我想安全地存储文件.pgpass ,其中包含客户端程序能够login到PostgreSQL服务器的身份validation凭证(包括密码)。 Pg文档指出,对于Unix系统,应该将该文件的权限设置为0600.但是,对于Windows系统,它并不提供任何指导。 它只是说 在Microsoft Windows上,假定文件存储在一个安全的目录中。 在Windows上,通常如何达到Unix的0600文件权限设置的效果?
随着一个新的(但旧的)安装的Ubuntu和MySQL,我发现我可以通过命令行客户端访问MySQL,而不需要任何用户或密码。 这使我困扰于默认情况,我试图调查它。 以root身份login需要root密码。 但是,在没有指定用户的情况下(即,在命令行中inputmysql )login时,我既没有用户也没有input密码。 我想我已经跟踪到了debian-sys-maint这个用户,这个用户似乎一方面拥有完整的MySQL权限,另一方面也是在/etc/mysql/debian.cnf定义的默认客户端用户。 我的第一本能是完全摆脱用户,因为这对我来说似乎是一个安全漏洞,但在阅读后,包括下面链接的post,似乎需要debian-sys-maint 。 所以我的计划是尝试以下几点: REVOKE ALL PRIVILEGES, GRANT OPTION FROM 'debian-sys-maint'; GRANT RELOAD on *.* TO 'debian-sys-maint'@'localhost' IDENTIFIED BY 'xxxxxx'; FLUSH PRIVILEGES; 任何人都可以评论这个build议/预期/正确的方式来保证默认的MySQL安装? 我是否也应该修改/etc/mysql/debian.cnf以删除此部分? [client] host = localhost user = debian-sys-maint password = xxxxxx socket = /var/run/mysqld/mysqld.sock (它警告: # Automatically generated for Debian scripts. DO NOT TOUCH! ) 我打算用我自己的~/.my.cnf客户端部分replace它。 更新: […]
我们希望能够从公司networking中的各种公有IP访问我们的VPC中的实例。 是否可以创build安全组(如运营商安全组),并在其上应用现有安全组实例时inheritance的规则? 我尝试了以下configuration,它不起作用:sg-operator(安全组创build不关联任何实例)端口3389源我的ip:10.10.10.10 sg-server1(安全组关联实例)端口3389源“sg-operator” 在我看来,安全组中添加的规则只有在与实例直接关联的情况下才有效,还有其他方法吗?
我是一名安全研究人员,已经遇到多种情况,可以利用这些file upload表单,允许攻击者控制的PHP代码被服务器parsing,从而导致远程执行代码。 此漏洞的根本原因似乎是默认情况下在以下Linux Distros的Apacheconfiguration中启用的传统设置: CentOS 5.8 CentOS 6.5 RedHat 5.10 RedHat 6.5 可能还有其他的。 设置是: AddHandler application/x-httpd-php .php 这个设置的效果是告诉服务器名称与\ .php匹配的文件应该被解释为PHP代码。 如果攻击者上传一个名为shell.php.jpg的图像,并在其中embeddedphp代码,并导航到该页面,则服务器将以服务器用户的身份执行该脚本。 我build议的补救措施是通过发表评论来禁用此设置。 我的推理是.php文件已经有一个隐含的处理程序内置到Apache,它告诉服务器解释代码为PHP,所以这个设置在我看来是多余的。 我觉得这是旧版本的CentOS和RedHat所带来的遗留设置,最新版本没有这个设置。 我的问题是: 什么情况下会禁用此设置中断function?
我已经详细研究了这一点,但是找不到解决具体问题的方法。 显然有一些类似的问题,经常导致人们尝试连接或发出远程命令到Windows服务器的问题,但没有find在这种情况下的帮助解决scheme。 情景(不涉及域): UserA在WorkstationA上有一个工作组帐户(Win7 Ultimate)。 UserA在ServerA上有一个工作组帐户(2012 R2)。 用户A在两台机器上的pipe理员组中。 通过此设置,UserA能够远程桌面到服务器并执行pipe理任务。 但是,如果UserA尝试从WorkstationA命令提示符closuresServerA,即使从pipe理员命令提示符下,访问也被拒绝: shutdown /m \\ServerA /t 0 /s ServerA: Access is denied.(5) 同样,使用Windows资源pipe理器可以直接访问服务器的文件系统,这会触发用户名/密码对话框。 这是事情: 所有这些都用于Server 2008和2008R2 如果用户A以Administrator身份login到WorkstationA(而不是两台计算机上的Administrators组中的UserA帐户),则它们都可以正常工作。
我们有一个服务器将通过厨师食谱来pipe理。 系统的每个用户都使用/ etc / shadow中的散列进行configuration。 我们可以安全地将这些阴影哈希存储在我们的版本控制系统中,允许用户轻松更改密码,或者必须将它们存储在更安全的encryption数据包中?
