服务器 Gind.cn

Articles of 安全

如何在IIS上logging身份validation失败

我的客户正在尝试从Web访问Web服务,但它正在获取http错误禁止。 我不知道问题出在我的服务上,还是在客户端代理服务上。 我怎样才能设置IIS来logging失败的尝试呢?

当HTTPS通过代理服务器时,服务器看到什么客户端IP地址?

我们假设一个HTTP服务器(它承载一些REST API的端点)被configuration为只允许来自单个客户端(我们称之为第一个客户端)的连接,即从一个客户端IP地址。 如果客户端运行一个HTTP代理(如squid ,并且另一个客户端(我们称之为第二客户端)将通过该代理进行连接,例如 <2nd-client>$ curl -x <1st-client> –cacart <cert> https://server 那么HTTP服务器会将第一个或第二个客户端的IP地址看作HTTP(S)请求的起源地址? 换句话说,其他客户端是否可以通过代理来规避客户端IP地址的访问限制?

将SSL证书导出到新托pipe公司的风险是什么?

我们的客户可悲的是搬到一个新的提供者。 他们有一个SSL证书链接到他们的网站。 新的托pipe公司,也想要这个证书。 如果我将这个证书出口到一个.PFX,并把它交给另一个公司,是否对我有任何(安全)风险? 有没有理由不这样做?

如何安全地允许IIS执行具有潜在漏洞的exe文件?

我们有一个IIS应用程序需要执行一个可能有恶意input的exe文件。 在这个应用程序池中运行多个应用程序,我想尽可能地限制我们的风险。 可执行文件本身是可信的,但很可能包含漏洞(如ImageMagick)。 有可能通过缓冲区溢出一些其他机制,对手可以获得控制和执行与原来的可执行文件相同的权限(即应用程序池用户)。 我想最安全的做法是创build一个用户,除了执行这个exe文件外,还可以读取和写入一个特定的文件夹,但是很难find有关如何执行此操作的指南。

你真的保持IOS最新?

在相当多的环境中,我认为思科硬件被视为“设置并忘记它”。 许多pipe理员甚至不考虑更新IOS。 如果你看看像Packstorm或Bugtraq这样的地方,有几个月你会看到大量以IOS为中心的攻击。 如果有人没有兴趣将路由器/交换机保持在最新状态,尤其是在新的零日启动时,真正面临的风险是什么? 更新:我们都很聪明,知道可能会造成什么样的理论问题,但是我的经验是,这些networking在相当长的一段时间内都是有效的,即使内部员工愿意的话也可以利用这一点。 有没有人遇到过希望进入的思科设备的攻击?

Windows XP文件属性安全选项卡

这是一个真正容易的希望。 在某些环境下的Windows XP中,“文件属性”对话框(在Windows资源pipe理器中查看文件时右键单击>属性时打开)有时显示一个安全选项卡,有时不显示。 如何启用它? (我需要允许某些types的“运行”访问) 注1:我以pipe理员权限login 注2:我在两台机器上运行NTFS 注3:在两台机器上运行XP Professional PS我发现一个来源谷歌search,这表明这将工作,但我没有任何运气; 更新: 2重新启动后 ……基于下面的5个步骤…安全选项卡确实出现。 启动Windows资源pipe理器或我的电脑。 点击菜单栏上的工具,然后点击文件夹选项。 点击查看标签。 在列表底部的“高级设置”部分,取消选中“使用简单文件共享(推荐)”checkbox,然后取消选中(清除勾号)。 点击OK。 (我已经链接到我在谈论的对话框的网页上find的两个截图) 没有安全选项卡 与安全选项卡

远程pipe理Linux用户

在Linuxnetworking中,是否可以从中央位置pipe理权限? 如果我有一个用户可以进行身份​​validation的LDAP服务器,我可以从那里pipe理权限吗? 我正在讨论对服务器(比如Samba)的权限,而且还在自己的机器中。 还有什么其他的方式来pipe理它们?

Postfix无法读取〜/ .forward文件

我有一个高度定制的主目录结构,限制访问如下: 服务器托pipe许多子域,这些子域分为七个“区域” 主目录是/ home / zone / domain / homes / user 用户必须属于特定区域才能在该级别下导航。 为了在域级别下导航,用户必须是特定区域组的成员,并且是相应域组的成员。 为了避免需要apache成为每个域组的成员(为了查看/ home / zone / domain / public_html下的内容),我已经把www-data作为所有/ home / zone / domain目录的所有者 对我来说一切都很顺利,除了以下例外: 我的问题是后缀用户无法看到主目录,因此无法读取.forward文件。 不幸的是,每个目录只能有一个所有者和一个组,所以我不能使用apache解决scheme (上面)来进行postfix。 有没有人有任何其他的build议让Postfix读取我的.forward文件? …或者我可能误解了转发工作所需的权限?

诊断可能的入侵

我注意到我的家庭服务器上有许多我没有碰到的目录,修改时间已经改变,尽pipe这些目录中没有包含这些文件的时间变化。 我运行一个IDS(fcheck),它没有报告目录修改时间的date。 这并不奇怪,因为有问题的目录在我的主目录(我的IDS不扫描)。 我已经grepped通过auth.log并没有发现任何未经授权的访问date有问题,并检查/ etc中的大多数configuration似乎是相同的。 我应该如何继续下一步,以确定是否实际上我的机器已经被入侵?

用于Windows和* nix服务器的服务器安全审计工具

当我们部署一台新的服务器时,我们在防火墙内部对服务器进行Nessus扫描,并进行防火墙审计,以确认防火墙上只打开了所需的端口(因为我们偶尔会回收IP地址)。 你在你的组织中做什么? 你觉得这够了吗? 如果可以的话,你会怎么做?
Intereting Posts
将客户端(浏览器)证书传递给下游代理 – 这可能吗? 哪些端口可用于Hyper-V MySQL删除袜子文件,并抱怨它的权限 有没有人从Veeam写入SDLT磁带? 有关Exchange 2010拓扑和证书的build议 如何使batch file自动停止出错 尝试在Ubuntu 10.04上安装Sun Grid Engine – 无法连接更多的执行主机 Linux:安全还是build议通过SSH重新安排分区? IIS表单身份validation(php,asp.net服务器端login) Puppet – 如果模块失败,不要停止清单执行 通过批处理脚本从MS SQL Server 2008 Express数据库备份数据库 在RedHat上升级PHP mod_pagespeed:安装早期版本兼容libc6 2.13(Debian Wheezy) 我可以安全地接通13安培电源的电脑的最大数量是多less? 如何知道kubernetes集群中的容器何时/如何重新启动?