我一直在努力解决这个问题,但我仍然无法解决这个问题。 我有192.168.1.151 PC,它有554和9001 TCP / UDP打开。 但我需要公开访问。 在我的juniper srx210我也有这个以下configuration。 但我不明白它不工作。 version 10.0R3.10; system { root-authentication { encrypted-password "secret-password-goes-in-here"; ## SECRET-DATA } name-server { 208.67.222.222; 208.67.220.220; } services { ssh { root-login allow; } telnet; web-management { http { interface vlan.0; } https { system-generated-certificate; interface vlan.0; } } dhcp { router { 192.168.1.1; } pool […]
如何从一个Windows Server 2008框中导出所有用户权限分配并将其导入到另一个Windows Server 2008框中。 也不会在域上,所以这只是本地安全策略。
我希望能得到一些网页寄存查询的build议。 我们正在build立一个电子商务网站,基本上将驻留在2个网页服务器(由负载均衡器前端)上,并与SQL2008集群交互。 在与networking托pipe公司打交道的时候,有些公司试图向我们出售一个额外的盒子,这个盒子将被用作一个域控制器。 他们声称这是更好的devise。 当然,成本也相应上涨。 我想更好地理解这一点 – DC是否从安全angular度为我们提供了更好的支持? 如果我们没有这个,我们可能会失去什么?
现在的情况 我有一个客户端,其中有许多(200x)CentOS 5.x服务器,部署在各种网站,邮件,数据库和文件服务器angular色中,这些服务器已经有不同程度的pipe理。 所有的盒子都有作为基本安装包含的EPEL存储库,所有的盒子都有“yum -y update”经常运行的cron作业,并且在内核可用的时候重新启动。 (所以他们没有处于可怕的状态) 对于networking,本地和外部漏洞 – 我们使用第三方公司,他们使用WebInspect来监控面向外部端口和易受攻击的服务,并向我的老板发送各种定期报告。 (因此我们现在没有看Nessus,OpenVAS或基于networking的扫描工具,或者实际上是任何漏洞工具) 新的大老板镇 – 是一个前安全合规的家伙 新规则是; 如果它没有经过定期的testing,那么即使它符合规定,也不符合规定。 (说实话,我很喜欢这个规则) 所以现在我正在寻找一种方法来定期生成服务器符合所有框的合规性标准的报告。 我们有117个configuration设置项目列表,这是各种合规性build议的较弱forms,所以我相信大多数合规性基准(如CIS,EAL3或STIG级别)就足够了。 我们在CentOS上安装了厨师,因此我可以推出基于yum的软件包(我可以从源代码安装,但是这会让我哭) 想拥有… 我想在每个CentOS盒子上有一个本地运行的工具,并且会产生一个关于configuration合规性的相当全面的html报告(而且一个巨大的好处是发送严重问题的电子邮件警报,但是如果需要,我可以编写脚本) 理想情况下,我可以生成一个每周报告,表明符合一个或多个公认的Linux服务器基准。 我很高兴支付清单的订阅,但我怀疑我看到每种100美元的许可证会打击我的预算。 一些进展… 我看到SCAP和OVAL在基于CentOS或EPEL的工具中,例如 OpenSCAP-utils的 奥瓦尔迪 – 椭圆形参考翻译 NIST为RHEL桌面提供SCAP内容,比较接近; http://usgcb.nist.gov/usgcb/rhel_content.html 但我真的很想说,这是一个已知的标准,这里是报告… 一些进一步的进展 在fedora仓库中有一个名为sectool的工具,但是由于缺lesspython-slip模块,我无法在CentOS上运行它。 看起来最后一次提交是在几年前,作者已经开始在openscap-utils项目上工作,还依赖于PolicyKit和CentOS 5.x框中没有的其他一些东西。
我有一个脚本,它读取-p给一个名为PASSWD的variables: smbclient -L 192.1.1.1 -U username%$PASSWD 我相信在历史上我将无法看到这一点。 在这个链接,它说,有人做ps将能够看到密码string? 将参数安全地传递给脚本 但是,如果一个脚本持续一个微不足道的时间(几毫秒),这不是一件大事吗?
