty feedback also with | grep "SELinux" 如果使用cat命令查看SELINUXconfiguration文件,我会看到SELINUX已经设置为强制未禁用。 这是一个错误还是什么? 我知道Centos 7.3的版本是新的,但我得到与该操作系统的vServer。 我已经用7.1服务器试过了,一切正常。 是的,我已经多次重新启动服务器。
An account failed to log on. Subject: Security ID: S-1-0-0 Account Name: – Account Domain: – Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: S-1-0-0 Account Name: xyzuser Account Domain: srkt Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d Sub Status: 0xc0000064 Process Information: Caller Process […]
我正在努力寻找关于如何configurationCentOS 6.8机器以使用LDAPS查询在Windows 2012 R2域控制器上运行的Active Directory的简单说明。 我已经将Linux客户端join到域中,并将域控制器configuration为证书颁发机构。 从DC我可以使用LDP并连接到端口636本地主机。所以我相信DC应该支持LDAPS在这一点上。 在客户端,我使用以下命令生成证书:openssl req -nodes -newkey rsa:2048 -keyout domain.key -out domain.csr 所以它生成了这两个文件。 根据我的理解,我需要从客户端向DC发送请求,以便向CA注册客户端。 我不知道如何做到这一点。 我相信,一旦我完成了这一点,我应该能够使用ldapsearch从客户端查询活动目录。 如此有效,如何将客户端configuration为使用可信证书与DC进行通信?
我正在按照本指南使用LDAP来设置Kerberos。 我已经遵循了所有的步骤。 但是,当我运行kadmin.local它退出以下错误: 使用密码身份validation身份为root/[email protected]。 kadmin.local:无法绑定到LDAP服务器'ldaps://'as'cn = admin,dc = example,dc = com':在初始化kadmin.local界面时无法联系LDAP服务器 — Subject: Unit krb5-kdc.service has begun start-up — Defined-By: systemd — Support: http://www.ubuntu.com/support — — Unit krb5-kdc.service has begun starting up. Jan 02 06:19:12 ubuntu-512mb-blr1-01 systemd[1]: Starting Kerberos 5 Key Distribution Center… — Subject: Unit krb5-kdc.service has begun start-up — Defined-By: systemd — Support: […]
Win 2012服务器中收到了大量4625个事件。 以下是活动详情。 帐户名称和工作站名称相同,并且是我正在接收“帐户login失败”事件的计算机的主机名。 有人可以帮我解决这个问题。 Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 05/01/2017 6:47:08 AM Event ID: 4625 Task Category: Logon Level: Information Keywords: Audit Failure User: N/A Computer: http://(ServerHostname).example.com Description: An account failed to log on. Subject: Security ID: NULL SID Account Name: – Account Domain: – Logon ID: 0x0 Logon Type: 3 Account For […]
我有一个Linux盒子,感染了看起来像某种forms的机器人。 我可以通过顶部看到一些可疑的进程 1819 nginx 20 0 40680 6744 2200 S 0.7 0.1 0:01.44 bash 2786 nginx 20 0 51288 17016 1876 S 0.7 0.1 0:01.01 httpd 我可以看到,他们是作为nginx用户运行,但我不知道如何追溯到他们实际上坐在箱子上。 我试着用lsof看,我可以看到他们是Perl。 我已经在重build一个新鲜的盒子了,但肯定有一种方法可以追踪他们… lsof输出 lsof -p 2786 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME bash 2786 nginx cwd DIR 8,0 4096 2 / bash 2786 nginx rtd […]
过去几周我每小时login失败的次数达到了1000次,我确定其中有99%是来自僵尸程序。 我已经安装了fail2ban,我一直在阻止一些子网,但是我也决定改变我用于SSH的端口。 这只是我使用服务器,所以它是一个简单的变化,摆脱了很多的机器人请求。 我做了改变,一切工作正常。 我想现在阻止22港口。我已经检查了firewalld,22港口从来没有规定,这让我不知道它是如何工作的。 必须有一些东西来确保端口22的请求不被阻塞。 如何禁用此function并完全locking端口22?
在我们的(物理)主机上启用KVM嵌套虚拟化是否安全,以使用户能够在其VPS内运行自己的虚拟机? 或者它是否向我们的主要主机引入了一些安全问题,嵌套虚拟化只能用于可信的虚拟机?
我只是寻求一些关于安全意识的build议(自以为是的),这种情况下的最佳实践: 我有一个Ubuntu VPS(在Azure上)运行一些网站。 这些服务器的安全性相当强硬。 我设置了它们。 我是唯一一个在这些网站上工作过的开发人员,而且我拥有唯一的具有sudo权限的SSHlogin名。 如果我想提供一个应变计划,以防万一发生了可怕的事情(例如我死了),那么我的客户本身没有能力pipe理服务器,可以让另一个(不知名的)开发人员接pipe。 以下哪一项会更好? [1]创build与我拥有相同特权的另一个用户,并与代理机构分享。 [1A]更好的公钥authentication,或只是一个用户名和密码? 也就是说,如果我正在创build并给其他人login,那么关键是没有意义的? [2]不要做任何事情,并指示应急开发人员通过Azure控制面板重置用户login,并可能有短暂的网站停机时间,在不太可能发生的情况下(通过Azure控制面板)如果在不安全的通信中没有其他帐户详细信息,那么潜在的漏洞就越less)。 在此先感谢您的build议。