我正在设置一个Linux服务器,需要:(1)允许远程访问。 (2)防止文件被下载。 具体而言,服务器保存用户将要分析的数据,build立模型等。用户将需要从他们的工作计算机(也运行Linux)访问服务器。 但是,他们不应该能够将数据从服务器传输到用户的工作计算机。 目前,我唯一想到的解决scheme是设置两层访问权限:用户首先ssh或VNC到中间服务器,然后VNC从中间服务器到主服务器。 有一个更简单的解决scheme? (最好是没有远程桌面的解决scheme。) 谢谢!
为了提高安全性,阻止互联网上的可疑IP面对防火墙是否有意义? 有谁知道任何可靠的阻止名单? 谢谢,马克
这是我第一次设置IIS安装,我想确保提供最大的安全性。 build立时有一些问题突然出现在我的脑海里: 请注意,此服务器托pipe的外部网站每天约有50个用户,每天约1000个用户,而且还包含仅用于内部目的的内部网站(这种情况下的内部手段是我们公司用户在networking外使用的网站,客户使用这些网站) 应用程序池标识: 我读过使用ApplicationPoolIdentity的内置帐户ApplicationPoolIdentity是最好的安全措施。 我的问题是,如果我可以为每个应用程序池使用此embedded式帐户,因为我将部署Wep应用程序隔离 – 意味着我将为每个Web应用程序都设置一个不同的AppPool。 即使我为每个Web App部署不同的应用程序,这是不是每个AppPool使用相同的帐户的矛盾? 服务器强化: 我想安装尽可能less的function和服务,尽可能强化服务器。 有没有办法来检查我安装的function是否使用,或者如果它不需要这些? (是的,我知道,有点小问题) 身份authentication: 有外部访问者的网站需要匿名authentication吗? 像www.mycompany.com这样的网站需要被所有人访问吗? 我还没有find一种方法来禁用匿名authentication,但使网站仍然可以为所有人。 一般networking问题: 我一直认为IIS的最佳做法是将服务器放入DMZ中,因为如果服务器被黑了,入侵者将无法访问我们的域网中的所有其他服务器。 由于像Digestauthentification这样的新的authentication方法需要与一个域控制器进行通信,而且服务器本身也需要在这个域中,所以我问自己是否最好把服务器放在域networking中,并保证访问的安全与其他安全措施(代理等),还是DMZ仍然是最好的安全做法? 预先感谢您的每一个input。
我一直在networking和StackExchange上search,发现yum-plugin-security虽然可以安装,但实际上它并不适用于基于Centos的版本库,回到2013年和2014年。参考这个和这个 。 我已经用我的Centos 6.6再次testing了自己,现在在2016年发现, yum-plugin-security仍然不起作用。 这可以使用openssl的DROWN攻击的最新发热问题来testing。 首先得到安装的openssl的版本: 4977-20[13:59:19 root@lye-vm ~]# rpm -qa openssl openssl-1.0.1e-30.el6_6.5.x86_64 然后find任何可用于openssl的更新: 4978-21[14:09:37 root@lye-vm ~]# yum list updates openssl* Loaded plugins: security Updated Packages openssl.x86_64 1.0.1e-42.el6_7.4 updates 好吧,有一个。 然后用yum-plugin-security toolsfind它updateinfo : 4979-22[14:09:42 root@lye-vm ~]# yum updateinfo list security Loaded plugins: security updateinfo list done 4980-23[14:09:46 root@lye-vm ~]# 所以没有'updateinfo'显示。 (如果使用yum –security check-update它会列出所有可用的更新,这不能很好地发挥作用)。 我想知道是否真的有没有办法,我们可以通过使用yum命令获得安全更新 […]
最近我们将我们的http负载均衡器从apache迁移到haproxy(http模式),出于安全原因,我们在apacheconfiguration中使用LimitRequestBody来控制请求大小 有没有haproxy的等价configuration? 先谢谢了
我有一个Docker容器应该读取日志,包括主机本身的日志。 所以我使用z标志挂载卷/var/log 。 这改变了/var/log里面的文件的SELinux上下文,这阻止了我通常的进程访问这些文件,最终的结果是我无法在本地login: kernel:type = 1400 audit(14958482):avc:denied {open} for pid = 12345 comm =“agetty”name =“/ var / log / wtmp”dev =“dm-6”ino = 134 scontext = system_u:system_r :getty_t:s0-s0:c0.c1023 tcontext = system_u:object_r:svirt_sandbox_file_t:s0 tclass = file 这里最好的做法是什么? closuresSELinux,而它摆脱了这个问题,是不是一个选项。
我想知道,云托pipe提供商在客户不信任托pipe提供商与应用程序中的数据的情况下是否可以为云托pipe提供商运行应用程序。 客户将上传虚拟机映像(或类似的),主机将运行它,但不能读取任何数据。 这似乎是不可能的,因为访客必须解密内存中的数据才能使用它,并且主机可以在需要时直接读取虚拟机的内存。 有什么窍门来解决这个问题? 还是任何一种局部解决scheme,让主机难以访问虚拟机中的数据? 编辑:我意识到,客人可以很容易地存储它永远不会解密的encryption数据,就像从一个用户传递给另一个encryption的电子邮件。 我想知道客人可以读取的数据是否对主机不可读。
我对这个话题完全没有经验,所以如果我的问题是多余的,请原谅。 我们正考虑使用HP Smart Array P840控制器部署服务器,并使用HPE Secure Encryption进行安全。 根据其规格说明,HPE安全encryption是基于智能arrays控制器的encryption解决scheme,可通过智能arrays控制器自动创build,存储和删除密钥。 我的问题,我无法在网上find任何信息:在控制器硬件故障的情况下,是否有可能恢复encryption的RAID只需更换控制器,并提供某种恢复密钥或将需要恢复通过备份?
我试图安全地将数据从Solaris(版本10)传输到Windows文件共享,以便业务用户可以访问它。 文件共享映射为中间Windows Server(Win2003)中具有作为服务运行的openSSH的驱动器号。 如果我使用SFTP或SCP来从Solaris压缩文件,我希望传输对于中间服务器来说是安全的 – 但是传输到最终目的地(文件共享)是安全的还是由Windows在没有encryption的情况下完成的最终传输?
我已经为loginshell /bin/rbash分配了一个帐户,并且发现了一个似乎使得rbash在很大程度上无用的漏洞。 帐户的.bash_login只运行.bashrc : . $HOME/.bashrc .bashrc将PATH设置为包含唯一允许的命令的目录: PATH=/restrict/bin 这在名义上起作用。 但是,我发现如果我在input密码后几乎瞬间打入了帐户并rbash了Control-C,那么在运行.bashrc之前rbash被中断并下降到shell提示符的机会很小(可能是五分之一),于是PATH没有被改变,用户最终不受限制地访问/bin 。 请告诉我我错过了一些东西,因为解决scheme似乎很难实际修复和重新编译bash 。 我也对rbash为了获得“安全”而修改的特定行为列表保持警惕。 为了这个目的,我会放弃bash ,除了bash脚本与我的用户牢固在一起。