我有一个网站,用户通过CMS上传文件。 例如http://www.mysite.com/uploadedfiles/file1.txt 我想阻止互联网上的用户能够将这个URLinput到浏览器并直接访问这些文件。 我怎样才能做到这一点? 我仍然需要允许IIS通过CMS读取,修改和删除这些文件。
我有麻烦了解什么问题可能会导致服务器突然高负载峰值偶尔挂起。 我不是一个系统pipe理员(我是一名PHP程序员),但由于官方系统pipe理员相当缺乏努力,我被要求自己找一个解决scheme。 服务器运行在Debian Lenny上,通过apache提供一个基于wordpress + vbulletin的站点,每天访问40-60k次。 在完成所有应用程序端的优化之后,我们可以确定网站运行的情况,甚至几个星期,然后跳到一些使服务器负载跳到80+以上的情况。 停止Apache重新启动它有助于,但它通常会自己平静下来,如果有足够的时间。 它可以在一天内“崩溃”两次,或几个星期没有问题。 这似乎是完全随机的。 一个奇怪的具体事情发生了。 我被警告一个奇怪的行为,经过检查,我发现.htaccess文件改变为redirect来自search引擎的stream量到一些外部网站。 我检查了代码和每个插件(全部是最新的),最后尝试了“hard way” chown ing .htaccess到root.root 。 奇怪的是,当另外一个问题出现的时候,我发现这个文件改回归属于分配给网站虚拟主机的用户。 我知道这种事情没有办法通过某种networking攻击来实现,或者我错了吗? 我怎样才能find这个高负载尖峰的原因? 什么可以解释一个root.root文件更改权限,其他的人有root权限呢? 这两件事情可能与某种攻击有关吗?
我的Web服务器和数据库服务器是分开的。 我所做的所有保护networking服务器都是使用ufw并且除了端口ufw和443以外都被拒绝。还有什么其他的东西需要做? 在我的数据库服务器上,我只允许从端口22和数据库(mysql)侦听的端口。 这让我想知道。 通常我只是允许所有的stream量。 在数据库的情况下,我通常做严格的“用户”,并说只要软件如“只让用户@ internal_ip_address访问数据库”的东西。 但是,这应该是一个防火墙的东西? 或两者? 似乎如果防火墙只允许从我的networking服务器的内部IP地址到端口22和3306的stream量,这应该是够好的? 你们两个都只是出于“良好做法”吗? 我应该为这些设置什么其他一般的防火墙规则?
我已经使用这篇文章: http : //developer.apple.com/library/mac/#documentation/MacOSXServer/Conceptual/XServer_ProgrammingGuide/Articles/SSH.html为了帮助设置SSH证书(我在Mac OS X)。 我看到密钥被放在一个名为authorized_keys2的文件中。 这个文件被称为什么? 另外,在非个人服务器(其他人可能拥有root访问权的服务器)上使用相同的authorized_keys2文件是安全的吗? 他们能够使用它以某种方式访问我的个人服务器吗? 或者我为不同的服务器/服务器组使用单独的授权文件? 有没有其他好的“一般做法”,只要有几个本文没有提到的基于密钥的身份validation的服务器?
有时我们有支持和维护人员整天login到我们的生产应用程序和SQL Server,有时候跳进来运行SQL各种查询。 然而,这个问题不是关于运行SQL查询,而是关于RDP连接打开,用户帐户(admin)连续数小时login。 除此之外,它正在占用用户帐户之一,在劝阻这种行为时还应该引用哪些其他问题?
所以,我想知道是否有可能为子域名购买通配符ssl证书。 因此,例如,我有子域test.domain.com传播到我的服务器。 我希望sub1.test.domain.com和sub2.test.domain.com都通过相同的通配证书进行保护。 那可能吗? 谢谢
我最近读到了一些有关MS如何向美国政府交付数据的消息。 ( http://www.theregister.co.uk/2011/07/04/eu_customer_cloud_data_may_be_handed_over_by_microsoft/或http://yro.slashdot.org/story/11/07/05/1840243/Patriot-Act-vs-the- EUs-Data-Protection-Directive ) 我们的一些客户可能会担心这一点。 MS确实拥有欧洲的数据中心,但是我想知道是否有人知道这些数据中心是否也可以成为目标?
我正在接pipe一堆服务器作为一个新手系统pipe理员,其中包括一个前端Web服务器,和几个后端服务器,其中包含数据库,包括Web服务的用户的私人信息。 对于初学者,我禁用了SSH密码authentication。 我想知道在login身份validation方面我还应该注意哪些方面,以确保服务器的合理实力(优先级),并且还可以减轻将来pipe理问题的任务(第二优先级)。 问题1 :是否build议设置一个“垫脚石”服务器,如下面的图(2)所示,这将是唯一一个端口22开放的服务器? 它会使后端服务器更安全吗? (1)平板形状 – 没有垫脚石(当前设置) [dev machine] – pub key auth – [Frontend]* private key A public key A [开发机器] – pub key auth – [后端] *私钥公钥A (2)星形 – 垫脚石 [dev machine] – pub key auth – [S- stone] – ? – [Frontend/Backend]* private key A public key A [dev machine] […]
我最近安装了一个新的分区,并将/ home和/ var / lib / mysql移动到新的驱动器上,并为它们build立了一个符号链接。 现在我注意到,使用munin的熵已经从3000左右降到了100-200左右。 数据挂载和移动是否会造成这种情况? 我使用这个作为一个Apachenetworking服务器来面对公众用户的网站,我也注意到了负载的增加(可能是由于低熵造成的?) 如果这是一个大问题,我想找出解决低熵问题的方法。 我读过,我可以通过使用rng-tools添加熵并切换到使用urandom。 人们说这对安全意识不强的系统来说不是一个好的方法。 但是,这会很好的一个networking应用程序? 这会让我的networking应用程序(我们对密码和确认链接之类的东西使用encryption(散列)),但是我不确定这个程序有多less属于“安全意识”。 有任何想法吗? 我正在使用云实例CentOS 5(虚拟机)。
我正在确保从中国,俄罗斯和美国的服务器获得每秒数百个自动请求的目标的OSX服务器(请参阅: 恢复服务器成为开放中继 )。 我已经使用ipfw来设置排除所有本地IP请求(例如10.0.0.0/8,172.16.0.0/12,192.168.0.0/16)的规则。 设置ipfw规则和在hosts.allow / hosts.deny实现类似的规则有什么区别? 据我了解, hosts文件影响tcp-wrapped服务(所以可能不如ipfw整体)。 这是否也意味着他们后防火墙(所以没有使用两者)?