我有一个很长的日志通过ssh到我的服务器(Fedora 16和Centos 6)的问题。 在testing了一些configuration之后,我发现问题在启用GSSAPIAuthentication选项。 哈希之后,连接到ssh的GSSAPIAuthentication非常快。 我想知道是closuresGSSAPIAuthentication好主意。 有没有很好的理由不禁用它?
很长一段时间,我总是在docker运行nginx来做负载均衡。 然而,我有一个新的项目,我将使用HAProxy进行负载平衡,并想知道是否应该让HAProxy直接发送连接到Jetty,或者如果我应该让每个Jetty实例在nginx或其他Web服务器的后面。 具体来说,我想知道是否有任何安全方面的优势/缺点。 如果Jetty受到nginx / apache的“保护”,或者我可以在HAProxy的瘦代理之后将其暴露给互联网吗?
我有两台Linux服务器通过交叉连接线相互连接,组成一个本地networking。 其中一台服务器为其他服务器(例如数据库服务器)提供了非常安全的DMZ。 我限制了这个问题,两个服务器之间的通信只需要这些服务器(而不是其他人)可用。 因此,两台服务器之间的通信可以通过以下方式build立: (1)在两台服务器上打开所需的端口,并根据应用程序的规则进行authentication。 (2)禁用交叉连接电缆所连接的NIC卡(在两台服务器上)的IP表。 哪种方法更安全? 在第一种情况下,所需端口对外部开放,但受用户名和密码保护。 在第二种情况下,所有端口都不对外开放,但是由于与交叉连接电缆相关的NIC卡的IP表被禁用,所以基本上所有的端口都可以被认为是“打开”两台服务器(如果创buildDMZ的服务器受到损害,则DMZ服务器上的黑客可以查看使用交叉连接电缆打开的所有端口)。 任何传统的智慧如何使两个服务器之间的通信安全的端口只有这些服务器需要访问?
我知道有几种内置工具(或可从Microsoft下载的工具)可用于评估和修改应用于系统的安全策略。 我在某种程度上熟悉的几个是: secpol.msc rsop.msc inputgpedit.msc 但是,我发现每个显示的结果有时是不同的。 secpol.msc可能反映了本地策略,而gpedit或rsop.msc表示应设置GPO设置。 我希望看到的是本地政策,应用GPO(s)和实际上对系统有效的政策之间的比较。 至less,我需要一些能够让我看到最后一个的东西 – 不pipe是在本地设置什么策略,也不是推到系统上,我需要知道系统实际上在做什么 。 有没有一种方法可以与上述工具之一进行比较,或者是另一种内置或可从Microsoft获得的工具? 我应该在哪里寻求一个权威的答案来确定系统实际上遵守了什么样的政策? 这适用于运行Windows XP,2003,7和2008的系统。
对我正在考虑的反向代理设置有一个怀疑的问题。 我目前在DMZ中有一对负载均衡的应用程序服务器(下图中的S1,S2)。 这些接受来自外部客户的入站请求。 他们还连接到内部networking资源(例如数据库服务器,消息代理) DMZ设置非常标准:两个防火墙 – 内部和外部的。 外部防火墙只允许外部请求特定端口上的特定服务器资源。 面向内部的防火墙只允许DMZ服务器打开到内部networking资源的指定连接(例如数据库服务器,消息代理) 现在,我有一个架构提案说明这个设置是不安全的。 该提案要求将两台DMZ服务器移入内部networking。 在DMZ中,它们将被“反向代理”服务器(下图中的“RP”)替代。 “RP”将接受入站请求并将其代入S1 / S2。 这里的关键卖点是内部服务器启动到DMZ中“反向代理”服务器的networking连接。 所以这: [EXTERNAL] [DMZ] [INTERNAL] Client –> || S1/S2 || –> DB,MQ 正在被这个取代: [EXTERNAL] [DMZ] [INTERNAL] Client –> || RP || <– S1/S2 –> DB,MQ RP本质上是S1 / S2(相同技术堆栈)的精简版本。 它通过由S1 / S2发起的持续连接向S1 / S2传送外部请求。 我的问题:鉴于RP的技术堆栈与S1 / S2相同(技术相同,代码较less),新设置如何提供显着的额外保护? 应用程序攻击不会受到S1 / S2的干扰吗? 具体来说,如果你妥协的RP,你也可以妥协S1 […]