我正在build立一个新的Ubuntu 13.04服务器。 我创build了一些用户,并将ssh身份validation的公钥复制到他们的主文件夹中。 通过密码login将被禁用。 到目前为止一切正常,但如果我通过SSH +私钥login,我不能sudo。 我必须input密码,但所有的密码都是空的。 我发现了几个提示如何更改/ etc / sudoers,但也有很多警告不要手动编辑文件。 所以我的问题是: 只使用没有密码的公钥/私钥authentication是安全的吗? 什么是configuration这种行为的正确方法?
有没有办法分配自定义SELinux上下文到应用程序,尽pipe分配给它的二进制文件的上下文?
为了安全起见,我想限制Asterisk中每个分机的同时呼叫。 例如,当用户正在通话时,其他人不能通过该分机进行呼叫。 我怎样才能做到这一点?
我们目前正在运行Exchange 2010 SP1。 我想看看谁已被授予完全访问权限或发送特定邮箱的权限,问题是我们没有审计日志logging打开此邮箱。 我们可能有一个正在窥探的IT员工,我们想停止这个… 我的问题是:有什么地方(系统日志等),我可以跟踪这个交易?
数据中心或SaaS提供商的具体操作stream程如何描述? 它在哪里描述了谁可以访问生产硬件的限制? 这个文档是公开的吗? SSAE16.org进入了很多广义的圈子。 我看到了一个链接来购买一本书,但我想确保它是正确的材料( http://www.cpa2biz.com/search/results.jsp?N=4294967176+4294966607 ) 背景:我知道有很多关于“吸血鬼和狼人”辩论的post,我对devops运动很熟悉,但辩论不是我的问题。 一个棘手的问题是审计(特别是第16页)。 审计的共同概念是“职责分离”,最终限制了开发者对生产系统的访问。 在过去,审计基本上证实了你“按照你所说的去做”,然而许多人似乎暗示说,ssae 16不仅仅是将审计标准化,而且实际上为数据中心和服务提供者增加了具体的断言。 如果我要推出像devops这样的东西,我需要确保我能够充分地覆盖审计问题。 我意识到这不是关于计算机系统,但我认为它肯定属于“专业系统和networkingpipe理员”的关系。 TIA
使用WEVTUTIL.EXE导出Windows Server 2008安全事件日志,我得到一个权限问题(我有pipe理员权限): c:> wevtutil epl security test.evtx “导出日志安全失败,访问被拒绝” 我正在尝试编写一个脚本来备份和清除应用程序,安全,设置和系统事件日志。 安全日志是唯一的问题。 我如何备份和清除它? 我想知道这样做的“正确”方式,因为我不想让保安人员(审计员,法医学等)感到不安。
pipe理层希望我创build一个脚本/应用程序/古老的神奇工件,允许现场技术人员在我们的configurationpipe理器服务器上执行任务(更新集合成员资格 – 通过WMI调用很容易完成),而无需实际给技术人员执行所述任务的权限。 想到的第一个解决scheme是创build一个具有必要权限的服务帐户,然后find允许技术人员在该帐户下运行命令的方式,而不实际向服务帐户泄露该帐户的凭据。 我想我可以通过非对称encryption技术来encryption证书,但是我对encryption还是很不了解,所以我会很困难的。 我正在看的另一个选项是创build一个自定义的WMI方法提供程序,它将使适当的WMI调用来完成我需要的一组约束内的任务,我想使用pipe理需要的工具对技术人员执行这些约束。 然后我只需在ConfigManager服务器上注册这个提供者,并给现场技术人员“Execute Methods”权限即可。 在我深深地打破我的org的SCCM服务器之前,疯狂的自定义WMI垃圾可能会让我的继任者难以修改或重新创build,有没有什么显而易见的东西让我感到愚蠢或不可行? 否则,还有没有其他常见的做法可以让我们的技术人员执行一个他们没有专门做的任务呢?
