我想弄清楚我所在的主机networking是否在我的VPN连接中注入TCP重置。 我有一个私人的OpenVPN服务器,最近我通过TCP端口1194连接的尝试已经被TCP重置消息奇怪地中断,导致OpenVPN客户端进入重启循环。 我怀疑本地networking基础设施不喜欢这个,并试图阻止它。 将端口更改为1195后,此问题完全消失,表明这不仅仅是openVPN客户端或服务器中的一些错误。 所以我的问题是这样的:这个神秘的TCP注入重置了一个常见的技巧来阻止不需要的连接? 这似乎有点奇怪 – 为什么不阻止端口或发送其他TCP控制消息来终止连接? 上个星期,我通过TCP连接到1194端口没有问题。 奇怪的TCP重置刚刚出现在这个星期。 提前致谢!
我试图在我的一些戴尔服务器(R210,R410,R510)上保护iDRAC和BMC。 我想限制访问IPMI命令只有几个IP地址。 我已经使用http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac10mono/en/ug/html/racugc2d.htm#wp1181529中的说明成功地限制了对iDrac的访问,但IP限制不会影响IPMI。 一个单独的pipe理networking在这个时候是不实际的,因为缺乏或端口和一些戴尔BMC的不提供一个单独的端口。 我的networking小组告诉我们,我们的交换机不支持中继,因此使用vlan标记也不是一个选项。 有没有办法限制IPMI访问允许的地址列表? 仅供参考,由于各种原因,我将戴尔服务器与BMC,iDrac Express和iDrac企业pipe理function混合使用。 更新:我的箱子都在交换环境中。 我的服务器或工作桌面之间没有NAT。 我正在使用ipmitool -I lanplus -H myhost -u root -p密码-K sol activate“通过IPMI与串行控制台交谈。 Update2:当我处于交换环境中时,我无法更改由不同部门pipe理的networking交换机。 networking部门不喜欢在路由器上设置ACL,不能在端口上使用vlan标记。
我正在添加一个新的用户帐户(到一个CentOS 6.2框),它将只使用ssh密钥身份validation(当然还有一个强大的密钥密码)。 我在sshd_config中禁用了ssh密码validation。 我应该甚至使用passwd为他们设置密码? 是否有安全问题没有创build密码?
这一个小时我得到了大约20万 帐户login失败。 主题:安全ID:SYSTEM帐户名称:TGSERVER $帐户域:WORKGROUPloginID:0x3e7 logintypes:4 帐户login失败:安全ID:NULL SID帐户名称:pipe理员帐户域:TGSERVER 失败信息:失败原因:未知的用户名或错误的密码。 状态:0xc000006d子状态:0xc0000064 进程信息:调用者进程ID:0x334调用者进程名称:C:\ Windows \ System32 \ svchost.exe networking信息:工作站名称:TGSERVER源networking地址: – 源端口: – 详细的身份validation信息:login过程:Advapi authentication软件包:协商转换的服务: – 软件包名称(仅限于NTLM): – 密钥长度:0 login请求失败时会生成此事件。 它是在尝试访问的计算机上生成的。 主题字段指示请求login的本地系统上的帐户。 这是最常见的服务,如服务器服务或本地进程,如Winlogon.exe或Services.exe。 logintypes字段表示请求的logintypes。 最常见的types是2(交互)和3(networking)。 “进程信息”字段指示系统上的哪个帐户和进程请求login。 networking信息字段指示发起远程login请求的位置。 工作站名称并不总是可用的,在某些情况下可能会留空。 身份validation信息字段提供有关此特定login请求的详细信息。 – 转换的服务表明哪些中间服务已经参与了这个login请求。 – 软件包名称指示在NTLM协议中使用哪个子协议。 – 密钥长度表示生成的会话密钥的长度。 如果没有请求会话密钥,这将是0。 在我的服务器上…我把我的pipe理员用户名改成别的东西,从那以后,我一直在处理这些消息。 我在http://technet.microsoft.com/en-us/library/cc787567(v=WS.10).aspx上发现,4表示“批处理服务器使用批处理logintypes,其中进程可能正在执行的用户没有他们的直接干预。“ 这对我来说确实没有任何亮点。 我检查了服务,他们都以本地系统或networking服务login。 没有pipe理员。 任何人有任何想法,我怎么告诉这些来自哪里? 我会认为这是一个计划,正在剔除… 提前致谢!
