安装程序/问题 假设公共Internet上的服务器的IP为185.48.117.176其中/proc/sys/net/ipv4/ip_forward=1且没有iptable-rules。 什么防止攻击者是 直接或 间接(通过另一台路由器) 连接到互联网从我的服务器作为她的路由器? (我知道,没有适当的伪装设置它的无用,因为这些回收不会被路由回来,但是它仍然可以被用于UDP泛滥攻击,其中不应该有响应包。 我试过的: 我试图添加一个路由(在我的客户端/攻击者机器上) route add 0.0.0.0 gw 185.48.117.176 在我添加了“假接口ip” ip address add dev wlan0 scope link 185.48.117.176 防止SIOCADDRT: Network is unreachable错误消息。 然后,我删除了“假接口IP”,所以路线停留。 但是,我仍然无法使用服务器作为路由,因为没有包到达那里(我试图捕获ICMP包使用tcpdump)。 在docker问题上的这篇文章中 ,似乎与networking是否支持第2层交换有关。 为什么是这样? 我错过了什么?
所以,我认为我的LDAP工作是完美的,但今天我去login,并validation我,但它显示我是本地pipe理员帐户,甚至whoami这样说,我有本地用户帐户完全的根访问。 任何想法什么寻找? 这是以甜甜圈login的输出,他不是本地用户,而是之前login的。 sysadmin@BASICTEMPLATE:~$ whoami sysadmin sysadmin@BASICTEMPLATE:~$ pwd /home/donut 并输出tail -f / var / log / auth作为甜甜圈login Oct 7 21:01:15 BASICTEMPLATE sshd[1871]: Accepted publickey for donut from 192.168.1.210 port 50472 ssh2: RSA 9c:a7:b6:3c:a8:2d:96:21:e8:d2:47:cb:6f:8f:a0:91 Oct 7 21:01:15 BASICTEMPLATE sshd[1871]: pam_unix(sshd:session): session opened for user donut by (uid=0) Oct 7 21:01:15 BASICTEMPLATE systemd-logind[471]: New session 4 of […]
pipe理员帐户不断被locking。 事件日志和Netlogon日志确认帐户被locking,但未提供源计算机名称(它是空的)。 请参阅下面的屏幕截图,来自事件日志和Netlogon日志。 我怎样才能find帐户locking的来源? 谢谢!
我正在努力提出这个问题,所以请承担这个序言。 我们使用Solarwinds的一个名为Serv-U的产品作为sFTP服务器,因为它具有我认为非常方便的网关function。 服务器组件安装在内部networking上。 网关安装在DMZ中。 网关不需要任何端口从DMZ打开到内部networking,只能从内部networking打开到DMZ。 服务器组件监视网关,当从外部地址尝试连接时,服务器将连接桥接到内部networking上。 我不完全理解它是如何做到的,尽pipe它一定是某种反向隧道。 它完美地工作。 我的问题是: 有没有一个产品,这与SMTP? 可能吗? 这个configuration有没有安全弱点? 感谢收听。
这不是一个问题,但我得到了大量的漏洞扫描器和脚本小子不断打击我的网站。 我的网站不运行WordPress,但它不断地扫描WordPress的漏洞,并尝试点击/admin /wp-admin.php等不/wp-admin.php 。 一旦他们击中黑名单中的任何URL,我想要做的是限制特定IP。 我知道我不能完全阻止脚本小子,但是我想慢下来,以阻止它。 例如: 假设我正在运行首先尝试使用/wp-admin.php的漏洞扫描程序。 Nginx会看到这个特定的位置,并将我的IP添加到一段时间内被禁止或限速的IP列表中。 有没有一种方法可以完全通过Nginx的configuration? 我知道使用OpenResty / Lua是可以实现的,但据我所知这是一个相当高效的任务。 Fail2ban也不是一个选项,因为我运行在负载均衡器后面,因此需要依赖显然iptables无法匹配的X-Forwarded-For头。
当使用robocopy将目录树中的数据备份到NAS时,我总是收到错误5 – 将NTFS安全性复制到目标目录。 拒绝访问。 对于不应该返回这样的错误的文件夹。 robocopy脚本由一个名为“备份”的非pipe理员用户执行,该用户专门用于具有对所有文件和文件夹的完全访问权限的备份。 执行脚本时,大多数文件夹会返回错误5,而其他错误会返回错误5。 日志如下: ——————————————————————————- ROBOCOPY :: Robust File Copy for Windows ——————————————————————————- Started : 19 February 2017 17:01:15 Source : F:\files\Archive\Dir1\Dir2\ Dest : \\nas\fooBack\fooDrive\Auto2\Archive\Dir1\Dir2\ Files : *.* Options : *.* /S /E /DCOPY:DA /COPY:DATS /PURGE /MIR /R:10 /W:5 —————————————————————————— 1 F:\files\Archive\Dir1\Dir2\ 2 F:\files\Archive\Dir1\Dir2\01-11-2010\ 2017/02/19 17:01:16 ERROR 5 (0x00000005) Copying NTFS […]
