最近我听到很多stream行词“云”,我甚至听说过云防火墙。 但是我在寻找的是如果我使用eucalyptus将基础设施作为服务(IaaS)实施为私有云,并使用euca-tools创build组,那么这将足够安全吗? 另外我遇到了一个用户在虚拟机中安装pfSense的论坛。 这有意义吗? 实际上我是一名实习生,我被要求研究云中的访问控制。 我还被要求安装一个工具(由我的公司开发),通过推送IPtables提供细粒度的访问控制,这是集中完成的。 我打算在VM中部署这个。 但是,如果euca团队足够安全,我所做的不仅仅是浪费时间? 我对此很困惑。
我有一个SQL服务器是运行Windows 2008 R2的域成员。 它是故障转移群集中的群集节点。 安全事件日志正在充斥着这些: Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 5/17/2012 8:30:19 AM Event ID: 4793 Task Category: Other Account Management Events Level: Information Keywords: Audit Success User: N/A Computer: SqlServer01.domain.com Description: The Password Policy Checking API was called. Subject: Security ID: DOMAIN\ClusterServiceAccount Account Name: ClusterServiceAccount Account Domain: Domain Logon ID: 0xaaaaa Additional Information: […]
我有一个使用mysql后端的分布式MsAccess前端数据库。 它使用Windows系统DSN ODBC连接来连接到服务器。 我所有的链接表都是指那个ODBC连接。 事情是,他们都使用相同的用户名和密码,这是硬编码到每台计算机。 什么是更好的方式来实现它,使每个用户得到它的login。 由于每个DSN连接都是“硬连线”的,我不认为每次应用程序启动时重写registry都是一种安全的方式,因为应用程序崩溃时DSN设置将保持不变。 我不知道如果我可以离开系统DSN没有用户名和密码提示,但是我们连接到四个不同的数据库,所以我不希望用户input他们的信息四次,因为这只会挫败用户。 我想也许我可以使用系统DSN用户作为一个只读的用户表,或者最好是一个程序,将validation用户,除了一旦validation,我不确定我将如何连接每个表。 我可以在ODBC连接string中存储全局variables吗? 什么是更好的方式使MsAccess更多的用户意识? (我查看了MSACCESS安全设置,但似乎微软正在减less这一点,我的尝试build立它完全locking我并没有任何forms的loginvalidation,我想它只是使用widowslogin作为安全性,但这不是一个真正的解决scheme)这里有一个免责声明: Access 2010安全性简介(office.microsoft.com) 访问和用户级安全 Access不支持以新文件格式(.accdb和.accde文件)创build的数据库的用户级安全性。 但是,如果您从Access 2010的早期版本的Access中打开数据库,并且该数据库已应用了用户级别的安全性,则这些设置仍然可以正常工作。 重要事项使用用户级别安全function创build的权限不会保护您的数据库免受恶意用户的攻击,也不会成为安全障碍。 使用此function可以提高可信用户数据库的可用性。 为帮助保护数据安全,请仅允许受信任的用户使用Windows文件系统权限访问数据库文件或关联的用户级安全文件。 如果将具有用户级别安全性的Access早期版本的数据库转换为新的文件格式,则Access会自动去除所有安全设置,并且适用保护.accdb或.accde文件的规则。 最后,请记住,当您打开具有新文件格式的数据库时,所有用户都可以随时查看所有数据库对象。
我需要允许我的用户轻松地创build一个目录,并将一些file upload到我的Ubuntu服务器上的这个目录。 我也需要这样做,以符合以下要求: 必须使用本地用户进行身份validation(如果它只是这些的一个子集,也会很好) 上传的所有内容必须作为特定的系统用户上传 它必须处理大于2GB的文件 它必须将用户locking到仅用于上传的根目录 所有连接必须安全 如果部分上传可以恢复,会很好 我最初的想法是设置一个FTP服务器,但我很难find一个FTP服务器,可以configuration,以满足这些要求。 有没有人有build议,可以configuration什么FTP服务器软件,以满足我的需求或不同的方法,可以满足我的需求?
