我的/var/www文件夹属于root,但www-data对其子目录(用户上传文件夹, 仅包含图片 )具有写入权限。 反正有恶意用户导航出这个特定的子目录,甚至出/var/www ? 有什么我可以做的,以加强安全呢? 在这种情况下,chroot是无用的吗? 感谢您的build议。
我看了很多日志,看起来它们中的一些更适合于监控黑客的攻击。 我发现的是: -auth.log -mail.log: if i'm running a mail server, will this be important? -btmp -secure -faillog -apache2/access.log -mysql.log & mysql.err 注意:我正在运行LAMP并使用phpMyAdmin来访问数据库。 那个列表中有什么是无用的吗? 任何我应该包括的东西? 另外,我无法打开这些没有“.log”扩展名的日志文件。 我想我应该执行它们,但即使用户没有执行权限,当我chmod 700,没有任何反应,当我执行它们。 我该怎么做呢? 提前致谢
我们公司有这样的拓扑: 新的规则说,每个由Outlook发送的文档都应该被encryption。 我们决定使用PGP 。 我们已经有一个证书(自签名)。 问题是这样的: 约翰和保罗安装证书。 约翰用公钥encryption。 并将pgp文件发送给paul。 保罗需要私钥才能打开它(+validation它)。 但是等一下 ! 私钥是私人的 ! 保罗应该不能访问它。 那么保罗会如何解释约翰的数据呢? 我错过了什么? (ps我知道我可以安装pgp作为一个插件到outlook – 但我想了解保罗的概念不能有私钥。)
我在一个代理后面工作,并使用github.com保存我的代码。 我的代码片段包含一些系统参数来告诉我们的代理的Java: System.setProperty("http.proxyHost", "xxxxxxxxx"); System.setProperty("http.proxyPort", "1234"); 除了在命令行中指定这些参数或将其存储在configuration文件中之外,在公共服务器上发布此IP是否安全? 黑客可以用它来攻击我的服务器吗?
我正在尝试为活动目录中的外部公司设置有限帐户。 他们需要连接到一台服务器来设置他们的软件。 我创build了一个名为“有限访问”的新组,将其作为主组,并将其从所有其他组(包括域用户)中移除。 我还没有为他们应该有权访问的服务器分配任何权限。 但显然,这不足以阻止他们login到我的所有服务器。 他们无法通过RDP访问任何内容,但可以在本地login到我的Windows 2008R2服务器。 我查看了所有组策略,并且“计算机configuration\策略\ Windows设置\安全设置\本地策略\用户权限分配\允许本地login”未定义。 在本地安全策略中,相同的设置列出了“pipe理员,备份操作员,用户”。 用户是否包含活动目录中的任何人,即使他们不在域用户中? 我希望这个特定的用户只能被允许login到一个服务器来设置他们的软件。 我需要做些什么来防止他们login到其他系统? 编辑:多一点挖掘显示Authenticated Users和INTERACTIVE是本地用户组的成员…从我读过的,这可能是不明智的改变。 那么创build一个访问NOTHING的用户帐户的正确方法是什么,然后给他们几个机器的特定权限?
我有一个应用程序,需要知道它是否连接到它所安装的原始数据库,或者如果连接到该数据库的副本。 有没有已知的方法知道数据库是否被克隆,应用程序不再连接到原来的? 我特别感兴趣的MS SQL Server和Oracle。 我在为一个存储过程踢一些想法,但是很可能无法访问硬件来确认唯一的硬件信息,这些信息可以保证数据库是在安装过程中最初连接的数据库。 我试图阻止/检测数据库的克隆,以便只有1个“真相的真实位置”。
我目前正在分析防火墙的多path连接的后果。 在这种情况下,我想知道在networking边界上有多个防火墙来保护它是否真的不常见。 我想象的典型情况是一个多宿主networking,对于这个networking,pipe理员对不同的(或不是)ISP的链接有不同的策略。 或者甚至在ISP的networking中。 这种configuration的实用(dis)优势是什么? 你能提供一个使用多个边界防火墙的现有拓扑的例子吗? 编辑:特别是,我对一个内部terminal主机可以使用任何防火墙path的configuration感兴趣。 configuration的目的不是隔离内部区域。 实际上,我的目标是看看防火墙如何影响可能使用多个path(同时)正常工作的协议。
通常情况下/etc/security/limits.h只在login到shell时才起作用。 如何在Linux中分叉进程时, /proc/PID/limits的Max open files的值由哪个/proc/PID/limits控制?
我站在以下任务之前:使用定制软件的VMWare“模板”(基于SLES11),将分发给某些客户端。 他们将收到客户端特定的模板副本,并将其导入本地ESX服务器。 但! 他们不应该得到任何本地访问! 有两个部分需要考虑: 1)如果图像本身没有encryption,甚至可能打开,甚至没有运行,数据可能被提取或更糟:更改。 或者有人可以改变启动过程,启动一个SLES救援镜像,然后安装镜像分区 2)显而易见的解决scheme是encryption虚拟光盘,并在引导加载程序(例如truecrypt)请求密码 – 但客户端不应该知道密码,我不会在每次启动时input密码) 所以问题是:如何encryption/保护这个VMWare镜像?
我准备部署大约一千个运行Debian的无风扇机器。 每台机器有3个接口(eth0,eth1和uap0)。 在许多情况下,这些机器将位于有线调制解调器和家庭路由器/networking之间,所以我需要在eth0和eth1之间透明。 为此,我设置了dnsmasq ,希望能够路由stream量并提供地址。 我的DNSMASQ.CONF文件非常简单。 我所添加的大部分是线条: 接口= ETH1 接口= uap0 无DHCP接口= uap0 为了保护机器,我试图lockingeth0上的任何端口。 使用nmap -v -p1-65535 <hostname>我看到端口nmap -v -p1-65535 <hostname>和111在eth0上应答。 22和80我明白(ssh和httpd)。 关心我的是端口53. lsof -i :53表示dnsmasq正在回应那里。 为什么? 我是否需要添加iptables条目来阻止这个? 如果我这样做,它会继续工作吗?