我们有一个Web应用程序(Apache / PHP),目前使用用户名/密码authentication,目前可以从任何地方访问。 它启用了服务器端SSL。 我们的客户端程序是我们修改和更名的FireFox版本。 这个修改后的Firefox客户端仅用于连接到我们的Web应用程序服务器。 用户必须使用此客户端程序连接到Web服务。 除了用户身份validation之外,我们还希望在服务器级别阻止任何不使用我们的客户端程序*的人访问。 因此,如果用户使用普通浏览器inputURI,他们将被彻底拒绝。 要做到这一点,客户端程序需要向服务器标识自己,以便服务器知道我们的客户端程序正在使用,而不是Web浏览器或机器人。 *真正的目标是在能够尝试login之前确保他们是我们公司的授权员工,将这个“就业certificate”embedded到客户端程序中似乎是最简单的方法,因为应用程序是只有给需要使用它的人 到目前为止,我已经对如何实现这一点有了一些想法。 1.)在客户端进行login(login由chrome / XUL接口处理)时,将tolkenembedded到发送的客户端应用程序中。 这不会在服务器级别阻塞,只是在应用程序级别。 密钥可以像密码一样容易地被窃取,但是不会像蛮力那样容易地被猜出,因为它可能是任何长度或复杂性。 在所有请求中,在客户端浏览器标题中添加一个特殊的tolken参数。 这更像是安全通过默默无闻,但肯定会减慢攻击者试图暴力强制密码,如果login总是失败(即使使用正确的密码),当魔术string从请求中丢失.. 2.)将客户端SSL证书embedded到客户端程序中。 这看起来可能是一个很好的解决scheme,但是cleint端的SSL文档几乎不存在。 我们不希望为每个用户签署一个证书,也不希望用户必须创build一个证书,或者根本不用担心安全对话。 私钥必须embedded到浏览器中,并且将成为所有客户端程序共享的一个密钥,并在我们的自定义浏览器中分发。 3.)检查用户代理string。 我认为Apache可以基于此来限制。 但这似乎是一个弱项措施。 除了其他措施,我可能会这样做。 我希望更好的想法如何做到这一点?
根据我的理解,RDP是encryption的,OpenVPN连接也是如此,因此是encryption中的encryption。 我的设置: LAPTOP <—> REMOTE SERVER <—> OFFICE SYSTEM 由于防火墙的原因,我在SSL 443上安装了OpenVPN,通过将它们全部连接到远程openvpn服务器,连接到我的家庭系统。 但是,连接是非常缓慢的,我认为这是由于双重encryption。 我可以通过某种方式禁用OpenVPNencryption来提高性能吗?
我们对WatchGuard Firebox XTM505有一个要求,能够将我们的input外部接口,在这种情况下,光纤专用租用线,100/100。 我们在大约30台机器的办公室里使用这条生产线,但是我们也把这个生产线转卖给了一个外部公司,这个公司使用它来为公众提供无线networking解决scheme。 目前的基础设施如下: 数据(专线) – >由ISPpipe理的瞻博networkingSRX210 – > 1个非网pipe型Netgear交换机 – > 1条电缆连接到我们的防火墙和办公networking,1条电缆连接到我们pipe理的外部供应商核心路由器。 我们被告知,将非pipe理型交换机安置在这个位置会带来安全风险,并且一个好的select是让我们的Watchguard防火墙执行拆分,将我们的办公室分隔到一个可靠的接口上,并通过“传递”外部线路到他们的被pipe理的路由器。 据称,WatchGuard有能力做到这一点,也限制了接口的速度,即可信接口的20mbps和“pass-through”的80mbps,但是Watchguard的技术支持似乎无法理解我们“重新努力实现。 任何人都可以提供任何build议,这是否可以在一个WatchGuard设备,以及如何或者如果有一个更好的方式来实现这一点,也许与托pipe交换机,而不是非托pipe? 编辑:我附上了一个我想解释的图。 所以,图1是我们现在所拥有的,而且我们已经被告知橙色虚线区域是一个安全漏洞。 我们想要分开连接,而不是仅仅使用哑开关,所以图2就是我们想要实现的。 但是,红线会转到另一个由第三方控制的路由器。 我们希望做的尽可能less,理想情况下对networking没有任何影响,因为他们在设备上处理所有路由和策略,我们只是试图在此之前将其分开。 当然,如果人们认为这是不必要的,或者有更好的方法来实现这一点,那么请说! 干杯
