问题简介:当创build新/自定义文档根目录时,SELinux不会保护标记为httpd_sys_content_t的文件和目录不被写入,删除或更改。 我已经在不同的服务器版本上重复了两次这种行为。 环境干净,新鲜安装的CentOS 7.完全通过百胜补丁。 epl回购安装。 Apache,PHP,MySQL(mariadb),phpmyadmin安装。 SELinux在CentOS 7上默认启用。getenforce和sestatus都确认SELinux正在运行。 我在apache中创build了一个简单的虚拟主机,其文档根目录设置为:/ web / sites / test1 起初,一切都按预期工作。 SELinux将不允许Apache显示该网站,直到我做了以下事情: semanage fcontext –add –type httpd_sys_content_t "/web(/.*)?" semanage fcontext –add –type httpd_sys_content_t "/web/sites(/.*)?" restorecon -Rv /web 正如所料,这样做后,虚拟主机工作。 然而,奇怪的行为是,在该虚拟主机中安装WordPress,即使httpd_sys_content_t上下文不应允许(根据我的理解),我可以通过WordPress上传图像等。 我已经确认,wordpress目录中的所有文件都被正确标记为:httpd_sys_content_t 然而wordpress仍然可以写入目录(只要老式文件权限允许)。 我提出了一个解决scheme:在执行完整的文件系统重新标记后,恢复典型/预期的行为: touch /.autorelabel reboot 重新启动后,我必须使用httpd_sys_rw_content_t上下文。 但是我想更清楚地理解为什么这样一个步骤是必要的,因为我已经读过一个完整的重新标记应该很less(如果有的话)是必要的。 有没有更容易,更不激烈的手段让SELinux的行为如预期? 为了更加简洁:我是否应该在这种情况下做一个“touch /.autorelabel”? 有没有更好的办法? 如果它没有做任何事情就可以工作(这也是CentOS 7开箱即用的错误)?
我在各地都看到了SSL经销商(比如他们的几个选项的namecheap)。 他们如何倒卖? 他们是什么倒卖? 他们有没有安全问题?
当build立一个新的服务器,我通常只允许通过密钥authentication,而不是根用户login。 因此,我编辑这样的sshd_config: 我将“PermitRootLogin”更改为“no”,并取消“PasswordAuthentification”的注释并将其设置为“no”。 虽然这工作得很好,我已经检查,发现没有办法只能通过密码login,我想知道为什么一些指南build议将“UsePAM”设置为“否”,而其他指南根本没有提及(从而保持这是“是”)。 似乎没有明确的意见,当切换到唯一身份validation时是否应该更改UsePAM设置。 离开UsePAM的安全含义是什么(“是”),如果有的话?
由Windows Server 2012 R2服务器和Windows 7工作站组成的Active Directory域使用以下组策略设置来configurationInternet Explorer安全区域: Computer Configuration/Policies/Administrative Template/Windows Components/Internet Explorer/Internet Control Panel/Security Page/Site to Zone Assignment List 但是,这对于启用了IE增强安全configuration的服务器没有影响。 我如何使用组策略configuration它们? 理想情况下,我希望相同的设置适用于和不使用ESC两次。
我有两个租用的centos服务器,一个运行mysql后端到另一个网站和邮件服务器,以及我的android应用程序的数据。 我只打算如果你通过我的应用程序或前端服务器(API或不)来访问数据服务器。 我可以指望encryption密钥吗? 我不打算在这个时候给其他任何shell帐户,只有cyrus-imapd提供的邮件如下所述。 我将只通过证书login。 我计划开发一个安全的内容提供商,build立一个SSH隧道来修改我的android应用程序的数据。 我还能期待什么样的攻击? 请告诉我, 这不会发生在我身上,或重复我的服务器被劫持的时间,并成为十亿垃圾邮件的发件人。 我放弃了商业化的CMS和面板,但是我的提供商确实使用了相似的方式。 哦,我会在两个系统上使用tripwires(奖励好的tripwirebuild议。)
对不起,如果这是一个总的新手问题,但我正在做一个激进的政治组织的前端devise工作,所有我的Linux的安装,无论是openSUSE,Ubuntu或Fedora不断变砖或只是通常在最恼人的方法。 我知道这个问题可能有很多方面,我根本不是一个系统pipe理员,但是我只是希望能够帮助解决他们的前端devise工作,而无需一直处理黑客。 那么,我是否应该采取一些基本的预防措施来阻止这种事情的发生? 这不像我甚至运行一个开放的服务器,除了我没有能够通过Skype连接到任何人没有被静态攻击,Windows似乎设法至less保持活着超过10分钟,而不会完全疯狂和/或变得模糊。 所以,我的问题是:在build立一个客户端作为本地主机服务器时,最基本的规定是什么?要阻止人们访问它来阻止我做我正在做的政治工作。 如果有人谈论SSH密钥或closures端口,我可能会一直尖叫,直到每个人都停下来,然后消失。 非常感谢你!