正如标题所说,在托pipeRoR应用程序或Heroku时是否可以禁用SSL / TLS重新协商? 我在我的网站上运行了Nessus安全工具,唯一严重的警告就是网站可能面临DoS攻击。 我试图研究这个问题,但我不确定这是一个英雄问题还是瘦服务器,或者如果问题是由于rails应用程序。 有没有解决这个问题的方法? 任何意见,将不胜感激。
CentOS 5.8 有没有一种简单的方法来说明使用什么特定的公钥来encryption电子邮件? 我的电子邮件网关无法解密入站的S / MIME邮件,我怀疑远程发件人可能使用了不再使用且与我的私钥不匹配的过时公钥。 有一个简单的方法,我可以告诉如果发件人使用的公钥与我的私钥相匹配吗? 同样,有没有办法做到这一点的PGPencryption电子邮件? 理想情况下,我正在寻找一些可以通过Linux命令行或本机Windows工具查看的内容,而无需在用户桌面或将所有密钥加载到我的桌面(万一这种情况发生在多个用户身上)。
接下来是一个冗长的背景,以下是一个问题:在企业环境中保护出站stream量的行业最佳实践(或者您会提出什么build议)? 背景 我们有一个非常典型的企业环境:在防火墙/路由器/代理之后的不可路由的IPv4地址上的Linux和Windows主机。 除此之外,这些主机运行我们的应用程序和数据库服务器,用于我们公司内部开发的核心服务。 数据库服务器已被相当广泛地locking。 他们的地址不会路由(即使与NAT / PAT)的内部networking。 另一方面,应用程序服务器以及构build和准备应用程序的服务器需要一些与外界的连接。 由于各种原因,这些主机需要访问Internet资源: 与公共或私人服务整合, 从开放源代码库中提取库, 下载平台更新, 获取专门的故障排除资源, 将统计数据传输给附属监控系统, 可能还没有确定的其他用途。 通常,这些互联网资源可以通过主机名或域名进行标识,但通常不能简单地通过目标IP地址来引用。 资源可以是资源的特定子集,例如域(graph.facebook.com)中的应用程序或主机(google.com/a/company)上的path。 我们希望能够尽可能具体地识别资源,以避免过度宽容。 我们的目标是维护一个安全的networking。 特别是,我们要: 防止或限制擅自访问系统的聪明的对手泄露数据, 监视和logging源自networking内部的活动。 我们关注的是源自networking内部的stream量,并终止在我们的安全环境之外。 此外,我们的目标是尽可能保持权限,根据主机类和源地址来指定源。 无论我们最终使用什么,我们都希望将授权过程作为主机供应过程的一部分机械化。 另一个要求是应用程序开发应该受到最小程度的影响。 该解决scheme应该尽可能地像一个简单的TCP / IPnetworking一样进行授权通信。 为此,我们在桌面上提出了一些build议,其中一些我们已经尝试了,其中一些我们可以评估: DMZ防火墙 防火墙位于DMZ上,并根据允许的目标主机的白名单路由stream量(networking层)。 它定义了一个IP地址的白名单。 防火墙只是丢弃不符合相应规则的stream量。 优点 应用程序可以自然编写而不需要考虑networking。 支持HTTP / HTTPS以外的传输。 限制 低粒度 – IP名称或地址可以用于许多应用程序,并且几乎总是在该主机上提供多个path。 有时可能使用DNS将主机名parsing为IP地址列表,并机械地更新该列表,但更新不会实时发生。 被拒绝的stream量与故障networking无法区分。 失败可能是耗时的,需要15-60秒(或更长时间)才能解决失败。 由于潜在的滥用/失败,防火墙的机械化是不可取的。 HTTP代理服务器 与防火墙一样,代理服务器驻留在DMZ中,连接到内部和外部networking。 所有出站stream量必须通过代理服务器,其中包含一个由URL或部分URL授权资源的白名单。 它只允许匹配白名单上指定资源的stream量。 代理服务器在HTTP / HTTPS协议级别运行。 […]
我正在迁移使用PHP-FPM运行PHP应用程序的web服务器的configuration。 服务器上有大约40-50(并且增长)的虚拟主机。 该服务器是一个1GB RAM的单CPU虚拟机。 虽然这不是一个可以玩的资源,但我确实有很多这样的负载均衡器,他们宁愿横向扩展而不是垂直扩展。 以前的configuration使所有虚拟主机运行在同一个用户下运行的单个PHP-FPM池中。 最大的孩子是20左右,服务器似乎应付(它总的来说,每天大约10万点击 – 不是巨大的stream量)。 考虑到这些网站的隔离,我正在考虑转移到一个模型,其中每个虚拟主机都有自己的PHP-FPM池,在该网站的特定用户下运行,然后将该池根据虚拟主机的根目录进行chroot。 然而,即使在保守的游泳池儿童设置(初始= 2),闲置时也会产生近100个FPMstream程。 我的问题是:这是否会导致问题? 是否有任何固有的内存问题,旋转这么多的进程? 最后的奖金问题:任何ulimit暗示为php-fpm如果我去做这个方法?
我们有一个“绿色”networking(LAN)和一个“橙色”networking(DMZ)的Smoothwall防火墙,我们希望使用OpenVPN接入服务器作为我们的VPN服务器。 问题是:VPN服务器应该在LAN还是DMZ? 而且,如果在DMZ中,VPN连接的客户端应该如何访问LAN资源(例如Samba共享或Windows远程桌面)? (我知道这应该是一个基本的问题,但是我花了很多时间在网上search,似乎大多数人推荐把VPN服务器放到DMZ中,但是我不清楚怎么可能从VPN服务器访问局域网中的资源,同时又不损害具有DMZ的安全原则。) 任何回应将不胜感激! 编辑:我无法find任何关于如何在网上进行的质量解释。 另一个build议( http://www.antionline.com/showthread.php?228254.html )是将VPN服务器与防火墙并联。 对我来说,这听起来更糟,然后端口转发到局域网本身。
根据美国CERT TA13-010A ,build议所有计算机用户在其浏览器中禁用Java 1.7,因为零日Java漏洞会导致任意代码执行风险 ; 但是,我们依靠内部Java应用程序来完成关键业务服务。 我们如何保护企业networking免受来自外部的恶意威胁,同时仍然允许我们的内部Java应用程序运行? 最好,我们希望通过我们的思科ASA防火墙禁用Java …