如果我使用RDP连接到服务器,并将剪贴板与服务器共享,是否有其他人login到同一台服务器的剪贴板存在安全风险? 例如 我有一个密码保存在我的本地剪贴板 我使用远程桌面连接到服务器“ example.com ”,用户名“ administrator ”。 我的本地密码现在可以粘贴到远程桌面会话中。 我closuresRD窗口而不注销。 另一个用户通过RDPlogin而不启用剪贴板共享,或在实际机器本身上以“ administrator ”身份login。 在正常情况下,我的密码是否可供其他用户粘贴? 我上面的问题是假设没有什么安装在服务器上,将抓住剪贴板项并保存,除了标准的Windows提供的东西。 我意识到,如果我连接到一个不受信任或妥协的服务器与剪贴板共享启用所有投注都closures。 我问是否Windows有内置的机制来清除共享剪贴板断开连接。
我买了(刚刚收到)一个新的1U戴尔Poweredge 860(在易趣上得到了35美元)。 我完成安装Ubuntu服务器(Ubuntu Server 12.04.3 LTS),安装apache / mariadb / memcache / php5 工作很好,但我害怕安全。 到目前为止,我是唯一使用服务器,但最终更多的人(朋友,朋友的朋友)将使用此服务器,使用SSH等… 我想知道我能做些什么来保护所有的信息,而不是被黑客入侵,无论是从网页,ssh或ddos以及任何其他可能的攻击。 Ubuntu服务器马上为你做? 或者我必须解决它我自己? 谢谢 编辑: 我安装(到目前为止): 所有的开发工具 SSH服务器 灯 我没有安装: graphics界面
有没有办法使用Server 2008 R2中的Windows备份来encryption我的备份,而不使用付费的第三方应用程序? 我search了高低,但一直无法find任何东西。 提前致谢! msindle
在/var/log/aide/aide.log的更改文件部分中,每行以f或d开头都有前缀。 这些标志着文件的哪些方面发生了变化,但我似乎无法find它们的含义。 (很明显,我可以查看日志文件下面的文件的详细数据,但摘要行的明确参考对于grepping非常重要。) 这里有些例子: f >.p.. mci.CA. .: /etc/passwd- d =…. mc.. .. .: /bin f =…. mci.C.. .: /bin/ip d =…. mc.n A. .: /u1/home
我们使用CentOS。 我们遭到黑客攻击,试图找出原因。 看看/ tmp文件夹我想知道这是否是安全威胁: -rw-rw—- 1 mysql mysql 11665408 Apr 3 18:59 #sql_6bc_0.MYD -rw-rw—- 1 mysql mysql 1024 Apr 3 18:59 #sql_6bc_0.MYI drwxrwxrwt 5 root root 647168 Apr 3 18:59 ./ dr-xr-xr-x 25 root root 4096 Mar 31 19:34 ../ drwxrwxrwt 2 root root 4096 Mar 31 19:34 .ICE-unix/ -rw——- 1 cpanel cpanel 0 Dec […]
我认为这是一个普遍的问题,但我不确定是否需要迁移,因为有关兽的技术和安全相关的性质。 对于我当前的客户端,我们在FileZilla中设置了一个SFTP密钥来configuration我们当前的连接和文件传输。 这是一个多用户环境,我们有大约50-60个人可能会在任何时候使用这个密钥。 我在login时不断收到错误信息,当我联系到托pipeFTP服务器的公司时,他们告诉我 “多个用户login时没有注销,我们不支持。” 我的问题是: 为什么在多用户环境下,这是一个适当的设置? 难道你不会期望这种行为,并尝试和支持一个给定的IP地址块吗? 有没有一些build议,我可以做这个设置,使我们更容易访问此服务器? 我知道这可能是受公司政策的影响,但是相当令人沮丧。 也许从安全的angular度来看,我错过了一些东西,但是我无法把思想包围起来。 谢谢! 错误:断开连接:不支持可用的validation方法(服务器发送:)
我一直试图通过WMI作为监视工具的非pipe理员域用户来获取运行Windows进程的远程列表,包括他们的CommandLine / ExecutablePath属性。 我已经用下面的答案成功地获得了一个进程列表,但是CommandLine属性总是空的。 [ 用户需要哪些权限才能在远程机器上进行WMI访问? 授予本地安全策略中的“debugging程序”用户权限允许访问CommandLine / ExecutablePath信息。 但是监控用户帐户可能会侵入进程,而不仅仅是查询关于它们的信息。 有没有更less的用户权限或其他方式来解锁CommandLine的信息? 我已经使用下面显示的wmic工具参数进行testing。 wmic / node:“servername”/ user:用户名/密码:password获取名称,命令行,可执行文件path 提前感谢您的任何见解,你可以给我。