我有一个运行在Windows虚拟机下的Linux服务器。 我用ssh和publickeylogin,并使用lftp的sftpfunction进行文件传输,也使用publickey 。 今天当我检查日志文件时,有一件事使我非常困惑: 11月28日21:39:06软服务器sshd [11933]:从10.0.2.2端口50590接受publickey为myusername ssh2 11月28日21:39:06软服务器sshd [11933]:pam_unix_session(sshd:会话):会话打开为用户myusername(uid = 0) 11月28日21:39:25软服务器sshd [11946]:从10.0.2.2端口13494 ssh2接受密码myusername 11月28日21:39:25 soft-server sshd [11946]:pam_unix_session(sshd:session):通过(uid = 0)为用户myusername打开的会话 11月28日21:39:25 soft-server sshd [11948]:用户myusername对sftp的子系统请求 11月28日21:40:16 soft-server sshd [11935]:从10.0.2.2:11收到断开连接:被用户断开连接 11月28日21:40:16软服务器sshd [11933]:pam_unix_session(sshd:会话):会话closures用户myusername 我怎样才能突然使用密码login? 有没有可能我自己的操作使这种行为发生?
当您在没有TPM的系统上安装Bitlocker时,您需要将启动密钥放在闪存驱动器上。 由于您很难指望用户分别存储他的笔记本和闪存驱动器,如果Bitlocker在未经encryption的系统中丢失/被盗,是否会提供任何优势?
那么我们有一个内部的服务器pipe理器(比如Webmin,更具体),包括一堆C CGI程序和CGI Perl脚本,其中一些需要root权限(添加系统用户,pipe理密码,处理邮件队列等)。 )被执行。 目前,Apache作为反向代理服务器,将请求传递给在本地主机上侦听的另一个Web服务器(Xitami),以root用户身份运行。 所以我的问题是,而不是运行一个Web服务器作为根(即使它在127.0.0.1),是否有什么不同的做一个特定的CGI目录/程序/脚本,绝对需要root权限执行setuid根? 还是都同样不安全? 在这种情况下,最好的解决scheme/实践是什么?
我对基于gentoo的系统设置正确的策略有一些问题。 我不知道如何为/ root / scripts / autosync启动的所有内容添加权限。 我得到如下错误: [/ code] grsec:(默认:D:/)拒绝/ etc / root / scripts / autosync [autosync:24708] uid / euid:0/0 gid / egid:0/0 [/ code] 看起来像我不能设置这个脚本的权限,这是脚本的shell脚本,写入/ etc等。另外主题/根/脚本/自动同步:*不适用于我。 任何解决scheme
Exchange Server是否能够充分防止邮箱文件夹中的回收项目? 我想从审计angular度确定存在哪种风险级别/可以将哪些信任放入Exchange数据库logging中。 是否有一个(错误的)function,允许terminal用户修改他们自己的消息发送/接收date字段? 有没有一种合理的方式来编辑Exchange Serverpipe理员的文件来做出这样的改变? 最重要的是:是否有任何一种“序列号”,我们可以用来审核Exchangelogging的date操纵证据(例如msg100 = Dec 15,msg101 = Dec 10 ,msg102 = Dec 16)
我在使用StrongSwan的基于Debian的Linux服务器上有多个有效的IPSec VPN。 目前我正忙于更新我的文档与每个VPN的细节。 不幸的是,IKEencryptionalgorithm和哈希algorithm没有明确设置。 我不知道是否有办法find一个活跃的VPN哪些algorithm是currenlty使用而不重新build立VPN。 对于显式设置algorithm的VPN,可以使用以下命令: ipsec statusall myVPNname | grep“IKEalgorithm” 示例输出: 最新的IKEalgorithm:3DES_CBC_192-SHA-MODP1024 不幸的是,对于没有明确设置algorithm的其他VPN,上面提到的命令没有提供这些信息。 也许你们有人知道如何find它? 问候, 短发
我有一个系统开发与IE8下载通过SSL(即在使用https:// …的网站上)相关的问题,并在此MS微软文章中描述。 我们使用HTTPCacheability.NoCache选项作为被下载的数据是敏感的,并从一个安全的网站下载。 我不希望这些数据caching在任何代理,客户端或服务器上。 描述该问题的文章详细解决了更改BypassSSLNoCacheCheck设置的客户端registry。 我不想放松IE8的系统安全性,因为系统可以正常工作。 让所有客户端应用修补程序是最好的,最糟糕的是不可能的。 至less现在我们需要在系统中支持IE8。 所以: 详细的修补程序是否对IE8浏览器端的安全性有任何影响 – 是否意味着文件将被caching? (在用户保存文件的地方以外的地方)。 有没有办法让服务器端的变更可以下载这些文件,而不会破坏事物的安全性?
我有一个小型的服务器networking,我想增加一般的安全性。 我没有足够的时间/金钱/偏执来build立VPN – 我可以通过什么方式提高系统的安全性? 有一件事可能是要求用户同时发送密钥并input密码。 这对谷歌来说有点难,因为关于“ssh密码”的一切都是关于没有密码的sshing。 🙂 我一直想要玩的一个scheme是要求传入的连接只来自dyndns ip地址的白名单。 我知道一些安全主pipe会想到这个主意会呕吐,但事实是这会增加一个盒子的复杂性。 你怎么看? 还有什么呢?
用户所做过的最狡猾的事情是你必须面对的? 显然,我们都看到了不友好的用户的恶意,但从所谓的友好用户呢? 在我的情况下,我认为它必须是ping隧道 :使用传出的ICMP数据包进行SSH隧道绕过防火墙。 [全面披露:我对这个工具的Windows端口做出了贡献;]] (作为社区wiki重新开放)
我试图连接到多个不同的LDAPS服务器。 我见过的很多文档build议TLS_REQCERT never设置TLS_REQCERT never ,但是这TLS_REQCERT never我感到非常不安全,无法validation证书。 所以我已经设定demand 。 我见过的所有文档都说我需要用指向.pem文件的TLS_CACERT指令更新ldap.conf。 我已经得到了来自LDAP服务器#1的证书设置的.pem文件,并且ldaps连接正常。 我现在必须与另一个使用不同证书的组织中另一个分支机构中的另一台LDAP服务器进行安全通信。 我没有看到如何做到这一点的文件,除了1页说,我可以简单地把多个(不链)的证书在同一个.pem文件。 我已经完成了这一切,一切工作hunky dorey。 但是,当我告诉一位同事我做了什么时,他听起来好像天空正在坠落 – 将两个非链式证书放入一个.pem文件显然是自从…以来最糟糕的事情。 有一个更可接受的方式来做到这一点? 或者这是唯一被接受的方式?