我明白,为了安全起见,我必须总是戴着偏执狂的帽子。 我的场景: 我将在Proxmox VE上安装3个KVM虚拟机 Apache / Tomcat服务器 运行mysql的服务器 服务器运行mongod 所有这些虚拟机将被直接root-login-disabled,并将只使用passphrase-ssh密钥。 他们每个人都将安装CSF防火墙引擎,并将允许基于IP和端口的stream量。 现在的问题 当主机服务器与提供者位于同一位置时,我有3个select如何设置远程login。 select1 一个。 直接从互联网启用SSH访问所有的机器,这里的风险是我不想直接向外界暴露mysql,mongodb和App服务器,即使它只是passprhrase-protected-ssh-key。 select2 一个。 只启用SSH到Proxmox主机,然后存储我的SSH密钥在这里。 这看起来很吓人,任何黑客入侵Proxmox的人都会拥有所有机器的密钥(即使他们是密码保护的) select3 一个。 在另一台虚拟机/路由器上创build一个openvpn,并允许防火墙规则只允许ssh访问具有该VLAN段的虚拟机,这样我就可以将SSH密钥存储在笔记本电脑上而不是任何服务器上。 我是一家初创公司,在pipe理Linux服务器方面的天赋非常有限。 我可以在linux中导航而不是很好的系统pipe理员的东西,但在过去的几个星期里,读取足够的linux安全性限制了Linux系统的访问和普遍加强。 我只是想遵循规则使用/只安装那些绝对需要的工具。 第二个问题,我也想知道这是否正确 – 我的偏好是默认停止Proxmox的Web界面,并在需要的基础上启动/停止服务于此Web界面的apache2。 由于apache界面function非常强大,将直接提供控制台访问每个虚拟机,而不需要任何SSH密钥 任何想法和一般build议或指针也非常受欢迎。
我正在积极使用非启动分区和文件(容器?)的密钥文件,但是我想把它带到包含我的操作系统(Windows或Linux)的启动分区的完整系统中。 不过,我真的很喜欢安全密钥文件,而且通常使用25个1MB文件作为密钥文件(本质上是一个25万字符的密码)。 现在,我离开操作系统未encryption,但将所有重要的文件存储在容器中,这使我可以使用密钥文件。 如果我没有选项,我不想擦除和重新启动,并且文档无法明确说明它是否可用。 有人试过?
运行Windows Server 2008 R2,并进行上个月的最新更新。 更新已经下载并安装,虽然不完全是因为我已经推迟重新启动并完成该过程。 权力随机丢失。 在重新启动更新时,虽然在尝试打开每个文件后,即使是Windows附带的文件(如cmd或regedit)也会导致错误“由于我的安全设置,这些文件无法打开”。 我试过改变互联网选项的设置无济于事。 其他的东西,我试过了: 卸载更新 build立一个新的本地pipe理员帐户 禁用UAC 上次已知的良好configuration 这些都没有工作。 谁会有关于如何保存我的安装build议? 赢得2008 R2,SP1。
当我昨晚configurationWindows Azure虚拟机时,我不得不在Azurepipe理门户中编辑映射。 这是开放公共港口并将其映射到私人港口的过程。 它非常简单,但我注意到默认情况下,Azure将私有RDP 3389映射到一些随机高端口号,例如51460。 我需要打开http映射私人80 >>公共80.我可以在某种程度上从随机公共端口号映射到私人端口80受益? 对我来说,这将只会阻止所有stream量,因为http将在80上被请求。 那他们为什么这样做呢? 难道RDP只是一个高价值的目标,只能从私人pipe理请求中合法地调用?
