我一直负责设立4个办事处并将它们连接在一起,以便它们可以在同一个networking上。 硬件是否真的很重要,或者我可以在1000美元的低价位build造一台体面的机器,并用pfSense或其他开源软件加载它,或者更适合使用封闭源代码应用程序来支持您的支持。 从那些做过两种方式的人那里,你可以分享什么经验来帮助做出这个决定。 我正在考虑用Atom c2750主板搭build一些1U服务器。
我曾经在通常的做法是能够在所有服务器之间移动,使用SSH作为pipe理员而不需要密码。 通常有几台服务器,从本质上讲,它们被认为是更安全的(没有暴露在networking等),从那里你可以login到其他人没有密码。 反之亦然 – 你需要密码/其他访问控制机制。 从安全的angular度来看,我对第一个scheme有强烈的反对意见。 虽然这组服务器可以被认为更安全,但这显然是有争议的。 但是我有几个主张这个的同事,我不得不承认这非常方便。 无论如何,如果攻击者可以在一台机器上获得root权限,它基本上“拥有”整个系统。 我对安全性太严格了吗?
我正在尝试使用RSA密钥对签名和validation签名。 下面是我如何生成密钥对(哪些encryption/解密工作正常): ssh-keygen -t rsa -f mykey -N '' -b 2048 mv mykey mykey-priv.pem ssh-keygen -f mykey.pub -e -m pem > mykey-pub.pem ; rm -f mykey.pub 但是,当我尝试encryption散列(使用私钥),然后validation它(使用公钥),它将失败: openssl dgst -sha256 /etc/hosts > /tmp/hash openssl rsautl -sign -inkey mykey-priv.pem -in /tmp/hash -out /tmp/signature openssl rsautl -verify -pubin -inkey mykey-pub.pem -in /tmp/signature 最后一行让我无法加载公钥 我错过了什么? 如果是相关的,我正在使用CentOS 3.9(旧的和旧的,但我没有select在这里)。 最后,这里是一个样本密钥对: […]
首先,我并不是在寻找安装在服务器上的Rootkit检测软件,因为这可能并且可能行不通,尤其是在现场系统上。 我很想知道rootkit接pipe一台服务器的迹象是什么。 至less在发生什么事情的时候,可以期待和目睹什么样的损害和外在的检测行为呢? 我的想法 – 也许是错误的 – 如果你不能通过像ps , top , netstat这样的工具检测到系统的危害(根据定义,这可能会被篡改),或许可以确定系统是根植于: 不寻常的loadvg? 不寻常的磁盘IO和/或硬盘温度? 高普通出站stream量? (问题) 电子邮件退回邮件合法的MTA,以回应没有发送电子邮件? 在公共块列表上列出? (显然,我们正在谈到可以公开访问的服务器)。 我在正确的道路上 – 可以通过这种方法来识别服务器,以及如何?
让我们只是说,你想certificate未经授权的访问发生在一个GMail帐户。 你知道从哪里发生。 Google的“上次帐户活动”显示了当前正在进行的会话,但如果疑似访问发生在一个月或更久之前呢? Google是否保留有关帐户如何使用的logging? 如果是这样,你会去得到他们吗?
我已经有了一些我认为最近接近“标准”书呆子家的设置 – 我有一台或两台Windows PC,一台连接到电视的媒体PC和一对iPhone,无线路由器/ NAT / DSL调制解调器。 没有服务器和域名,只是经典的Windows对等networking。 由于这是一个家庭networking,没有什么比Who Who剧集和文字处理器文档更有价值。 在最好的情况下,我们根本没有任何安全保障,所以我和我的妻子可以毫不费力地移动文件等,但是我们确实也没有任何黑帽决定推出这个系统。 目前,我们已经通过无线技术打开了全面的安全性 – 就是这样。 Windows Boxen上的默认帐户是没有密码的pipe理员级帐户。 networking上的共享文件夹完全共享,无需任何凭据。 所以,问题是,我在家里需要多less钱? 我可以closuresWindows防火墙吗? 我可以打开远程桌面,因为帐户都有密码<enter> ? 简而言之,对于家庭用户,我真的需要比WPA2无线路由器密码和硬件NAT更强大的东西吗?
受这个问题的启发: 有什么工具可用于审计现有Windows服务器上的安全性,例如Windows 2003,对于我的情况,还有哪些Windows Server版本? 我可以做什么来testingnetworking上现有的保护措施? 我正在寻找可以识别configuration错误,常见和不常见的漏洞,已知问题,防病毒工具,任何可以帮助识别和解决服务器问题的工具的工具。 额外奖金业力感觉良好的咖啡豆点可以使用networking或全域范围内的工具。
我有一个带密码保护的Web目录的Apache服务器。 该目录有一个子目录,它需要另一个密码,但任何可以访问该子目录的人都应该可以访问父目录。 那是: /东西 – 用户“东西”和“pipe理”允许 / stuff / admin – 只允许用户“admin” 所以我在Apacheconfiguration中这样设置: <Directory "/stuff"> [AuthType Basic, AuthName, etc.] Require user stuff Require user admin </Directory> <Directory "/stuff/admin"> [AuthType Basic, AuthName, etc.] Require user admin </Directory> 这个作品的意思是我可以浏览到/东西,并以“pipe理员”或“东西”login。 但是,/ stuff / admin中的页面会引用父目录中的一些图像。 我发现,当我直接浏览到/东西/pipe理和login作为“pipe理”浏览器仍然提示我另一个密码来加载这些图像。 (我知道这是/ stuff的提示,因为AuthName的值是不同的。) 如何避免这种情况,并允许有权访问/ stuff / admin的用户只login一次(如“admin”),而不是两次?
Debian和其他Linux系统通常带有世界可读的日志/configuration/目录。 例如,在新的Debian安装中,这些文件是世界可读的: / etc / passwd文件 在/ var /日志/ lastlog的 正在运行的cron作业列表 尽pipe能够读取这些文件并不是直接的威胁,但是在所有用户都不可信的系统中,最小化系统可见性是明智的。 有没有一种Linux风格/标准的工具,以避免这种情况下,新用户可以收集有关他们正在使用的服务器的许多细节? 理想情况下,他们应该限于自己的目录。 过去我已经build立了chroot监狱,但是我正在寻找替代解决scheme或者哄骗你们中的一些人。 谢谢!
我必须在我们的Web服务器和数据库框之间放置一个防火墙。 我会承认我并不完全相信这是值得的努力……但我终于做到了。 不幸的是,我select的设备(Linksys RVS4000)是一个完整的狗狗。 哦,当然,它有双方的1Gb接口,但我正在获得低于100Mb吞吐量的方式。 我尝试的下一个设备是更多的传统防火墙,似乎并不希望路由专用地址(WatchGuard x55e)。 那么,对于那些在Web和数据库服务器之间放置防火墙的用户, 你使用什么? 注意:让我们不要辩论所说的防火墙的用处,在这种情况下,这是一个客户的要求,而不是辩论……我只是想得到一些工作,没有一个重大的性能影响。 如果好奇,这个博客文章有更多的细节。 一旦我将WatchGuard刷新到最新的主要版本升级(11.0.1),它就能正确处理所有的路由。 经过本周末的一些testing后,我会更了解这方面的performance。