我正在运行SendMail 8.14,并有一些自定义静态路由发送到某些域。 这些域是“内部的”,但不是由我直接pipe理。 这是/etc/mail/mailertable的一个例子: fooexample.com esmtp:[1.1.1.1]:[2.2.2.2] 这里的想法是,我总是想尝试发送到1.1.1.1首先,如果主要不可用,只发送做2.2.2.2。 这很好。 它甚至使用机会主义的TLS。 呜呼。 我现在想发送到这个域时强制/要求 STARTTLSencryption。 这样,如果我发送到1.1.1.1,他们以某种方式没有TLS,我不会让消息通过。 我在过去已经实施了这个外部域名政策,并且历史上只是把它添加到/etc/mail/access : TLS_Clt:exampledomainname.com ENCR:112 (其中examplehosthost.com是系统MX / Alogging主机名的一部分 – 不一定是电子邮件域…因为电子邮件现在可以由云服务处理)。 Annnnnyway,我不知道这是否适用于我的新场景,因为我正在使用静态路由,而不是parsingMX / Alogging(这是我认为TLS_Clt最终看的。 所以我的问题是: 1) TLS_Clt究竟在匹配模式中寻找什么,如果我指定一个静态路由,它是如何validation的? 2)我可以简单地添加TLS_Clt:fooexample.com ENCR:112 ? 或者应该是这样的 TLS_Clt:1.1.1.1 ENCR:112 TLS_Clt:2.2.2.2 ENCR:112 谢谢。
我一直在列举我后端生产服务器上的其余安全问题,当时我意识到我的操作系统上游存储库中缺less一些可能非常有用的东西。 我一直在寻找一个PAM模块 ,它检查远程主机IP地址对DNS阻止列表 ( DNSBL )。 我的使用案例是…虽然IDS软件可以在检测到探测,漏洞扫描或蛮力攻击之后做出响应 – 某些服务(ie Apache2, proFTPd, Sendmail, SpamAssassin)包含DNSBL模块或function,这有助于大大减less可以参与攻击的计算机数量。 它通过阻止已知的感染或僵尸机器,公共代理和TOR出口中继节点(例如)来实现这一点。 其他人,据我所知,不。 Dovecot/Saslauthd不包括这样的function。 这些在我的networking上经常遭受powershell攻击 。 这些服务仍然由IDS系统覆盖, 但遭受了大部分的攻击 。 使用一个PAM模块来检查远程主机IP,在authentication过程中,对DNSBL进行检查…有效地, 所有的服务都可以具有这种额外的弹性,以抵抗分布式的暴力攻击或探测(限制可用于所述可能的机器攻击) 我想知道是否有一个现有的PAM模块来达到这个目的? 如果没有,为什么开发商忽略了这一点? 这将是一个令人难以置信的简单的模块,(在我看来)可以为一个伟大的目的.. 目前,我已经写了一个脚本,它与PAM进行接口(通过“pam_exec.so”模块)。 出于某种原因,这是行不通的(只是导致BASH崩溃)。 当我有机会,我打算尝试“pam_script.so”模块。 我愿意编写一个PAM模块来做到这一点,但是我不确定将一个软件放入Debian或Ubuntu Repositories是多么困难。 谢谢
我试图从外部USB驱动器复制数据到我的W2008服务器,g:\ parent_directory d:\ server_shared \ parent_directory。 不幸的是,我select了在D = Data,A = Attributes,T = Timestamps,S = Security = NTFS ACL,O = Owner信息,U = aUditing信息上复制的“copyall”参数。 完成后,所有文件夹和子文件夹都有一个locking图标,并指定了“无安全性”设置。 我试图改变所有权和安全设置,但变得一塌糊涂。 从服务器删除父目录重新开始。 任何人都可以确认,我应该只使用默认参数,DAT为了将数据复制到服务器,而不会导致新的服务器位置上的安全问题? 那么我可以分配访问到适当的域安全组,然后共享文件夹? TNX