让我从我的环境的一些细节开始: Windows Active Directory域环境 域控制器:Windows Server 2003 R2 问题工作站:Windows 7 Professional 64位 最近,我收到了由于login失败次数过多而导致域用户帐户被locking的报告。 我已经从用户使用两个不同的机器,Win 7 Pro x64的报告这个问题。 我只是解锁他们的帐户,让他们在途中,但有时帐户立即被重新locking,有时用户会被隔夜,每晚导致一些混乱。 由于这个问题,我在我们的SBS服务器locking策略下设置帐户locking阈值为0,所以用户可以不间断地工作,而我知道这一点。 在对这个问题做一些研究的时候,我发现一个常见的问题是,当用户的密码被改变时,他们旧的凭证被caching在某个地方,被一个进程或服务使用,导致审计失败,但是用户没有改变他们的密码在很长一段时间。 所以我正在检查其中一个工作站上的事件日志,而且我发现每秒钟都会发生一些用户的审计失败事件。 其中一个用户通过远程桌面定期使用计算机,但另外三个用户有点奇怪。 其他三个之一不访问我知道这台机器,其他两个用户不存在 。 其中一个不存在的用户有我们的域名的用户名,另一个被称为DENTAL ….在另一个用户不断注销的另一台机器上,我看到所有的奇怪和不存在的用户名被列出在事件(他们是真实的名字,但不是我们的域名用户,如鲍勃,珍妮,加里等)。 安全事件日志时间线看起来像这样,每天一整天: 审计失败 以下是不存在的用户的完整事件详细信息(login到他的电脑的唯一用户是域pipe理员): -System -Provider [ Name] Microsoft-Windows-Security-Auditing [ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D} EventID 4625 Version 0 Level 0 Task 12544 Opcode 0 Keywords 0x8010000000000000 -Time Created [ SystemTime] 2017-03-16T18:23:08.864151000Z EventRecordID […]
在数字海洋上设置水滴时,build议设置一些基本的安全和监测。 我最近阅读了很多有关强化新Ubuntu服务器的最佳实践。 以下是我编译的步骤。 社区是否有任何build议来调整这个列表,包括增加或删除? 创build一个非root用户[ 2,3,7,8 ] 添加non-root到sudoers组[2,3,8] 将公共ssh密钥添加到非root用户[ 1,2,3,8 ] 用ufw防火墙拒绝所有入站stream量[1,3,4,7] 在ufw防火墙内打开所需的端口[1,3,4,7] 更新SSHconfiguration – 无密码login[2,3,7,8,9] 更新SSHconfiguration – 禁用rootlogin[ 2,3,5,7,8,9 ] 更新SSHconfiguration – 更改SSH端口[2,3,7,8,9] 无人升级[3,4,6,7] 邮件的后缀[2,3,6] Logswatch发送每日摘要电子邮件[ 3 ] Fail2ban [2,3,7] 将时区设置为UTC并安装NTP [ 2 ] 安全共享内存[ 5 ] 添加安全login横幅[[ 5 ] 强化networking层[ 5 ] 防止IP欺骗[ 5 ] 来源 1.数字海洋 – 7个安全措施来保护您的服务器 2.数字海洋 – 你在新的服务器上的前五分钟做什么? 3.用Ansible保护服务器 […]
我正在寻找可能的现有解决scheme来集中用户pipe理。 网上find的大多数文件都是指LDAP(尤其是Active Directory),但是我想知道是否还有其他替代方法可能更适合我们想要实现的结果。 现在的情况 我们目前有大约十几台服务器,一些裸机,大多数虚拟化(VMWare)在我们公司运行。 他们大多数是Windows服务器,但也有一些是Linux。 我们有两个networking(DMZ和私人)在我们的部门,并不是每个服务器都连接到两个networking。 目前,我们已经为每个服务器上的每个人设置了独立的用户帐户(如果他们需要该服务器上的帐户,并不是每个人都需要访问所有这些帐户),并具有单独的权限。 我们的用户可以通过远程桌面,SSH或Microsoft SQL Serverlogin,具体取决于我们正在处理的服务器的types。 我们的员工用来在服务器上login的客户端计算机已经在一个LDAPconfiguration中,我们不能使用这个LDAPconfiguration服务器。 (这个LDAP正在我们的部门之外维护)。 这个设置的问题是,现在每当我们有一个新员工,或者更经常地,一个外部顾问进来,我们必须在每台服务器上手动创build一个用户帐户,并设置他们所需的权限。 导致一些服务器pipe理员甚至不打扰,只使用pipe理员帐户。 期望的情况 用户帐户为整个服务器园区创build一次,并分配给用户组,用户将通过这些用户组自动获取所有相关服务器的派生用户权限。 然后,用户可以通过远程桌面,SSH或SQL Server使用用户名和密码在服务器上login(SQL Server Access可以链接到Windows用户组)。 优选pipe理员帐户将被locking,并且服务器在中央用户pipe理服务器closures时保持可访问/可操作状态。 我想知道的 我想知道哪些不同的技术(而不是特定的产品)可以实现这个目标,如果可能的话,他们的利弊是什么。 我遇到的一些技术是Puppet和元数据,然而他们并不真的觉得我适合的解决scheme。 尽pipe我很难相信活动目录是现存的唯一工作解决scheme。 但当然,如果是这样,我想知道为什么:)。
我在公司networking的RedHat 7上运行Jenkins 2.67。 它只能通过转发代理访问互联网,仅限于对http URL的请求。 Jenkins默认从http://updates.jenkins-ci.org/update-center.json下载插件列表。 我可以访问http 的版本,但下载的插件列表是相同的,包含约50%的http唯一的URL。 这给我带来了3个问题: 有可能只有httpsurl? 根据这个新的function要求,它不是 如果点1是不可能的,我如何validation下载的插件没有损坏? 我如何validation下载的插件不包含任何威胁? 编辑 也张贴在堆栈溢出 ,它可能会更好