你知道什么是最有用的防火墙规则集? 它不一定要阻止攻击,你可能只是与攻击者玩。 任何types的防火墙都可以,Packet Filter(比如iptables)甚至Web Application Firewall(比如mod_security)。
据我所知,joinWindows AD计算机总是安全地识别/authentication之前DC(使用自动更改的计算机帐户密码)。 现在,我阅读(在非英文文章中)始终应该在AD中configurationIPSec。 为什么? 假设AD在互联网上很安全,甚至在公司严密的环境中没有互联网连接。 什么时候IPSec“必须”为AD? 顺便说一下,为什么总是需要AD计算机的安全authentication呢? 可以将DCconfiguration为不安全的计算机身份validation(例如,在小型开发/testing环境中)? ———- UPDATE1: 有了这个非常安全,非常灵活,非常简单的IPSec,怎么回到不安全的AD计算机? 我是否正确理解AD计算机的安全authentication是不可能的 工作组用户和AD用户帐户之间的单点login 在工作组Windows中使用AD用户帐户进行RunAs和二级login(反之亦然) 这是发展的屁股或小公司基础设施的痛苦。 这种灵活性没有多大意义(有IPSec)?
显然,我可以net use * http://servername.com这个概念对我来说是全新的。 这是否意味着我正在使用WebDAV? 什么是安全影响? 如何以这种方式读取/写入文件? 为什么它不适用于每个网站? 是否有可能使用这种方法编写文件?
我将一个典型的LAMP应用程序从Red Hat 5.3迁移到EC2,并且在社区中找不到CentOS 5.3映像来满足我的需求。 我没有时间推出自己的AMI。 创build我自己的回购和更新亚马逊的股票Fedora 8到目前为止certificate是困难的,我担心使用它作为基础将暴露安全漏洞,虽然内核已经更新到2.6.21.7-2 。 有人可以推荐一个RHEL5.3二进制兼容的AMI吗? 如果不是的话,Fedora 8的回购安全补丁信息在哪里? 我当时的印象已经达到了EOL 。 在生产中运行Fedora 8的想法对我来说是可恶的 – 任何人都可以解释为什么它是由亚马逊提供的,以及它是否适当修补?
我试图说明,将数据作为input并直接写入文件而不parsing,检查或消毒是一种安全风险。 任何人都可以展示一个如何被利用的例子。 我在想,可能有办法开始写一个新的文件,而不是它应该的。 如果这是可能的,我可能会写入一个名为ls或更less的文件等 对不起,我忘了提到操作系统。 这是Solaris。 这些文件只是稍后可能要读入数据库的数据文件,但我不想指望数据库是唯一的漏洞。 这台服务器上的程序正在侦听一个端口,我可以连接并发送数据,而且我知道它将把这些数据写入一个名为output.dat的文件中。
我们公司目前拥有一个面向客户的集群,用于我们的注册和客户账户pipe理,可直接访问实时数据库(一个主数据库和多个只读从属数据库)。 最近我们已经讨论过一些关于提高安全性(超越现有防火墙)的安全性。 这个想法(来自pipe理层)是生产服务器不应直接访问数据库的读取或写入,而应该从数据库服务器或连接到生产服务器的其他内部服务器运行,在那里存在一些临时队列。 所以 目前: 应用程序将新注册写入数据库应用程序从数据库读取有关客户的数据 (App -> DB) build议: 应用程序将新注册写入临时本地caching(可能是文件系统,临时数据库,memcached等)内部networking的Cron /守护程序连接OUT到应用程序服务器并获取排队的数据库请求Cron /守护进程将新数据写入数据库或从数据库读取旧数据按照要求 Cron /守护进程将结果推回给应用程序服务器 (App <- Daemon -> DB) 作为一个开发人员(不是系统pipe理员),这对我来说似乎很可笑,但我却承认不是安全专家。 作为替代,我提出如果我们不能直接访问数据库,那么我们可以有一个中间层接受结构化请求并生成数据库查询并返回数据。 这看起来更像 (App -> Proxy -> DB) pipe理层的回应是,这是不理想的(但至less还是有争议的)。 我认为这种说法在很多地方都演过很多次,但是我没有看到任何具体说明他们提出的架构的利弊的事情。 提出的向后代理方法是否真的更安全,值得花时间来构build呢? 如果不是的话,如果你被要求实施这样的体系结构,会用什么来支持你的观点。
有一个保护Windows Server 2008的指南吗? 我似乎记得阅读如何强化Win2k服务器的MS文档,但我找不到win2k8的出版物。
OS:Fedora 14 i386 它被用作“普通台式机笔记本电脑”。 “用户A” – 这是主要使用的用户,我用GDMlogin,等等。 目标:我需要更多的安全性 – 分开几个应用程序! 如何:与其他用户运行3个应用程序(传输,谷歌浏览器,葡萄酒)(所以不与“用户A”)。 但是,当我用“用户A”login(在GUI中),我需要在他的桌面上的图标。 例如:只需点击一下(不要求input密码!!),谷歌浏览器就会启动另一个用户。 我到底该怎么做? – 在“USER B”,“USER C”等运行应用程序时,如何“授予”“用户A”权限(安全地)以便它不需要密码? 有没有howtos / docs /链接? 先谢谢你。
当我进入控制面板时,下拉菜单中的更改自动更新configuration被禁用。 它说我需要pipe理员访问,但我毫无疑问是一个pipe理员帐户。 为什么这是禁用的,所以我不能在Windows Server 2008 R2的自动安装(和重新启动)更新? 这是否意味着可以更改此设置的唯一帐户是原始pipe理员帐户(用户名:pipe理员)? 最近的Windows更新导致服务器重启后无法启动!
我如何确保我受到相对path的保护,如: /catalog.php?F=S&BrandCode=AE///index.php%3foption=com_g2bridge&controller=../%2520../../../../../../../../ ../../../../../../proc/self/environ%2500 我最近在日志中收到了这些信息,尽pipe我知道这个方法不会有效,但我对如何防范这类威胁感兴趣。 (使用php5,apache2,debian)