我在非域环境中的Amazon EC2上安装了Windows Server 2012。 我需要远程桌面,并连接到运行在其上的Microsoft SQL服务器实例。 除了在Windows防火墙中打开这些端口之外,我想让这个更安全。 我不能限制连接到特定的IP,因为我有从我的ISPdynamicIP地址。 我在想的是使用我的客户端计算机和服务器上都存在的东西,作为连接的必要条件。 也许某种SSL证书? 我发现这个Windows Server 2003的: http : //www.alkia.net/index.php/faqs/106-how-to-secure-remote-desktop-connections-using-tls-ssl-based-authentication这似乎与我正在寻找的类似,但它假定活动域环境正在使用,只涵盖远程桌面,而不是通过防火墙的任何连接。 terminal服务configuration的Plus GUI甚至不存在于Windows Server 2012上。 我在任何防火墙规则的“常规”选项卡上看到,在Windows Server 2012中,有一个选项“允许连接,如果它是安全的”,可以启用和进一步configuration。 “高级安全Windows防火墙”下还有“连接安全规则”文件夹。 我怀疑我所寻找的是与这两个选项有关,但我不知道他们是如何一起工作的。 我试图在非域环境中实现甚至是可能的吗? 有没有关于如何设置Windows Server 2012的分步指南?
换句话说,为什么不拒绝主机只需引用/etc/hosts.allow? 为什么它有自己的文件? 您看到的一些denyhosts教程指示用户将pipe理IP添加到此文件,而忽略甚至提及/ var / lib / denyhosts / allowed-hosts。 这些教程是错误的吗? 或者这会按预期的方式工作(即阻止拒绝主机将IP添加到/etc/hosts.allow中)?
据我了解,不同子网上的主机不能互相通信,除非在两个子网上都有一个路由器在它们之间转发stream量。 我在networking上有两个子网,分别是:192.168.0.0/24和192.168.1.0/24。 我想在它们之间创build一个防火墙路由,使用一个连接到两个子网的Linux盒子。 防火墙将在iptables中实现。 连接到networking的所有主机将被信任,用户将不具有pipe理权限来改变其networkingconfiguration(即只连接到另一个子网上)。 假设我上面所说的一切都不完全是废话,那么连接到一个子网的用户可能绕过防火墙并访问另一个子网的方式是什么? 明显的发生在我身上的只是连接一个不受信任的主机。 澄清:我试图创build一个自定义的防火墙解决scheme(不是现成的)。 它将被集成到现有的解决scheme中,该解决scheme已经在Linux机器上运行,所以事物的一面是固定的。 防火墙将允许根据物理网卡或VLAN来定义防火墙。 在我看来,基于物理局域网的区域只允许有人在物理上连接到networking,而不应该是这样。 除了encryption之外,这一点归结为物理安全。 假设您没有错误configuration某个交换机以暴露携带dot1Qstream量的terminal,或者允许VLAN跳跃攻击,则基于VLAN的区域基本相同。 我的问题的根源在于是否可以将基于子网的区域(运行在相同的物理硬件上)添加到可防火壁垒的列表中。 这当然会依赖于所有连接的主机是“可信的”,并且所有的用户(防火墙至less应用到这个用户)没有pipe理权限来混乱networking设置。
我有一个FREEIPA LDAP服务器和一个小牛客户端。 我已经将我的Mac绑定到我的LDAP并创build了一个移动帐户。 我想要的是当某人被禁用时,它会注销用户或locking屏幕。
我目前正试图find一个GPO或registry编辑,可以从Windows资源pipe理器中删除地址栏或防止栏显示完整的UNCpath。 当前环境对C:\驱动器以及networking共享有完全的限制。 但是,我能find的唯一的“安全漏洞”是用户可以完全访问其他用户的漫游configuration文件。 也就是说,如果他们足够聪明,可以使用环境variables浏览到他们的个人资料文件夹,并因此显示共享的完整UNCpath。 如果情况变得更糟,我总是可以启用下面的GPO条目,但启用它只会产生大量的pipe理员头痛问题,因为即使启用了Add the Administrator security Group to roaming user profiles时,策略也会剥夺inheritance权限 User Config>Policies>Windows Settings>Folder Redirection>Documents>Options Grant user exclusive rights to Documents 我也尝试了以下registry修改没有运气 。 