我正在创build一个安全的共享主机,并在主机function之间,我想给SSH访问。 我已经通过SSH,FTP和PHP(使用PHP-FPM)chrooted用户,并希望进一步提高主机的安全性。 我希望用户不能看到彼此的进程,而且我已经为内核打补丁( 这样 ):它在top和ps中工作,但是在chroot / proc目录中仍然可以看到PID: -bash-4.1$ ls -l /proc total 0 dr-x—— 6 0 0 0 Jun 21 10:38 1 dr-x—— 6 0 0 0 Jun 21 10:38 10 dr-x—— 6 0 0 0 Jun 21 10:38 1006 dr-x—— 6 0 0 0 Jun 21 10:38 1008 dr-x—— 6 0 0 0 Jun […]
我有两个networking局域网和DMZ ..机器在DMZ是可以从互联网(只通过HTTP)访问。 在局域网中,我有服务器,看到所有的局域网和所有的DMZ机器,但从DMZ machinse没有看到任何局域网服务器。 局域网中的机器只能访问所有的局域网和非军事区,不能直接访问互联网,也不能访问互联网。 DMZ <—— LAN DMZ —-X—>LAN 我打算将Baculaconfiguration为主要的备份系统。 我的计划是安装Bacula Director和Storage deamon在局域网中的同一台服务器上。 所以我的问题是: 这个configuration是否工作,是否可以在局域网中的服务器上安装bacula director和storage deamon来制作备份服务器在我的DMZ中? 或者在这个networkingconfigurationBacula应该在DMZ? (如果是,我可以在局域网内备份服务器吗?)
我们正在考虑在不久的将来推出Outlook 2010。 您会推荐哪些build议,指南,设置,工具等来保护和加强Outlook 2010的安装和使用? 什么工作,什么不工作? 注意:我不是在寻找使用Outlook的优点和缺点,只是如何保护它,以及应该切换或实施哪些设置。 注2:对于日常电子邮件使用的大型企业设置的普通用户,将来有可能使用个人数字证书。 将它硬化的方式与我们将硬化基本操作系统的方式相同。
我最近开始使用GPO来强制用户的“我的目录”文件夹转发到服务器上的c:\ home。 到目前为止,这工作得很好。 我遇到的问题是,因为以前没有这样的实现,用户的文件在硬盘上的不同位置。 所以我不得不手动将它们移动到用户主目录中。 我们没有大量的用户,所以这不是一个问题,而且我一次只做几个用户。 所以,当我从这些不同的位置复制/移动文件到用户主目录时,用户不能再打开他们的文件,并且在没有读取权限时出错。 我想这不会太难修复,所以我突出显示所有的文件,右键单击去安全权限(但它不在那里)。 所以我去了该文件夹的安全权限,并试图让它“取代所有后代的所有现有的inheritance权限……”,但是这根本没有做任何事情。 所有的文件仍然只有pipe理员权限给他们。 我改变了一个文件,以确保它能正常工作,但是我没有时间去浏览每一个文件,改变它的权限来添加适当的用户。 任何想法如何解决这个很容易? 以下是为主文件夹设置的权限: domain_username,特殊的,只有这个文件夹 创build者所有者,特殊的,子文件夹和文件只 SYSTEM / admin / Administrators,完全控制,这个文件夹,子文件夹和文件。
我需要为给定域中的所有计算机设置“从networking访问此计算机”/ SeNetworkLogonRight。 我想实现的是,只有添加到机器的“用户”(或更多特权组)的用户才能在该机器上进行身份validation(不是说交互式login,而是networkinglogin)。 谢谢
有没有人知道(简单)的方式来使用PBKDF2或BCrypt作为Apache HTTPD中的密码散列。 一般的情况是,我有一个/ private的资源,我想限制给一个给定的用户组。 这些用户将具有存储在数据库中的密码并使用mod_auth_dbd进行validation。 我想摆脱使用SSHA。 我可以在Apache apr-util中看到有一个函数apr_password_validate (它可以处理所有现在被apr_password_validate散列types); 而在apr_crypto_openssl.c中有crypto_passphrase ,这是PBKDF2的一个实现。 有没有人焊接在一起? (或者我错过了Apache文档中显而易见的东西?)
默认情况下,模块ip_conntrack被安装到内核中。 我的问题很简单,就是让ip_conntrack成为更好的追踪连接性能的助推器? 在VPS节点上,他们没有安装它,很多人指出你需要调整GET洪水和其他攻击,所以没有ip_conntrack使你的服务器更稳定的攻击?
最近有一件事情在我的linux CentOS盒子里一直困扰着我。我的客户端一直要求在他们的环境中设置一台CentOS机器作为服务器。 他们的要求之一是确保安装尽可能安全。 除CentOS内部的安全更新之外,大部分都已经被覆盖了。 所以我的问题如下: 1.如何在CentOS中应用最新的安全性,补丁或错误修正? 在做一些研究时,我被告知我们可以通过运行来更新CentOS的安全性 yum install yum-security 但是安装这个插件之后,似乎没有这个方法的输出。它像这个命令不工作了。 2 ..我可以通过rpm包更新安全补丁吗? 我找不到任何网站可以下载CentOS的安全补丁,增强function或错误修正。但是我知道CentOS已经通过他们的CentOS公告发布了这些更新。只是缺乏关于如何将这些更新应用到我的文档CentOS安装。 现在我知道的唯一方法就是跑步 yum update 我希望有人能帮我澄清这些事情。谢谢。
有什么办法可以远程validation文件是否被encryption? 我有一个非常复杂的问题,但是这里有一个简单的例子来说明这一点: 我有一个服务器,生成非常大的video文件。 我希望这些文件在下载之前在文件级进行encryption。 (可能是不安全的连接。)我知道这些文件的关键,我应该能够解密任何文件。 有没有什么方法可以让我在通过不安全的networking传输文件之前validation这些文件是否真正被encryption?
可能重复: 在here-document中通过SSH运行命令时不存在TTY 我安装了tomcat7。 这是nologin用户tomcat7。 这就是说,我需要给tomcat7 sudo权限来运行其他应用程序。 我编辑sudoer。 但是requiretty被设置,sudo只会在用户login到真正的tty时运行。 不过,tomcat是nologin … 我该怎么办?