我试图将运行在一个EC2实例上的应用程序连接到在另一个EC2实例上运行的MongoDB。 我很确定问题出在安全设置,但我不太清楚如何处理。 首先,我的应用程序的实例位于ELB后面的自动调整组中。 实例和ELB的入站安全设置允许从任何地方访问端口80,以及来自其自身安全组的所有stream量。 运行Mongo的EC2实例能够在该实例的安全组接受来自任何地方的所有入站通信的情况下进行连接。 我试过的任何其他configuration都会导致应用程序说它无法与远程地址build立连接。 我已经设置了规则来接受来自我拥有的所有安全组的入站stream量,但只有当我允许来自任何地方的所有stream量时,它似乎才起作用。 此外,我的数据库实例设置了一个弹性ip。 我应该在ELB背后有这个实例吗? 所以我的问题是这样的: 1)如何安全地连接到运行mongo的EC2实例? 2)在体系结构方面,以这种方式运行我的数据库是否有意义,还是应该在负载平衡器后面加上这一点? 这个问题比我想象的要多得多,所以任何帮助,将不胜感激。 注意 我还在bind_ip=0.0.0.0设置了bind_ip=0.0.0.0
数字海洋closures了我的水滴花花公子有交通液滴。 我做了一个新的滴(实例),我又面临同样的问题。 我的nginx access.log中充满了试图进行POST调用的随机IP地址。 最后我粘贴了一些。 为了防范,我使用fail2ban将这些IP地址列入黑名单。但是我需要知道问题的根源 这是因为系统内部是否存在恶意软件,或者是我没有任何控制权? 如果是因为有任何恶意软件包,那我该如何find它? 2.177.28.141 – – [27/Nov/2015:12:50:13 -0500] "POST / HTTP/1.1" 403 1358 "-" "Apache-HttpClient/UNAVAILABLE (java 1.5)" 5.238.77.154 – – [27/Nov/2015:12:50:33 -0500] "POST / HTTP/1.1" 403 1358 "-" "Apache-HttpClient/UNAVAILABLE (java 1.5)" 5.238.77.154 – – [27/Nov/2015:12:50:34 -0500] "POST / HTTP/1.1" 403 1358 "-" "Apache-HttpClient/UNAVAILABLE (java 1.5)" 2.187.214.241 – – [27/Nov/2015:12:51:11 -0500] […]
我最近注意到我的nginx访问日志中有一些奇怪的stream量。 我不确定这些表示是攻击,错误还是别的。 我已经开始发送这些HTTP 444,所以这些日志将表明。 1)我注意到stream量的增加,并在检查日志,我看到请求后这样的要求: 121.32.149.215 – – [28 / Nov / 2015:06:27:00 +0000]“GET / HTTP / 1.1”444 0 "http://vp.f8bet.com/wf360.html" “Mozilla / 5.0(Windows NT 6.1)AppleWebKit / 537.36(KHTML,如Gecko)Chrome / 31.0.1650.63 Safari / 537.36“” – “ 他们来自不同的IP和不同的用户代理。 其中很多。 奇怪的部分是引用页面有我的TLD作为脚本标记的src。 我的网站没有从该URL返回任何JS,所以它只是点击该网站的索引。 如果我不那么好,我可以开始返回一些平均的JS。 我认为这可能只是引用垃圾邮件,但我不确定。 2)我也得到了很多这样的要求: 190.137.153.244 – – [28 / Nov / 2015:06:07:16 +0000]“GET / HTTP / 1.1”302 97“ […]
我想创build一个用于Elastic Beanstalk的自定义AMI。 直到现在我已经login到我的实例使用密钥对检索Windows密码。 我推出了一个新的实例,专门定制为用作自定义AMI。 我去了AWS上的EC2页面,点击“Launch Instance”并select了公共图像ami-9f1c4bfa 。 我select了这个公共映像,因为它是Elastic Beanstalk设置中的默认实例。 我还select了与我的Elastic Beanstalk实例一起使用的密钥对。 将我想要的设置应用到新实例后,我回到EC2列表以创build它的图像(自定义AMI)。 一旦保存完成,我就会在Elastic Beanstalk中input我的AMI名称。 我的EC2实例已被重新创build,但我不能再使用密钥对来获取Windows密码。 是我在创build实例时所做的事情,还是有额外的步骤,我需要允许密钥对使用?