对于之前的CRM IFD,我已经将CRM前端服务器与ADFS代理一起放置在DMZ中,并允许通过防火墙从域控制器访问CRM前端。 这显然是一个安全漏洞。 对于Windows Server 2012 R2上的新安装,我想知道以下内容: 我的问题是,使用新的Windows Server Web应用程序代理(WAP)作为ADFS代理和反向Web代理,如果WAP位于DMZ中,并且前端位于防火墙后面,则允许访问CRM前端? 此外,WAP服务器需要join域吗? (这是我们不得不首先通过防火墙的原因)。 从这个文档: http : //technet.microsoft.com/en-us/library/dn383650.aspx它会出现答案是,这种方法将工作,但我没有任何使用WAP的经验。
我有一个Windows 7的图像,似乎使用了我无法修改或禁用的applocker规则集。 执行以下操作似乎对此强制执行的AppLocker神秘规则集没有影响: 禁用AppIdSvc 重新启动AppIdSvc 更新本地安全策略中的AppLocker规则集(该系统不是域的一部分) 上述的任何组合 以上来自这篇technet文章 。 这是使用applocker powershell模块的结果: Import-Module AppLocker Get-AppLockerPolicy -Effective | Test-AppLockerPolicy -Path c:\TestScript.bat FilePath PolicyDecision MatchingRule ——– ————– ———— C:\TestScript.bat AllowedByDefault 如果为脚本或exes创build通配符规则集,则此testing将更改为允许进行策略决策。 但是,实际testing执行时,我收到错误This program is blocked by group policy…并且在AppLocker事件日志中存在相应的消息,指出执行被阻止以空白RuleName和归零RuleId运行。 似乎也有规则是有效的。 如果我以pipe理员身份运行TestScript.bat(UAC处于打开状态),则脚本将按预期方式执行,将会注册一个事件,说明所有脚本的RuleName都允许执行。 这个规则可能来自一个较早的设置,但我似乎无法find它或删除它。 我怎样才能删除这些隐藏的规则?
首先,我很抱歉,如果这是模糊的,但我不熟悉的DNS或DNS术语。 我在做什么: 我想限制什么主机名被允许dynamic更新DNS。 我不想最终与一个恶意用户发送dynamicDNS更新与域控制器或半径服务器或相同的主机名。 这是为什么这是一个问题: 我们运行一个混合环境商店,并有很多设备没有绑定到AD,所以我不能将DNS更新限制为仅安全。 有人可以告诉我如何解决这个问题,它叫什么? DNS在Windows Server 2008 R2域控制器上运行。
Kerberos明显阻止攻击者在SSH中间情况下(攻击者已经获得用户信任其服务器的公钥并通过该服务器redirect通信的情况)获取用户凭据。 但是,如果攻击者没有获得用户凭证,那么他们将能够在authentication之后监听会话,并可能获取有价值的信息(包括随后input的凭证),从而会发生什么情况呢? 要清楚,这里是这种情况: SSH服务器(Server1)和客户端(User1)是为Kerberos设置的。 Server1具有用于authentication的标准公钥/私钥对 User1最初尝试连接到Server1,但其连接被攻击者redirect到Server2。 用户1并不仔细查看来自Server2的公开密钥,并将其作为Server1的已知主机密钥(因此设置MITM)接受它。 用户1通过服务器1到服务器2进行Kerberosauthentication(服务器2设置两个独立的SSH会话并在它们之间传递信息)。 由于Kerberos的工作方式,攻击者在authentication过程中不会获得任何有价值的信息。 然而,一旦通过身份validation,User1就开始在Server1上执行操作,包括sudo。 攻击者能够在通过Server2时看到会话的所有内容。 这会工作吗? 在authentication步骤中,这种情况显然会受到公钥authentication的阻碍。 但是在Kerberos或SSH协议中有什么可以防止这种情况呢?