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Explorer] "ITBar7Layout"=hex:11,00,00,00,4c,00,00,00,00,00,00,00,34,00,00,00,19,00,00,00,\ 40,00,00,00,01,00,00,00,20,07,00,00,a0,0f,00,00,05,00,00,00,62,05,00,00,26,\ 00,00,00,02,00,00,00,21,07,00,00,a0,0f,00,00,04,00,00,00,29,05,00,00,a0,0f,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser] "ITBar7Layout"=hex:11,00,00,00,4c,00,00,00,00,00,00,00,34,00,00,00,19,00,00,00,\ 40,00,00,00,01,00,00,00,20,07,00,00,a0,0f,00,00,05,00,00,00,62,05,00,00,26,\ 00,00,00,02,00,00,00,21,07,00,00,a0,0f,00,00,04,00,00,00,29,05,00,00,a0,0f,\ […]
我已经使用了命令grub-mkpasswd-pbkdf2来encryption我的密码,然后我把哈希密码放在我的Ubuntu 14.04 /etc/grub.d/00_header : cat << EOF set superusers="itaig" password itaig grub.pbkdf2.sha512.10000.blah.blah set superusers="lel" password lel P@ssw0rd export superusers EOF 最后,我运行update-grub2来更新grub。 重新启动后,我得到一个密码提示,当我使用encryption的密码的用户时,我得到一个错误,我无法login到grub继续启动过程。 当我使用明文密码的用户时,我可以logingrub并成功继续引导过程。 这个问题的原因是什么? 以下是/etc/grub.d/00_header相关部分的屏幕截图: 具有未encryption密码的用户“lel”的条目就像魅力一样。 谢谢
我的apache日志里充满了'admin.php' not found or unable to stat通过漏洞扫描程序来wp-login.php , default.php等类似的语句。 我可以configurationApache以避免logging某些文件的这些语句? 我不想过滤掉所有未find的文件,因为我想修复多年来可能已经放弃的不再对应相同文件的错误链接。 我可以使用像fail2ban或denyhosts这样的工具,但是从以前的经验来看 ,它来自很多地方,这些错误仍然会堆积如山,减less这些错误信息就是这个问题的要求。
我注意到我的操作系统的长期支持存储库中的一些select的部分软件尚未用PIE或立即绑定 (例如)进行编译。 在这里,在服务器故障的人认为,使用GCC内的安全意识标志和function重新编译这些select的软件是否更安全? 还是让软件尽可能地与上游存储库保持一致更为重要, 在编译软件包时相信他们的决定 ? 当然,“两者”可能是首选的答案。但实际上 ,我仍然没有尝试重新编译任务关键型应用程序的唯一原因是,我将不得不随后将定制的DEB软件包放在Hold(在软件包pipe理器中)这样在我不知情的情况下,未来的软件包更新不会覆盖自定义版本。 这样,我不得不评估更新有多重要或安全。 如果需要的话,从源码,软件包重新安装, 简而言之,自定义编译的好处是否超过了按需安全补丁的好处? 有什么build议么? 并在一个侧面说明 ; 是通常负责编译某些安全标志(如PIE)的软件包维护人员吗? 或者这通常是在上游存储库(IE Debian / Ubuntu Distro Maintainers)的突发奇想中完成的? 这是否会影响我的决定?
我已经启动并运行良好,并且我意识到networking上的任何工作站都可以访问SecAst Telnet界面。 有没有办法限制这只有我的笔记本电脑? 我不希望最终用户中的一个人混淆禁止/禁止联系
当用户使用Auditctl注销Linux上的会话时,是否可以logging? 我目前与用户有关的audit.rules是: -w /etc/login.defs -p xwa -k login -w /etc/securetty -p xwa -k login -w /var/log/faillog -p xwa -k login -w /var/log/lastlog -p xwa -k login -w /var/log/tallylog -p xwa -k login -w /var/log/secure -p xwa -k login 我在/var/log中看不到任何明显的东西,我可以看,所以我认为这将需要更多的configuration?