我很好奇为什么在Apacheconfiguration中默认启用Options Includes Indexes 。 任何人都知道这是为什么,因为它出于安全原因通常是皱眉?
我有SSH访问服务器,出于某种原因,我想locking/密码保护或encryption主分区。 对我来说,尽可能以最好的方式做到这一点非常重要,除非我告诉他们密码或方式,否则我不希望任何人破解和访问这些数据。 (他们有物理访问服务器,但我没有)在几年前,我安装了一个第三方程序,当我设置了这个程序的密码后,一个分区没有人可以访问,没有密码。 …我正在寻找一个类似的程序来做到这一点在Linux中。 谢谢
我们正在将应用程序从Solaris迁移到Linux,并允许主用户通过使用RBACangular色来运行一些系统命令,如svccfg / svcadm(在redhat上的chkconfig)。 是否有可能,只使用SElinux(无sudo),允许一个普通的用户运行chkconfig off / on(基本上可以添加删除服务)? 我的方法是尝试创build一个具有相应SElinuxangular色的SElinux用户,该用户pipe理应用程序的域/types,并允许转换到运行chkconfig,tcpdump或任何其他通常仅限于root访问的系统实用程序所需的所有其他域。 到目前为止,我所有的尝试都失败了,所以我的第二个问题是在哪里可以find适用于这个特定问题的良好文档?
我刚刚把我的CentOS 5.8 64 [final]服务器设置为一个networking服务器。 规格:2x E5620 Intel CPU,DDR3 RAM,硬件Adaptec RAID 10,4x SAS驱动器。 我已经安装了自己: Nginx PHP-FPM MySQL [ourdelta.org version] Sphinx Vsftpd Fail2ban Citadel [ddos flood protection] Munin NTP Htop Iptraf 这些都是我主动用来运行我的网站的东西。 现在我的问题: 我发现这篇文章: http : //www.vr.org/kb/1002/Optimize-and-disable-default-CentOS-services.html 其中谈到了可以禁用的整个服务列表。 这是他们build议的清单: chkconfig anacron off chkconfig apmd off chkconfig atd off chkconfig autofs off chkconfig cpuspeed off chkconfig cups off […]
我已经configuration我的MySQL数据库要求在所有用户上的密码,甚至根机器本身。 现在我发现我的数据库中有空的用户 重现: mysql -u root -p然后use mysql; select * from user; 它给了我两个条目,一个用“localhost”和user <empty>,一个用机器的主机名和<empty>。 现在我试着用mysql -u ' '来访问这个帐户(是的,这是正确的,在'东西之间留下一个空间),我没有密码login。 用户只能“看”information_schema和testing,默认情况下创build的两个数据库。 他没有访问MySQL或任何其他自定义创build的数据库。 我已经把这个用户的密码改成了我不会告诉你的东西 mysql -u root -p use mysql; UPDATE mysql.user SET Password=PASSWORD('thisisasecretpassword') WHERE USER='root'; FLUSH PRIVILEGES; 现在我的问题: 是否有任何MySQL服务器容易受到这个条目的攻击? 攻击者能否打破这个帐户或两个默认数据库? 我应该密码保护这些用户还是我可以删除它们? 他们是否需要一些MySQL内部的东西?
我有一个名为“git”的专用系统帐户,由gitlab / gitolitepipe理。 连接到这个帐户的用户总是使用SSH密钥,“git”用户没有密码。 如果用户没有使用SSH密钥或错误configuration的密钥连接,他们会被要求input密码而感到困惑。 我正在寻找一种方式来设置服务器,以便在这种情况下,它不要求input密码,而是显示某种用户友好的信息(“您的密钥丢失或无效”等)并断开连接。 这是可能的,无论是在sshdconfiguration,或以其他方式(PAM也许)? 请注意,我不问如何设置公/私密密码连接。 只是如何防止服务器要求一个特定用户的密码。 (据我所知,这样的设置揭示了一个潜在的攻击者在系统中存在用户“git”,但由于“git”没有密码,攻击者可以很容易地确定它的存在,我认为这只是一个低风险。