我雇用了一个自由职业的服务器pipe理员(他比我更有经验 – 这就是为什么我雇用他们)在运行我的CentOS的VPS上做一些工作。 他们需要根级别访问服务器,因为他们需要安装服务器守护进程等。 在这种情况下最好的做法是什么:我怎么能确定是否承包商去安装根套件或做一些其他方面讨厌? 我所做的是为用户创build一个新帐户,将新帐户添加到“wheel”组中,然后使用visudo启用组轮运行所有命令。 我应该采取其他措施吗? 我承认,通过提交sudo特权,承包商几乎可以做任何他们想做的事情,并且我需要信任他们的一天结束。 我想我至less要确保自己有logging,以防万一。 谢谢
我在我的网站上实施了一个黑名单系统,用于监控可疑使用情况(垃圾邮件内容和频率过高)的联系表格。 当我find符合我列入黑名单的人/机器人时,我想把它们作为黑名单实体发送给我的数据库。 我的问题是,我应该将它们列为IP还是域名? 据我所知,将IP列入黑名单将更加有效,因为我允许人们在表单中input他们的电子邮件地址,他们可以很容易地定期更改他们的域名。 然而,缺点是,如果我将知识产权列入黑名单,那么只有一个人不好(即大学校园,咖啡馆等),我才有可能把一大群分享知识产权的人列入黑名单。 有没有我失踪的解决scheme?
我正在编写一个简单的程序来备份一些文件到Linux机器上。 交易将通过SSH进行,程序的每个副本都将在它将连接到的Linux机器上拥有自己的帐户。 我担心的是,软件的用户很可能会计算出他们的账户名称和密码(这是预先随机生成的),并希望连接到该框并进行游戏。 除了授权备份软件的function之外,我想禁止他们在该框上执行任何操作。 也就是说,他们只需要创build新文件并阅读旧文件(不更新或删除)。 他们不应该需要能力执行bc或一个who或任何types的东西。 我想过把每个用户都放到他们的主目录中,但是我怎么做都很模糊。 有关如何实现这个所需function的任何build议? 谢谢!
在降低员工向关键公司传播重要信息的风险方面,常识是什么? 截至今天,很明显,甚至美国政府和军方也不能确定他们的数据是否安全地在他们的大门之内。 因此,我明白我的问题可能应该写成: “让员工传播关键业务信息更难的常识是什么? 如果有人想传播信息,他们会find一个办法。 这就是生活的工作方式,并始终如一。 如果我们通过假设我们只有定期的John,而不是Linux爱好的系统pipe理员来缩小我们的员工队伍,从而让情况变得更加现实一点,那么应该采取什么好的预防措施,至less会使员工难以发送关键业务信息比赛? 据我所知,有一些显而易见的解决scheme显然有利有弊。 阻止诸如Dropbox之类的服务,阻止任何人通过线路发送千兆字节的数据。 确保只有低于设定大小的文件才能作为电子邮件发送(?) 在部门之间设置VLAN,以使自杀狂人和好奇的人难以窥探。 插上所有可移动媒体单元 – CD / DVD,软盘驱动器和USB 确保不能进行硬件configuration(?) 监视非线性事件的networkingstream量(如何?) 在现实世界中做什么是现实的? 大公司如何处理这个问题? 当然,我们可以把前雇主告上法庭并起诉,但是到那时已经造成了损害…… 非常感谢
它仍然被认为是一个'端口扫描'有脚本试图与一个普通的帐户名称列表SSH或尝试多个密码的“根”或“邮件”(或类似)? 我希望find一种方法来阻止这些,但我不知道要search什么。 当我想象术语port scan我想到使用NMAP(或等价物)来查找iptables中打开的内容。 只是好奇,如果这属于同一类别。 我的一些系统每天logging数千次。 它很烦人。 系统都是CentOS / RHEL。 编辑:iptables'限制'看起来很有前途。 最后,我可能需要为所有有效的stream量设置一个VPN,并在我的公共服务器上使用“fail2ban”之类的东西。
