我刚刚安装了一个新的专用服务器,并且已经设置了基本的安全措施。 相关证券我补充说: 只能通过私钥login 改变了ssh端口 根无法通过SSHlogin,创buildpipe理员用户“詹姆斯”< – 我的主要问题涉及到这一点 我以“james”身份login,他是“admin”组的成员。 我可以在这个帐户上做任何事情,但我不能做到以下几点: tail -f /var/log/apache2/access.log 我无法访问access.log文件,即使我以为(因为我是pipe理员)我应该能够做到这一点。 我怎么能给“詹姆斯”直接访问这些文件,以及其他需要root访问,而不必su根为所有的时间(我想禁用此),而不需要更改权限777(死亡)?
我们有一个服务器,有一个开放的远程桌面端口到互联网(没有VPN)。有几个人可以远程login到本机。 服务器运行Windows 7(桌面操作系统)。 我可以使用事件查看器查找login时间,但不显示远程计算机的IP地址。 无论如何,手动浏览所有login事件的事件查看器将是非常耗时的,至less可以说)。 是找出哪些IP地址使用Remote Dekstop的方法?
是否有可能创build一种VLAN或私有azure色的局域网thingy ..在哪里我可以把任何新的工人或虚拟机在该VLAN? 原因之一是因为我希望在虚拟机上创build一个SQL服务器(很好,这很简单),然后添加以下防火墙规则 =>阻止所有除外 a)我的工作是静态IP。 (简单) b)我的家庭静态IP。 (简单) c)这个私人azure色局域网的VLAN(不知道) 这里的想法是,我只希望我的工作人员(和我们的网站),这是我们的Azure订阅的一部分,是唯一的地方,可以访问SQL服务器+这两个“特殊”IP的。 当然,有人可以闯入其他虚拟机之一,然后“访问”sql-server-vm ..我明白了…但这只是加强我们的服务器的一部分。 可以这样做吗?
所以在我的生产环境中,我有一个带有8个CPU和40G内存的戴尔XS23机架,内含vmware esxi。 我之前分区的方式是2个API服务器(四核,8gig ram)2个数据库服务器相同的规格,等等。 这样做的理由是具有负载平衡以及复制,故障转移等,但都运行在单一硬件上。 正如你可以看到你添加的虚拟机越多,显然在实际的操作系统上会浪费更多的磁盘/ CPU / RAM,所以在这种情况下,Docker会非常有利。 现在我的问题是,我应该只创build一个运行所有Docker容器的大型服务器,还是应该有我的虚拟机,并在其中运行docker(因为Dockertypes的目的不同):由于Docker相当新颖,在网上find很多文档我正在诉诸ServerFault社区的一些想法。 谢谢!
我们正在构build一个基于API的基于Python的networking解决scheme,并将交付给个人客户。 每个客户将有一个单独的数据集。 目前,为每个客户部署一个应用程序+数据库实例并不是一个问题,但是这对于更多的客户来说会变成一场噩梦:想象数以百计的这样的实例和pipe理费用。 显然,解决scheme应该更加“集中”。 但是,数据是相当敏感的,所以我们不能把所有的东西放在一个单独的数据库中:一个受损的服务器和数据库密码将导致所有数据的泄漏。 这样的风险是不可接受的。 开发分布式API服务器平台时需要考虑哪些正确的技术? 哪些聪明的做法将使解决scheme更“集中”,以便摆脱那么多的实例,但仍然保持数据的隔离?
我们运行邮件服务器(postfix / dovecot / centos 6.4)。 硬件基于具有IPMIfunction的超微基础。 它还运行访问邮件的Web界面(Apache Web服务器) 最近我们的区议会表示,我们正在发送按照他们的说法触及1.3Gbps的出站DDOS攻击。 他们无视知识产权。 根据我们的请求,他们再次激活IP。 现在我们正在监视服务器,看到exception的出境交易,速度为2mbps,我们没有发过多less电子邮件),每30分钟后高达30mbps的峰值(根据New Relic Monitor的数据) 该提供商表示,我们可能正在运行DDOSreflection攻击。 服务器login是安全的,authentication日志说没有任何exception 我们没有任何DNS服务器运行。 另外NTP在客户端模式下运行并且是安全的。 nettop,iptraffic,nethogs显示一切正常,只有在ifconfig中传输和接收的stream量总结说关于发送的大量数据。 同时我们也禁用了我们的IPMI上的NTP客户端,因为我知道超微IPMI易受NTPreflectionDDOS的影响。 在这一点上,我无能为力,正在寻求专家的帮助。 帮助将不胜感激!
我们的一位用户偶然发现,他可以在家里从智能手机上访问我们的networking文件。 不需要VPN。 他被发送了一封电子邮件,内部链接到他的android上的networking共享。 当他打开电子邮件并点击链接时,他可以在家中浏览我们的文件。 查看访问日志,他访问的共享和文件连接来自我们的邮件服务器(Exchange 2010)。 我们没有运行SharePoint服务器,当然也不在Exchange服务器上运行。 这个function/function叫什么,可以closures这个function? 我应该关掉这个吗?
