我正在收紧各种服务器(主要是Debian Linux)的安全性,其中一个任务是收紧/ var / log中文件的权限,以使文件不是世界上可读的。 但是这个网上似乎缺乏信息。 对于需要世界可读性的日志文件(例如/ var / log / wtmp)或者由可能改变权限的应用程序创build的日志文件,我很谨慎。 我也担心浪费我的时间在什么似乎是微不足道的风险日志,如dpkg.log或/ var / log / installer中的文件。 网上有很多关于Linux上的各种日志文件(如果不是特别的Debian系统)的权限的好的参考资料吗?
在共享虚拟主机的服务器上,或者在不同的PHP应用程序之间共享PHP环境,我通常实现一个使用PHP open_basedir的安全策略来限制每个用户到他/她自己的目录(以及其他PHP指令,例如disable_functions )。 我也在SF上看到很多post,讨论使用这个function的好处。 然而,现在我偶然在Debian软件包文件README.Debian.security中发现了这个通知,明确指出它们不提供(其他的)安全支持: * Vulnerabilities involving any kind of open_basedir violation, as this feature is not considered a security model either by us or by PHP upstream. 所以我想知道,这个声明是否只是放弃任何责任,还是有更多的根本原因呢? 特别是,你将如何去保护一个没有open_basedir的多个不同用户使用的PHP服务器,同时尽量不把维护工作提高到一个高的水平? 或者你会只是build议永远不要共享主机,因为PHP开发人员在他们的安全说明中指出 ?
我想把networking共享挂载在/ etc / fstab中,但是默认情况下这个文件是世界可读的,允许每个人读取我放入挂载选项的凭证。 使/ etc / fstab不能被root以外的任何人读取是安全的,例如拥有权限为root的root:root权限? FWIW,我正在使用Debian Squeeze / Wheezy和Ubuntu LTS。
我一直在听说在工作中,一旦我们移动我们的networking平台,那些可以进入专题页面的无意义的redirect告诉用户他们所请求的页面已经移动到什么地方,这会带来安全问题。 这些用户是企业内部网authentication的用户,我缺less安全问题。 会是什么呢? 谢谢!
有没有办法审计访问USB驱动器与内置的Windows日志logging? 我们已经在我们服务器的NTFS文件系统上进行了基于GP的审计,但是我们如何将其扩展到工作站呢? 无法保证通过USB将什么样的文件系统插入工作站。 它可能是NTFS或FAT32。 我们需要这样做的原因是有可能未经授权复制公司文件的logging。 注意:我们也限制了大部分机器的USB接入。 这是有效的,但事实certificate,请求(和被给予)例外的人也是那些可以访问非常敏感的信息的人。 环境: – Windows 2008 R2 Server AD – Windows 7 Pro工作站
在过去的一周里,我的stream量日志显示了来自世界各地30多个不同IP地址的URL(通常是重复尝试)。 这不是一个url,应该获得超过一个命中,它应该只能通过链接访问一个页面,其中包含rel =“nofollow”。 该url调用一个PHP的唯一目的是redirect到其他网站基于id=查询参数。 该网页的url是 mywebsite.com/linkredirect.php?id=434&site=www.creative-science.org.uk 上面的链接也以其他forms出现在日志中: /linkredirect.php?site=www.ausetute.com.au&id=266%25%27/**/aND/**/%278%25%27%3D%273 .. there were about 50 different iterations of this – which is attempting sql injection – but I can't figure out the purpose of it. /linkredirect.php?id=434&site=www.premieresurgical.com … this is an invalid link – the id=434 is valid but the "site=" query is invalid 我参与项目蜜jar,一些请求是可疑和评论垃圾邮件 用户代理似乎总是: Mozilla/5.0 (Macintosh; […]
关于这一点似乎并没有在互联网上很多。 当我得到这个错误时,我正在调整我们的一个testing服务器(Windows Server 2008 R2 Standard Service Pack 1)的本地安全策略。 所以然后我使用这个修补程序 ,导致DefaultAppPool和经典.NET AppPool突然消失。 所以然后我尝试了这个修复 ,让他们回来。 问题? 以前在本地安全策略中有很多条目,只是说“DefaultAppPool”或“Classic .NET AppPool”。 现在它不会采取,但相反,我必须使用“IIS APPPOOL \ DefaultAppPool”或“IIS应用程序\经典.NET应用程序池”。 由于在第三个链接中添加到inf文件中的string在这两种情况下都包含“IIS APPPOOL”前缀,所以我尝试再次运行secedit,而没有在inf文件中添加该限定符。 但是,secedit无法find这些用户,因为限定符不在那里。 那么,如何将其返回到本地安全策略中不必使用“IIS APPPOOL”前缀的位置呢?
设置Openstack用户的最佳方法是限制只使用Web API重新启动服务器。 用户需要能够访问不同租户下的服务器,通过使用实例ID进行查找。 用户应限于重新启动服务器。 根据我的理解,这需要使用policy.json文件来完成,但我不知道最好的方法是什么。 我还必须记住将来的需求,比如如果我们需要创build一个拥有类似权限的新用户,或者修改现有的用户来启动和停止服务器。 其中最重要的一点是保持清洁,以便使用木偶或厨师等工具轻松应用。
我为ITpipe理员创build了一些代表团。 其中一组人拥有一些Active Directory权限,但不是服务器pipe理员或域pipe理员。 他们也被允许连接远程桌面上的服务器,包括域控制器。 当他们在运行Windows 2008 R2企业版的DC上连接远程桌面时,没有任何问题。 当他们在运行Windows 2008 R2标准版的DC上连接时,他们无法运行mmc,UAC要求提升权限,并且在input密码时会出现类似于(从法语翻译)的错误消息“login失败:用户没有被授予请求的logintypes到计算机“。 我刚刚发现了这个问题,我在DC之间唯一的区别是Windows版本:企业版或标准版,但也可能存在其他版本。 有没有人有一个想法,为什么我有这个问题? 或者如何解决? 或者至less如何debugging呢? 谢谢
通过Microsoft安全公告MS14-025 ,现在可以对GPMC和相关工具进行修补,从而不再允许在组策略首选项中使用可能embedded混淆密码的configuration项。 公告引用KB256345作为解决方法,使用使用组策略configurationWindows服务的“传统”方法。 但据我所知,该方法只允许你在服务上设置安全ACL(它是启动types),而不是服务运行的帐号。 我很想被certificate是错的。 还有什么其他的方式来configuration服务使用组策略作为特定的域服务帐户运行? 我们不能手动开始触摸所有这些机器来configuration服务。 现在假设我们没有其他基于Windows的configurationpipe理工具可以使用,而且我们坚持使用组策略以及Powershell等其他内置工具。 暂时在我们的环境中,我们只是封锁了WSUS中的补丁。 但是我正在寻找一个长期的解决scheme。 我们以这种方式configuration的密码都是低权限帐户,如果他们的密码被泄露,那么这些帐户无关紧要。 有没有可能使用托pipe服务帐户的解决scheme? 我们应该想出一些在启动时运行的基于PowerShell的解决scheme吗? 我们正在使用的GPO适用于没有安装所有服务的计算机组。 因此,理想情况下,此解决scheme不会使用组策略错误启动垃圾邮件事件日志