我们正在为我们的客户制定云计算解决scheme,我们真的很关心为他们的文件devise最安全的存储服务器。 这个存储将不会是IO要求,因为它将只包含用户上传的文件。 数据库将被存储在完全的其他服务器上,而不是这个讨论的主题。 我们订购了两台存储服务器,其中一台将复制另一台。 我在这两种方法之间撕裂: Raid 1中的12个硬盘分割为6 x 2硬盘 把所有的12硬盘在RAID 6 另一台机器会复制第一个,并且会有相同的磁盘组织select。 在情况1中我不会感到困惑,我可以轻松地解决这个问题,而且我并不担心会浪费存储空间或存储速度。 因为我们打算储存大量数据,所以我们select了NL-SAS(基本上是SATA)驱动器。 如果我们把安全作为主要的决定因素,你会select哪种方法,为什么。 谢谢
在我的Windows服务器上, Microsoft Update会自动更新 IIS和ASP.NET。 在我的Linux / Debian服务器上, cron-apt保持Apache / PHP / etc。 自动更新(半)。 但是,我还没有find一个很好的解决scheme,以保持最新的Windows服务器上的PHP 。 我目前的计划是订阅PHP公告邮件列表,并在安全升级发布时手动升级Windows服务器上的PHP。 我缺less一个完善的select吗? 注意:这个问题已经收到了两个相同的投票,原因是“ 有太多可能的答案,或者这个格式的答案太长 ”。 亲爱的读者,如果您决定join您的近距离投票,请至less添加其中一个“太多答案”的问题。 😉
我正在尝试在Windows Server 2008 R2(64位)盒中安装一些英特尔驱动程序。 这些驱动程序进来一张CD。 问题是,这是一个“浏览器驱动”安装。 在这个服务器环境中,Internet Explorer在安全性方面非常古怪。 当我尝试为我的Windows版本select驱动程序时,Internet Explorer说IE ESC(增强安全)阻止了该页面,并build议将其添加到受信任的站点。 当我尝试这样做时,使用file:// ,我不能添加它,IE告诉我,path中有无效的通配符。 这是我的尝试: 暂时禁用IE ESC:结果相同 使用文件浏览器浏览光盘内容:在IE浏览器不允许我访问的文件夹中,有许多zip文件,全是.inf,md5,.sys,.inf文件,但没有Setup.exe。 我把所有东西都提取到一个临时文件夹中,并告诉Windows在寻找驱动程序时在那里查找 这样,我摆脱了设备pipe理器中的所有警告。 但是CD包含额外的实用程序,浏览器安装中的设备驱动程序列表比设备pipe理器中的警告列表长。 所以我觉得我错过了东西。 我相信主要的问题是path中的zip文件混淆了IE。 有任何想法吗? 编辑 :IE浏览器阻止的URL是: D:\drivers\sw-raid\ESRT2_Windows_v.14.06.1007.2011.WHQL.zip\2k8r2-x64_v14.06.1007.2011 D对应于我的DVD驱动器。 我可以使用文件浏览器访问这个文件夹。
我pipe理大约50台服务器,主要是通过在自定义端口上使用ssh进行远程访问(rootlogin被禁用,用户需要公钥/私钥login,密码login被禁用)。 每个服务器都有唯一的根密码(长string(大写/小写),数字和特殊字符,看起来不像字典词)。 每台服务器都要密切监视故障,而且还有意外的进程,行为和黑客攻击。 只有3个人知道root密码,我知道他们不会把它写在某个地方(因为这个问题,他们和我一样偏执),所以我没有理由认为这个密码应该被破坏。 知道这一切,是否有一个原因,我应该定期更改我的root密码? 如果是的话,什么是正确的时间间隔?
我的笔记本电脑显然已经改变了它的RSA密钥,所以当我通过SSH连接到它时,我得到了REMOTE HOST IDENTIFICATION已更改的消息。 我不记得上次连接到笔记本电脑的时间是在重新安装之前,所以想知道是否有最后一次信任我的笔记本电脑的时间戳的logging。 谢谢
我只需要允许特定的IP addrees访问我的视觉svn服务器。 Visual SVN 2.6.0安装在服务器上。 服务器:WIndows 2008 R2 我正在通过像https://example.com:8443/svn/reponame这样的URL访问svn 我在同一台服务器上运行的是IIS7,其网站运行的是https://example.com