我正在build立一个专用networking,使用网关系统访问networking后面的系统上的某些服务,例如ssh,ftp。 我有一些使用虚拟化基础架构的经验,但是想validation我正在使用最佳实践来设置环境。 在私有networking内部会有多种服务,例如DHCP,DNS,LDAP等,这些对于网关另一端的系统应该是或多或less的不可见的; 但是,会有一些服务,如Web服务器,file upload,可能需要访问这两个networking。 我花了一些时间在内部区域,外部区域和DMZ的防火墙devise和布局上工作; 计算出不同区域需要提供哪些服务,并已经开始为系统整合ACL。 我的计划是虚拟化许多服务,并在LXC或Docker容器中运行它们(目前使用LXC,但如果有强有力的理由可以切换到Docker)。 在设置系统的过程中,我一直在使用单个虚拟机pipe理程序来设置和configuration容器,然后将它们移动到适当的存储区。 当我接近生产状态(其他人将有机会使用我的networking),我有一些安全问题/关注。 看起来隔离事物的最安全的方法是运行至less3个pipe理程序/pipe理程序configuration(如果发生故障等,必要时可以启动额外的pipe理程序等)。 看起来,如果发现主要的pipe理程序漏洞,就会降低networking的风险。 是否有一些更好的解决scheme隔离虚拟服务的方式描述? 在不同防火墙区域运行的系统/服务专用存储有多必要? 似乎适当的防火墙/ ACL设置共同的后端存储与单独的外部备份将是足够的,但build议/input有关存储虚拟化容器组与不同的访问设置的最佳做法将不胜感激。 以这种方式虚拟化基础设施真的值得吗? 我有经验在一些专用的服务器上运行类似的服务,当服务器出现故障时使用备份和故障转移服务器。 这些系统都已经安装完毕,因此可以使用高度自定义的kickstart或类似的构buildconfiguration文件来重build所需的操作系统。 任何已经通过这种方式对物理基础设施进行虚拟化的人的意见将不胜感激。 特别是,除了networking服务之外,pipe理虚拟机pipe理程序的复杂性增加在可靠性和可伸缩性方面产生了足够的好处,值得付出额外的努力?
我必须为HIPAA合规性运行encryption,并遇到一个障碍。 我有一个基于GPT的驱动器的Windows 8.1家庭。 它没有Bitlocker和TPM,VerCrypt不支持GPT分区。 有谁知道一个程序,将encryption呢? 有什么build议么?
我已经在Ubuntu上部署了一个开源的公共Web服务(elasticsearch)。 问题是 – 没有安全(只有当你付钱)。 我已经研究了一些阻塞端口的内部请求,同时只允许通过身份validation代理进行外部访问。 最简单的方法是带有基本authentication的nginx。 但在这些情况下最好的做法是什么? 我的其他select是什么?
PCI DSS 10.2说:“ 为所有系统组件实施自动审计跟踪以重新构build以下事件: ”和10.2.2继续: “ 任何具有根或pipe理权限的个人采取的所有行动 ”。 我正在努力使我们的Windows机器(Windows 7,8&2008R2)发生这种情况。 OSSEC可以将更改logging到文件和registry项中,但是由于不logging是谁进行了更改,所以对此要求不太合适。 我尝试使用Windows中的内置审计策略, 依此 : http : //blog.jakeeliasz.com/2014/04/03/part-1-audit-trails-in-pci-dss-v3-0-logging -in窗口/ 所以我跑了secpol.msc,去“本地策略”>“审计策略”,并启用所有条目的成功和失败。 接下来,我select了一个很less碰到的数据文件夹作为testing:“属性”>“安全”>“高级”>“审计”>“添加” Select a principal: Administrators Type: All Access: Full control Advanced Permissions: Only write, create and execute-related permissions checked. 这确实会logging对文件夹中所有文件的访问,但问题是现在事件日志中不仅包含pipe理员组的显式成员,而且还包括来自任何具有pipe理员权限的进程(例如防病毒stream程)。 此外,请注意,上述只是一个很less访问的文件夹 – 我将不得不添加日志logging所有系统文件夹等,这将使日志泛滥更糟糕。 我怎样才能loggingpipe理员用户所做的所有活动(按照上述10.2.2),而没有任何额外的噪音? 此外,上述审计涵盖文件系统更改,但如何审核关键的registry更改 ? 如果符合上述要求,最好不要在商业产品上花费很多钱。
在我的JNDI Lookup中,使用纯文本密码连接到远程客户端的JBoss 7.1.1.Final运行正常。 现在,我正在试图encryption窗体中的凭据,但它不工作。 #======================================================================= # JNDI Configuration For EJB3.1 #======================================================================= org.mycom.user.server.j2ee.UserSHome=myproj/myproj-user-server-j2ee//User!org.mycom.user.server.j2ee.UserSHome java.naming.factory.initial=org.jboss.naming.remote.client.InitialContextFactory jboss.naming.client.ejb.context=true java.naming.provider.url=remote://localhost:4447 没有encryption: java.naming.security.principal=user1 java.naming.security.credentials=pwduser1 encryption: java.naming.security.principal=user1 java.naming.security.credentials=73437d00520f1768fcd97a2074c95be9 encryption逻辑: <%JBOSS-HOME%>/standalone/configuration/application-users.properties 请帮忙解决这个问题。 提前致谢。
