我有两个独立的networking,一个是可信的,一个是不可信的。 可信networking包含一台服务器。 蓝色是现有的,可信赖的networking,大盒子是服务器,通过eth0连接到可信networking。 我现在要开始使用服务器上的可用资源来托pipeDocker容器中包含的服务到不可信networking(红色)。 我希望所有绑定到0.0.0.0的东西像往常一样工作,但不要绑定到eth1和docker1。 这意味着nginx应该能够与除eth1和docker1之外的所有接口进行通信。 它不应该能够与192.168.2.0/24子网(也包括docker1网桥)进行通信。 这也适用于sshd和桑巴,以及任何服务。 没有来自192.168.2.0/24的设备应该能够在服务器上build立ssh会话或通过samba连接。 服务器上不应该发送192.168.2.0/24到其他子网的路由。 因此,192.168.1.0/24networking上的服务器和任何设备应该能够访问容器1到3,但不能访问4和5.容器4和5不能访问192.168.1.0/24上的任何东西networking。 我相信这应该是可以通过使用iptables。 另外,我将如何configurationdocker桥? 我缺乏iptables的经验,更多的是使用dockernetworking,所以我们将不胜感激。 (这两个networking之间的所有通信应该只发生在一个路由器上,路由器正在使用NAT,因此子网192.168.1.0/24可以通过它访问192.168.2.0/24,但是只有路由器上的端口转发允许它,但是这是一个不同的(并解决了)问题。) 更新 :会添加这些规则这个工作吗? iptables -A INPUT -i eth1 -j DROP iptables -A OUTPUT -i eth1 -j DROP iptables -A FORWARD -i eth1 -j DROP iptables -A INPUT -i docker1 -j DROP iptables -A OUTPUT -i docker1 -j DROP iptables -A FORWARD […]
我有一个正常的Apache / MySQL服务的公司和这些公司的用户login到一个Web应用程序。 所以所有公司的每个人都在同一个用户表中。 虽然我的代码确实试图让公司隔离在PHP中,比如SELECT * FROM Users WHERE Company=$COMPANY ,但我确实看到了SQL注入从其他客户获取私有数据的可能性,因为代码库很可能相当广阔。 我们正在审查代码,但按照这个速度,我们将在几年内完成。 同时,我正在考虑Docker,希望给我的每个客户自己的容器提供Apache服务器(带有一个小缓冲区,2个php工作者),以及具有32或64 MB缓冲池的MySQL。 然后这个容器只允许1个TCP连接用于HTTPS,这个连接将根据主机名(例如customer-a.mycompany.com)进行反向代理。 没有文件被写入磁盘。 而且PHP源代码会使用git保持最新,所以也许我们甚至可以把选定的客户放在我们的testing版上。 我已经被告知,Docker并不是为上述场景devise的,也不会为我提供我所寻求的安全性。 我得到一个黑客可以注入代码到一个容器,并会影响到一个客户。 但是,Docker不会阻止发现用于其他客户的虚拟主机,从而减less黑客对大多数客户的影响。 只有一个我们可以在财务上处理,但不是12。 除了安全性之外,我很高兴看到为每个公司准备的MySQL缓冲池的可能性一般会更快,因为当客户A执行一个疯狂的SQL报告时,我猜测缓冲池被疯狂的报告覆盖,所以当客户B接下来做一个简单的查询时,必须从磁盘上重新获取数据。 将来,我希望在GUI上看到这些“容器”,并能够将它们拖放到另一个服务器上(更快,容器更less)。例如,为某些电力客户提供“更快”的速度。 上述任何梦想是否符合2017年的现实? 你认为我应该考虑什么平台/工具?
我想让人们在Windows环境下构build他们的电子应用程序。 对于我来说,我通过SQS接受作业,并有一个监听器在“workspace”文件夹中运行构build过程。 我不想让自己打开一个恶意的构build脚本,试图摆脱项目的工作空间,并访问任何它不是。 我将如何在Windows操作系统上实现这一点? (使用Windows Server 2016)我知道NTFS文件夹的权限,但我不知道如何实现使用它们的系统。
多个用户被授予了在线交换邮箱文件夹的权限。 但是,他们不应该能够转发/打印/复制/粘贴这些电子邮件,基本上是Azure Rights Management的function。 有没有办法做到这一点? 如果没有解决方法? Azure权限pipe理策略不能应用于现有的邮件或文件夹。
我正在AWS上运行一个Tomcat。 问题是,当一个请求崩溃,一个exception,tomcat不仅发送503,而且还发送在html中的exceptio堆栈跟踪,暴露我的源代码给一个查看者不需要看到它。 我如何禁用这个?
在select应用程序容器解决scheme与操作系统容器解决scheme之间的一个决定点是安全性 我没有足够的知识能够比较和对比两者。 我认为他们是不同的,但是比另一个更开放?
我已经看到了在MySQL中设置密码的各种方法,例如: GRANT USAGE ON db.* to 'dave'@'localhost' IDENTIFIED BY 'supersecretpassword'); SET PASSWORD [FOR 'dave'@'localhost'] = PASSWORD('reallysecretpassword'); UPDATE mysql.user SET PASSWORD=PASSWORD('confidentialpassword') WHERE user='dave' AND host='localhost'; 但是他们似乎涉及在SQL命令中清晰地input密码,这引起了一些疑虑,比如是否在我的SQL命令历史logging中,或者是否有人在我的肩上,或者是否可以窥视我的terminal回滚。 有没有反正我可以让MySQL提示我input密码而不将它回显到屏幕上(和Unix用passwd )?
我照顾一个networking。 这个networking是相对直接的:在里面是活动目录,我有一个DMZ,在这个DMZ是我的Bind9 DNS转发服务器。 Active Directory域控制器是所有Windows客户端的内部DNS服务器,所有计算机都必须使用DNS转发器来执行DNS查询。 我试图阻止我的客户执行某些types的查找,例如TXTlogging。 这是由于安全问题,特别是DNS隧道(请参阅称为碘的工具以获取更多信息)。 我期待在Bind9中find一个简单的选项来禁用某些types的logging查找,但我找不到任何适用的东西。 有谁知道有什么可以做的伎俩? 无论是在绑定的configuration或其他? 谢谢!
我使用CIS安全基准来devise符合行业最佳实践的GPO。 我现在正在build立一个configuration包,用于configuration未绑定到AD的机器。 有没有人知道一个类似的文件列出了最低设置适用? 或者,是否有文件可以帮助您确定哪些设置与GPO中的设置相对应?
我知道chroot通常不被认为是安全的,并不是作为安全function而devise的。 所以我的问题是: 我是否正确,chroot一个SSH用户(与ChrootDirectory )是不安全的,不会阻止该用户逃脱? 如果是的话,为什么你会根本用户? 是chroot用户和限制他到SFTP(与ForceCommand internal-sftp SFTP)更安全? 有没有办法打破这个?