我正在一个小型研究中心工作,这个研究中心需要在紧张的预算中独立pipe理很多事情。 其中之一是IT基础设施,包括networking和电子邮件托pipe。 虽然我还没有成为系统pipe理员,但我迄今成功地在托pipe公司find了一个价格合理的根服务器,build立了我们的网站和networking应用程序,并使它们运行了几年。 到目前为止,我们的电子邮件已在外部托pipe,这意味着我们付出的代价很小:最大875Mb电子邮件存储空间。 35个POP邮箱。 由于电子邮件客户端中的本地收件箱损坏导致了一些数据丢失之后,我决定至less调查使用我们所雇用的根服务器上存在的postfix / qmail邮件服务器的选项。 乍一看,有很多优势:我们可以切换到几乎不受限制的IMAP帐户,将电子邮件包含在服务器备份中的电子邮件帐户中,每个邮箱使用更多的存储空间等等。最重要的是,邮件服务器已经包含在我们为web服务器支付的费用中,所以我们可以减less外部电子邮件托pipe费用,甚至可以less花钱多得多。 技术部分已经足够有趣了:我已经能够设置它(发现Plesk面板的优点),原则上我们可以马上切换到新的电子邮件服务器。 然而,我不确定我是否能够正确估计pipe理电子邮件服务器所涉及的风险。 当然,我在所有电子邮件帐户上启用了SpamAssassin和防病毒软件(Plesk Premium antivirus),设置了一个SSH证书,并将SPF,DMARC和DKIMlogging添加到了我们的DNS中。 我主要担心的是:这是否足够,被攻击的机会和整个服务器被攻破的可能性是多less? 例如,我已经注意到,即使在这个过早的testing阶段,QMail日志也是如此: Dec 15 17:07:00 server4545 postfix/smtpd[23838]: connect from unknown[91.200.13.5] Dec 15 17:07:00 server4545 plesk_saslauthd[24512]: Invalid mail address 'albert@' Dec 15 17:07:00 server4545 postfix/smtpd[23838]: warning: unknown[91.200.13.5]: SASL LOGIN authentication failed: authentication failure Dec 15 17:07:00 server4545 postfix/smtpd[23838]: lost connection after AUTH […]
在胜利,我们可以使用组策略,但是我的公司使用centos6.5 destop作为os。 我的老板想避免信息泄漏。 那么,有没有办法在centos中禁止usbdisk?
我有esxi的专用服务器。 我为esxi添加了额外的用户,并将其密钥添加到/etc/keys/keys-user/authorized_keys 然后我重新启动服务器,密钥文件夹已经消失。 然后我发现我需要复制一些持久性存储中的密钥,然后把命令放在/etc/rc.local.d/local.sh但我已经看到,即使该文件重新启动后重写。 所以我的问题是 在哪个文件我需要写,以便它坚持重新启动 现在我想禁用密码authentication。 我知道我可以在sshd_config中做到这一点。 但我希望它是非永久性的。 我的意思是我想手动禁用它,如果我重新启动,然后我希望它被重置回启用身份validation的原始文件 UPADTE我已经设置了防火墙规则,只有我的家庭IP可以访问ESXI,没有别的。 现在,以防万一我无法连接,然后我想要的是ssh和禁用防火墙一段时间,可能会更改防火墙规则的新IP,然后重新启用防火墙。 这就是为什么我想要SSH访问。 几天后,我有root帐户被locking,因为有人暴力强制。 所以只是万一我想有额外的用户,我可以ssh到解决问题。 我已经启用了基于ssk密钥的身份validation,但是是公开的。 所以我想限制SSH只有家庭IP,并在紧急情况下,如果我的IP变化,那么我可以重新启动ESXI,以便基于密码的身份validation工作,然后我可以修复防火墙。 我是家庭用户,所以不能在esxi上购买硬件防火墙。 我有pfsene内部机器。 我没有任何公共网站只有我的实验室的东西。 我不想把esxi放在pfsense的后面,因为如果pfsense出了问题,我会被locking,除了重新安装所有东西
我需要提供我们的办公室与Wi-Fi,但他们应该只能用于WhatsApp的应用程序。 其他一切都应该被阻止。 我看了一些承诺“应用程序控制”的UTM,但在我所有的谷歌search,我无法find一个成功的案例,正是我想要做的。 我目前在这个互联网服务上没有防火墙。 有什么build议么?