我们的一个企业网站运行在Linux服务器上,使用Apache2和PHP5构build。 只能从OpenVPN子网 (地址10.8.0.1/24) 访问多个网页 。 要检查每个请求, php脚本比较由apache提供的$_SERVER["REMOTE_ADDR"]值,并决定授予或拒绝进一步的执行。 目的是拒绝从未configuration为通过服务器VPN工作的设备访问这些页面。 OpenVPN服务器运行在同一台机器上 ,这就是为什么PHP从VPN内部的客户端接收地址10.8.0.25的原因,以及其他请求的真实地址。 “保护”网页免受公众访问是否正确? testing这个系统我发现一个奇怪的事情,如果我请求使用Windows机器的这些“受保护”页面之一,连接到我们的OpenVPNnetworking,服务器能够看到真正的IP地址(而不是10.8.0.xx)在Android设备上按预期工作(服务器无法看到真正的IP地址,并在PHP中获得10.8.0.xx)。 我在Android上使用OpenVPN Connect应用程序,在Windows上使用OpenVPN GUI 。 在这两种情况下,客户端通过VPN服务器路由其stream量,“什么是我的IP?” 服务显示VPN地址,而不是我的ISP的真实地址。 但不pipe怎样,Windows客户端都可以通过networking服务器上的真实(提供商)地址来识别,而无论VPN是打开还是closures,都无法访问受保护的页面。 这有什么可能的原因? 我怀疑OpenVPN在Windows PC上无法正常工作。 否则,为什么服务器以不同的方式识别Android和Windows vpn客户端? 谢谢。 UPD:在VPN / websrv机器上的iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp — 10.8.0.0/24 anywhere tcp dpts:63000:64000 REJECT tcp — anywhere anywhere tcp dpts:63000:64000 reject-with icmp-port-unreachable ACCEPT […]
现在我不得不部署几个Web应用程序,比如Jenkins或者jupyter 。 这些应用程序必须通过HTTPS提供。 我想知道是否最好在每个应用程序(侦听端口,SSL证书等)上configurationHTTPS,或者运行默认configuration,并使用像nginx这样的反向代理来强制HTTPS。 我觉得第二个解决scheme更实用,但是从安全的angular度来看,我可能错过了一些东西。
我目前正在将我们的环境从NIS切换到Kerberos + LDAP。 在此迁移过程中,我现在遇到以下情况。 我们通过NFS安装我们的家,显然也应该是kerberized。 但是,由于我们的用户都在terminal服务器上login,通常不会注销,而是挂起其会话,或者在后台长时间运行作业,这导致Kerberos票据迟早失效,从而导致NFS共享不可用。 自动为用户更新这些票证的最佳select是什么? 另外,我希望为用户离开时还能继续工作的情况做好准备(这可能需要比最长的Kerberos更新时间更长的时间),因此我需要为该用户获取一个全新的票证。 在这种情况下,如果不大量延长票证的默认最大续订时间,最佳select是什么?
我想双重保护使用自定义标头的应用程序来授权一些重要的视图。 由于这些调用应该只来自一些知名的IP,我想阻止包含这个自定义头的请求(如X-SuperAdminToken),而不是来自白名单IP。 就像是: if ($http_xsuperadmintoken) { allow 192.168.1.0/24; allow 10.1.2.3; deny all; } 但似乎我不允许在一个if块中放置一个allow指令: # nginx -t nginx: [emerg] "allow" directive is not allowed here in /etc/nginx/sites- enabled/default:44 我还没有find解决方法。
我为我的Azure虚拟机分配了一个实例级别的IP地址。 然后,我从Azure门户configuration了SSH“端点”,并定义了拒绝全部策略。 但是,这个政策似乎只影响到云服务VIP,而不是完全向互联网开放的实例级IP。 我现在正在看到中国黑客试图在这个IP上暴力破解系统。 我如何将拒绝全部策略应用于实例级IP?