我有两个相同的小滴在数字海洋上运行。 运行Ubuntu 14.04与nginx,gunicorn和Django。 我试图把我的一个子域放到一个水滴的IP上。 在另一个液滴,我已经成功地停放了一个子域,并且按照预期工作。 现在,问题小滴似乎只能通过液滴的IP地址正确连接。 通过访问IP地址,gunicorn实例可以被完美地看到,并且代理到gunicorn端口:9000不需要访问它。 通过访问在我的域名注册商处添加了一个Alogging的子域,指向这个液滴的IP,我被nginx的欢迎页面欢迎,说nginx需要更多的configuration。 通过访问子域名并附加gunicorn端口:9000我被Django应用程序迎接,但是它不像当访问液滴的IP地址时那样提供静态文件。 另外,如果我访问IP地址并追加:9000端口,它具有相同的效果。 我对nginx的configuration在两个水滴上是相同的,唯一的区别是server_name的IP地址。 server { server_name *.*.*.*; access_log off; location /static { alias /opt/venv/static; } location /media { alias /opt/venv/media; } location / { proxy_pass http://$server_name:9000; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Host $server_name; } } 我也试图设置server_name到子域也是无济于事。 我错过了什么吗? 为什么这个工作在一个液滴而不是另一个? 编辑:添加configuration为gunicorn command […]
有没有人在这里使用Netgear GS752TXS(52端口可堆叠智能交换机,10GE上行链路)端口安全性是否有效? 我想激活特定端口上的端口安全,以允许此端口上只有一个特定的设备(MAC)。 这是我从“端口安全”了解到的, 应该可以用这个设备 – 根据文档。 如果我激活端口安全,我必须select:lockingdynamic学习地址的数量 – 静态学习地址的数量。 lockingdynamic学习几乎毫无意义。 有可能阻止有人插入之间的交换机 – 但这就是它。 dynamic学习的地址的问题是所有的dynamic条目都在老化(默认300秒 – 然后它们被更新或丢失),如果你插入一个设备到另一个端口,条目也更新到另一个端口和旧端口丢失。 因此,将特定端口上的dynamic条目限制为“1”在这里没有帮助。 因为如果有人在另一个端口插入他的设备,“locking”端口可以自由重新分配:-( 与“静态分配”的问题:如果您分配一个MAC地址的端口静态,它的工作在第一线….端口不会接受另一个MAC /设备…. 但该设备也不能插入另一个端口! 它仅限于这个特定的端口。 那不是我想要的… 🙁 我真的希望有端口只接受特定的MAC和一些端口来支持多个端口(如会议室等)。 有人知道这个设备可以吗? 另一件好事就是可以在交换机上指定一个允许的MAC地址列表,并阻止所有其他的……但是我不认为这是可能的。
有什么好的技术来保证服务器到服务器的REST通信? 对于涉及人性化设备的通信,如浏览器,手机,OAuth和SAML都是不错的select,但它们也是服务器到服务器交易的最佳select? 我最感兴趣的是协议/应用层技术。
我正在考虑为我们的组织实施Office365消息encryption 。 我的问题是:它是否比发送给组织外部用户的邮件的普通(未encryption)电子邮件更安全? 根据此页面 ,外部用户可以收到一次性密码以查看encryption的消息。 然而,这个一次性密码也是通过电子邮件发送的 ,所以假设一个MITM攻击,攻击者不能简单地拦截一次性密码并解密消息吗? 让我知道如果我失去了一些东西,或者如果这只是从MS更多的营销炒作…
我想知道以下两个–tcp-flags规则有什么区别: 1) -p tcp –tcp-flags SYN,FIN,RST SYN,FIN,RST 2) -p tcp –tcp-flags ALL SYN,FIN,RST
我只是想通过php(ldap)访问Active Directory-Server,以便能够使用Windows凭据进行网站login。 我在连接到虚拟机中的Windows Server 2012 R2的标准Windows上使用xampp执行此操作。 现在转向生产,我担心安全问题: 运行php的服务器必须访问Windows / AD / LDAP-Server。 但是我读到,离开从外部访问的login服务器会产生大量的暴力攻击,试图获得一些密码。 大公司,大学和学校仍然允许你在家login你的工作账户。 他们如何做到这一点没有留下一个大的安全漏洞? 除PHP / LDAP之外,还有其他的select吗,他们是否将networking服务器的IP列入白名单(我怎么做?),或者他们在同一台服务器上运行Web服务器和AD(我怎么做)?