所以我负责研究Acunetixnetworking安全扫描发现的问题。 以下是有关扫描的详细信息: Host_header_attack 主机头部攻击的自动检测 由于我没有足够的声望,所以我不能发布两个以上的链接,但是上面的第一个链接上的结构参考文献更详细地介绍了这个漏洞,似乎是这个主题的主要来源。 build议的解决方法build议使用“虚拟”默认虚拟主机和应用程序使用SERVER_NAME而不是使用主机头 。 当谈到一个真正的原始服务器时,这些build议是非常棒的,但是当你使用一个反向代理时,这些build议并不多。 我们的Acunetix正在扫描的网站被设置为一个位于逆向代理之后的应用服务器。 在我们的例子中,反向代理是iPlanet,但是我已经使用mod_proxy在Apache 2.4.7中确认了相同的行为。 这是它是如何工作的,为什么它会触发Acunetix扫描。 当使用绝对URI进行请求时(正如扫描程序所做的那样),根据RFC规范,服务器将忽略主机头,而是使用绝对URI内的主机。 这是我们看到的行为,因此,即使Host标头具有不正确的/恶意值,也会select正确的虚拟主机。 到现在为止还挺好。 当反向代理将此请求传递到后端原始服务器时,会出现问题。 当它这样做的时候,它会把原来的Host头和请求一起传递。 如果主机头有一个不正确的或恶意的值,这将被传回原始服务器。 如果源服务器不实现虚拟主机,则不需要validation主机头是否正确。 这样做的结果是任何运行在试图使用Host头的值的原始web / app服务器上的应用程序都将使用恶意主机值。 在这种情况下使用SERVER_NAME是没有用的,因为站点的服务器名称(或者真正的主机)没有被反向代理转发,并且源服务器仍然响应主机头值。 在这里使用UseCanonicalName和ServerNam e指令也是没有用的,因为您需要原始请求中的服务器名称(可能是多个值)。 这个“攻击”是在2013年发现的,但是我找不到很多关于它的信息,不仅仅是重复上面引用的细节。 这不是一个常见的问题,因为HTTP客户端不会发送绝对URI,除非他们正在与转发代理服务器交谈。 这意味着所有常规的请求都是相对的URI,这个问题就会消失(恶意主机头然后卡在反向代理上的“dummy”或默认虚拟主机上)。 我确实创build了一个解决方法,在请求发送到后端之前,反向代理主动将主机头设置为SERVER_NAME 。 这是有效的,但是我担心它是否可能是一种违背押注做法/标准的解决scheme。 将这样的主机头设置为什么会破坏? 我们对此进行了头脑风暴,但我无法想象它会如何。 我明天将打电话给甲骨文,以获得他们的反馈。 在我看来,这可能是一个这样的边缘案例,这只是我尝试的两个Web服务器产品的一个疏忽,但我无法想象有什么事情会持续很长时间而没有得到解决。 我肯定错过了什么。 对不起,这是很长的时间,但是,有什么想法? :)这篇文章的“问题”部分是这样的: 上面的解决方法是一个很好的解决scheme,还是会打破? 有这个问题的已知解决scheme吗?
我运行一个约700个注册用户的网站。 在典型的一天,有30-50点击。 在过去的三天里,stream量疯狂地快速增长(根据Google Analytics)。 今天我得到了7,287次点击。 我的新注册用户数量没有按比例增加。 看来他们大部分来自俄罗斯,这很有趣,因为我在美国,而我的网站只是英文。 现在,我做了一些Googlesearch,查看Google Analytics中所有这些推介链接的情况。 我已经读到,其中大部分是俄罗斯的转介垃圾邮件点击,其中有人从我的HTML刮我的Google Analytics(分析)密钥,然后他们只是打了几千次Google Analytics(分析)烦扰我,没有实际从我的服务器请求任何东西没问题,但我认为这使Google Analytics(分析)几乎没有任何价值,因为现在我的数据被污染了,但是除此之外…)。 然而,我的Nginx日志显示在过去几天的交通量显着增加。 俄罗斯的转介垃圾邮件仅占Google Analytics总数的一半。 我真的不知道为什么有人会一次又一次地打我的网站,它需要人为的互动,从我的网站获得任何有意义的内容。 我能做些什么来保护自己免受这种非法交通? 我唯一的select开始黑名单IP地址?
在设置一个应该彼此隔离的多个站点的托pipe环境时,我做了一个很明显的步骤,即configurationPHP,使其作为与每个站点相关联的用户运行,而不是像Apache用户那样运行,但有没有某种方式为了确保一个站点不能像Apache用户那样运行用其他语言(例如Python)编写的脚本? 我已经看到了像符号链接攻击这样的聪明攻击,它使用.htaccess规则和符号链接来欺骗Apache从其他网站以明文方式提供PHP文件(这与问题无关,只是一个例子),而且因为我不熟悉PHP以外的服务器端语言的设置,我不知道要通过Apache conf文件来检查和/或禁止什么,以确保以其他语言编写的脚本不能作为Apache用户。 例如,尽pipePHP设置为以网站用户身份运行,但如果网站遭到黑客入侵,黑客是否可以创build一个.htaccess文件,将.abc文件设置为以Perl脚本运行,如果服务器上的configuration不正确那么那些作为Apache用户运行? 什么是最好的方法来解决这个问题?