pipe理许多开发人员对许多AWS实例的SSH访问有哪些方法或最佳实践? 我希望能够通过一个简单而安全的操作为用户添加或删除多个实例的访问权限,而不是通过实例实例化,并在authorized_keys中添加/删除其公钥。 当然,我不希望同一个私钥被多个用户使用。
我正在通过监视configuration文件,看起来不正确。 我使用monit来监视sshd二进制文件的校验和,如果它与预期的不同,它应该重新加载一个已知的二进制文件。 以下部分是否正确检查ssh二进制文件的校验和? monit守护进程将当前的校验和与什么进行比较? 我没有看到其他提到的校验和或外部工具来检查校验和。 check process ssh with pidfile "/var/run/sshd.pid" start program = "/sbin/service sshd start" stop program = "/sbin/service sshd stop" depends on sshd_binary check file sshd_binary with path /usr/sbin/sshd if failed checksum then alert
我在DDoS下。 我能做什么? 已经解决了这种“规范问题”,但是我想我正在问一个可区别的变体,如下所述。 但请告知这个post是否不合适。 我得到的攻击来自各种不断变化的IP, 在最后几分钟内从66.135.63.82。 所有攻击都是针对我在我的网站上使用的cgi(我自己写的),但是除了我之外,其他任何人都不感兴趣(显然,黑客))。 攻击运行我的CGI与看起来愚蠢的?query_string,我添加了一个似乎是可靠地识别它们的qvalidate()函数,到目前为止。 而对于无效查询,我现在睡觉(15),然后发送一个〜25MB的页面给攻击者(只是为了表明我也可以烦人:)。 而且他们似乎在等待 – 而不是每秒多次的攻击,现在它们大约以15秒为间隔分布。 但是从长远来看,这个半定论看起来很愚蠢,最终也是无效的。 而且我每天都要花费很多时间检查一些东西,偶尔也会调整程序。 所以我问的是 – 什么我可以编码到我的cgi更好地处理这些攻击发生? 我手中的攻击,可以这么说,实时发生。 我有一个getenv(“REMOTE_ADDR”)的ip。 所以在这一点上,我可以做任何我想做的事情(除了发出他的声音,这是我真正想做的,但不知道如何编码:)。 什么是最好的事情? 谢谢。 编辑 – 感谢回复,伙计们。 我应该提到我的网站是在共享主机dreamhost.com,所以一些build议是无法给我的。 我正在等待来自isp的回复。 但是因为这是我自己的cgi目标,我希望这给了我一个机会做一些不可能的事情。 编辑 – @HBruijn为什么偏题? 在这个post的最顶端,我也给这个网站的“规范问题”链接也是这个话题。 然后我继续解释为什么我认为我在问这个(显然是在话题上)问题的“可区分的变体”。 此外,我最初发布了https://softwareengineering.stackexchange.com/questions/316052/how-to-best-deal-with-ddos-attack-against-your-my-site ,他们告诉我在这里发布。 去搞清楚:)
首先,这是我第一次在这里发帖,很抱歉,如果我张贴在错误的部分。 要做到这一点:我有一个CentOS 7 + Gnome服务器,configurationVestaCP并运行2个WordPress网站。 上周,我注意到他们已经脱机了,我无法SSH进入服务器。 当我物理login到服务器,我注意到,一切都redirect到一个单一的网页,它说,该网站正在维护。 好奇的是,该页面包含文本 这是1stweb.de 如果我访问那个页面,我会得到完全一样的东西。 我做了什么: 从一切正常工作时恢复备份; 重新configuration网站的.htaccess文件; 重新安装了VestaCP; 做了一个全新的操作系统,Vesta和恢复备份。 即便如此,我也得到了同样的结果。 让我更加好奇的是,当我检查页面时,我注意到了两件事情: – 它从mydomain.com /website-under-maintenance.png加载一个不存在的图像; – 检查访问任何网站时所做的networking请求,我看到这样的: 这是1stweb.de网站在维护将NANOMITES转移到您的计算机 如果我在Google上search那个页面,我没有得到任何与Google相关的内容。 有什么我错过了吗? 我没有很多的经验,所以我可能做错了什么,但我无法弄清楚。
我试图确定最好的解决scheme,让我向CEO保证他的Office 365邮箱不能被任何人读取,包括我自己,pipe理员。 显然这个邮箱已经被锁住了,但是如果我这样倾斜的话,我可以给自己一个机会。 我当然不是,但数据的敏感性意味着我们需要一个密封的解决scheme。 审核邮箱/服务器是不够的。 我在想,邮箱权限永远不会locking一个pipe理员100%,所以某些forms的邮件encryption将是必需的,所以即使我要访问邮箱,我不能读取消息。 他将在内部和外部发送和接收电子邮件,并使用Mac / PC上的Outlook和iOS访问他的电子邮件。 我不能考虑外部收件人的电子邮件客户端,理想情况下需要避免任何额外的客户端软件。 请有人帮助一个合适的build议,并提供一个解决scheme所需的高层次的概述? 如果你需要更多的信息,请让我知道。 非常感谢,