我们正在运行一个内部有100个站点的专用服务器。 其中一些网站是非常不安全的,箱子pipe理得不好。 有人进来了,弄乱了一堆东西,通过玷污一些网站,要钱等等来缠着我们。 我们做了很多的修复,但是还有一些他可以进入的后门。我们find并删除了一些黑客控制面板的文件,但是由于这个文件被称为contactUs.php,所以不可能知道这些文件的所有实例都被删除了。 我意识到这是一个非常广泛的话题,可能难以回答的问题,但是我们会采取哪些步骤来弄清楚这个人如何进入系统? 这是一个主要运行PHP网站的Fedora机器。
我在想阻止访问SSH端口只允许我的国家是一个明显的步骤,但我不能看到一个实际的方法来做到这一点。 如果有关系,我在英国。 我可以完全访问Ubuntu服务器。 该服务器是一个远程基于云的服务器。 这看起来太简单了,我看不出它是如何工作的: http : //eminasif.wordpress.com/2014/01/14/how-to-restrict-server-ssh-access-or-any-port-only -用于特定国,在-CSF / 这显示了一个IP的负载,但我不明白我怎么可以转移到任何可用/实用的: http : //www.nirsoft.net/countryip/gb.html 事实上,只有一个人的办公室需要访问(没有人是遥远的)。 我不愿意设置连接时使用的当前IP地址,因为它似乎每6个月更换一次。 我还有其他很好的安全措施 – 禁用rootlogin,高位encryption密钥等,但这似乎是一个明显的额外步骤。 这是值得的麻烦? 有没有可靠的方法来做到这一点?
这是毫无疑问的这个问题的重复: 安全的Exchange邮箱 简而言之,Microsoft Exchange 2010如何进行configuration,使得电子邮件仅对该邮箱的所有者可见,并且可能是该组织的所有者/首席执行官? 链接问题的答案涉及到pipe理员信任和微软的Exchange模式,也就是说,pipe理员将拥有所有的权力。 但是让我们假设根本不是一个select:作为一个对Exchange和微软产品不熟悉的人,我一直被委托以这种方式build立Exchange。 除了公司的所有者之外,没有人能够看到任何人的电子邮件,但他自己的电子邮件。 我们意识到这将限制“pipe理员”可以做什么(例如修复邮箱损坏),但这是可以接受的。 此外,作为对我所链接的重复问题答案的一般主题的后续工作:在使用Microsoft Exchange的大型组织中,确实如此,企业pipe理员可以阅读任何人的电子邮件? 例如,在微软本身,有人(可能是很多人)可能会阅读史蒂夫·巴尔默的电子邮件? 或者阅读关于人们报酬的敏感人力资源文件,或者是员工询问EAP(员工帮助计划)等内容? 或与法律团队的电子邮件,或与SEC的对话,或者即将到来的收购?
我有一个小networking,想要隔离整个networking中的一台电脑。 我的networking: <—-> Trusted PC 1 ADSL Router –> Netgear dg834g <—-> Trusted PC 2 <—-> Untrusted PC 我想在networking中隔离这个不可信的PC。 这意味着networking应该是安全的:* ARP中毒*嗅探*不可信PC不应该看到/到达networking内的任何其他计算机,但可以出去互联网。 静态DHCP和交换机使用率解决了嗅探/ ARP中毒的问题。 我可以在计算机之间启用IPSec,但真正的问题是嗅探路由器和其中一台可信计算机之间的stream量。 反对得到一个新的IP地址(第二个IP地址从同一台计算机)我需要一个端口安全防火墙(我认为),或者我不认为我的ADSL路由器支持。 总之,我正在寻找一个硬件防火墙/路由器,可以从networking的其余部分隔离一个端口。 你可以推荐这样的硬件,或者我可以轻松地用我现在的networking来实现吗?
我已经遵循了一些简单的指导,在家里的Windows服务器上build立一个SVN服务器。 它破解安装svn二进制文件并将其设置为服务。 在我的局域网,我尝试访问我的svn服务器在svn端口,一切工作正常。 但是,从我的办公室访问我的服务器是否安全? 我不认为它通过networkingencryption到我的ssn服务器的stream量(包括代码和密码)是否正确?