我目前的设置包括nginx和php5-fpm。 这个问题是关于一个包含Wordpress网站的主机。 主机有自己的用户:组的fpm池,我们称之为wordpress:wordpress 。 Nginx使用默认的www-data:www-data 。 这意味着:PHP文件由wordpress:wordpress执行wordpress:wordpress ,静态文件由www-data:www-data 。 因此,这两个用户都需要读取所有的文件。 wordpress写入的文件也应该可以通过wordpress:wordpress写入。 但是,问题来了:我想允许通过SFTP修改所有的文件。 目前这是使用wordpress:wordpress用户完成的,这意味着这个用户需要完全访问所有的文件。 因此,上传到服务器的恶意PHP脚本可以修改此Wordpress安装的所有文件,并将恶意软件等发送给最终用户。 我想通过仅使Wordpress需要写入PHP的文件来降低这种风险。 我想build立另一个用户帐户,说wordpress-sftp:wordpress专用于SFTP的wordpress-sftp:wordpress 。 这个用户的home文件夹将是WordPress主机的根,就像wordpress:wordpress的一样。 wordpress-sftp:wordpress可以完全访问这个主机的文件。 WordPress的安装的文件,我会让wordpress组可读。 WordPress的需要写入的文件可以由wordpress组写入。 此外,我会添加www-data用户到wordpress组,以便它可以读取静态文件。 所以所有文件都可以获得644或640权限,需要由Wordpress写入的文件将获得664或660权限。 这个设置是否合理和安全? 或者你将如何解决这个问题?
我正在尝试使用Apache Shiro框架1.2.4来满足我们的Spring MVC Web应用程序的安全需求。 我在应用程序上下文中包含了configuration细节,下面是pom.xml和web.xml。 当用户点击login屏幕上的提交button时,Shiro不authentication用户。 你可以让我知道任何解决scheme来解决这个问题? applicationContext.xml中 <bean id="dbdataSource" class="org.springframework.jndi.JndiObjectFactoryBean"> <property name="jndiName" value="jdbc/Appweb" /> </bean> <bean id="jpaVendorAdapter" class="org.springframework.orm.jpa.vendor.HibernateJpaVendorAdapter"> <property name="showSql" value="true" /> <property name="generateDdl" value="true" /> <property name="database" value="POSTGRESQL" /> </bean> <bean id="entityManagerFactory" class="org.springframework.orm.jpa.LocalContainerEntityManagerFactoryBean"> <property name="dataSource" ref="dbdataSource" /> <property name="jpaVendorAdapter" ref="jpaVendorAdapter" /> <!– spring based scanning for entity classes –> <property name="packagesToScan" value="com.tracktrace.dao.jpa" /> […]
攻击者喜欢为各种目的滥用Outlook。 例如,攻击者可以通过创build客户端规则,在用户收到电子邮件时执行恶意程序/脚本,自动将电子邮件转发到远程地址或保留在networking内部。 有没有办法查询存储在Exchange中的Outlook规则,以检测潜在的恶意规则? 是否有可能阻止一些Outlook规则types(例如执行程序/脚本)?
我有一个部署与Apache 2.2.22服务器后清漆。 我想完成的是用htpasswd保护一个目录的密码,但是对于来自ips的某些用户来说这个访问是不需要authentication的。 AuthType Basic AuthName "test" AuthUserFile /www/.htpasswd Require valid-user order deny,allow deny from all SetEnvIF X-Forwarded-For "1.2.3.4" AllowIP Allow from env=AllowIP Satisfy any 我现在所做的是这样的,这是一个解决方法,但是它正在工作。 如果X-Forwarded-For IP(客户端)是1.2.3.4,那么让他无需validation就可以观看页面。 这个问题是不安全的,客户端可以设置一个X-Forwareded-For标头并绕过authentication。 我已经尝试了Apache RPAF模块: <IfModule rpaf_module> RPAFenable On RPAFsethostname On RPAFproxy_ips 127.0.0.1 varniship </IfModule> 理论上应该限制来自代理的X-Forwarded-For请求,我甚至不确定在这种情况下我需要这个模块,因为代理将总是把X-Forwarded-For客户端IP放在它的后面。 所以要求如下: X-Forwarded-For: <varniship>, clientip 客户可以再次操纵客户。 有一个更好的方法吗?
如果我的Amazon EC2凭证在时间D被盗,我可以通过以下方式validation根卷的完整性: 查找EC2 API中的实例,检查主networking接口连接的时间,并将其用作系统创build时间 查找卷的连接时间 如果创build系统的时间在连接根卷的10秒钟之内,请考虑系统未修改。 我假设这个实例是在时间D之前创build的。 问题的另一种方式是:这种情况。 我有一个实例。 我停止了这个例子。 有人窃取(借用)我的AWS凭证,将该实例的根卷装载到服务器B,通过添加SSH密钥修改根卷,然后将其重新装入原始服务器。 在启动原始服务器之前,如何知道卷被修改?