希望你能帮助! 我正在考虑将Rails应用程序从共享托pipe提供程序移动到专用服务器或像Linode,SliceHost,Webbynode等服务,如果我理解正确,服务器的安全性完全取决于您。 与共享托pipe我习惯于没有 root访问权限,所以防火墙和大多数其他安全问题往往由托pipe公司处理。 所以我的担心是移动到服务器,我(服务器pipe理员菜鸟)正在照顾安全。 我很想有一个专家服务器pipe理员照顾,但是这是不可能的。 有人知道像SliceHost或Webbynode这样的负担得起的服务,其中安全是由提供商pipe理的吗? 我已经看过Heroku,但是由于SSL完整的authentication要求,目前对我来说是不可接受的。 另外,是否有人知道如果服务器映像可用于Linode / SliceHost / Webbynode /其他安全性照顾或更简单? (我想我主要担心的是我是一个Web应用程序开发人员,他认为他最终会花费更多的时间来保护服务器,而不是编码。 谢谢你的时间,艾略特
我正在build立一个公共Web服务器:Windows Server 2008 R2,IIS7.5。 有没有人有一个教程/演练/提示正确保护公共Web服务器? 我见过几个教程,但主要集中在Windows Server 2003上。 到目前为止我所做的是: 为网站/应用程序池创build了特定的用户帐户, 重命名pipe理员帐户, 安装了FTPS, configuration防火墙来阻止任何非公共服务(web / https), configuration防火墙允许仅从特定IP地址(rdp,IISpipe理,ftp)访问pipe理界面 也许还有一些其他的东西,但现在不记得了… ICMP是允许的…我应该禁用所有除了ping? 端口扫描仅显示Web和https端口。 还有其他build议吗? 谢谢
根据SANS和其他人的build议,以减轻散列转储和其他攻击,我正在使用组策略来定义“debugging程序”用户权限分配。 如果没有启用,默认的策略是允许本地系统和pipe理员的权限,我想从pipe理员中删除这个权限(我们没有运行集群服务,据我所知,这是关于你的唯一原因, d需要pipe理员拥有它)。 我想知道是否应该启用此设置并仅添加本地系统,或只启用设置。 即,本地系统是否因为任何原因需要这个特权?
我正在为fail2ban写一套规则,让任何试图强行进入我的系统的人都变得更有趣。 绝大多数尝试都倾向于通过我的web服务器进入phpinfo(),如下所示 GET //pma/config/config.inc.php?p=phpinfo(); HTTP/1.1 GET //admin/config/config.inc.php?p=phpinfo(); HTTP/1.1 GET //dbadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1 GET //mysql/config/config.inc.php?p=phpinfo(); HTTP/1.1 我想知道是否有一个用户试图通过Apache访问phpinfo()的任何有效的理由,因为如果不是,我可以简单地使用,或更具体的正则expression式 GET //[^>]+=phpinfo\(\) 作为消除这些攻击的filter
将我的服务器configuration到Github上的回购站中,具有世界只读访问权限的安全考虑事项是什么? 我知道不包括/ etc / shadow和其他密码文件。 我想分享一下我的好主意,让别人做出贡献,但是我不想推出cookies的欢迎词。
我试图删除一个过时的SID(该帐户显然被删除)。 我试图在服务器(win2003)和客户端(win7)上运行以下内容: icacls c:\path /remove *S-1-5-21-1883347182-1220252494-433279356-1095 /T 但我总是得到输出 Successfully processed 0 files; Failed processing 0 files 没有它做任何事情。 我怎样才能使它工作? 更新: 我已经使用AccessEnum来获取SID,因为icacls只会说“帐户名称和安全ID之间没有映射已完成”。 但不显示sid。 AccessEnum的输出是: "Path" "Read" "Write" "Deny" "c:\path" "Administrators, S-1-5-21-1883347182-1220252494-433279356-1095, …" "Administrators, S-1-5-21-1883347182-1220252494-433279356-1095, …" ""
我正在学习Windows Server 2008 R2的NAPfunction。 我知道networking访问控制(NAC)是什么,NAP在这方面扮演了什么angular色,但是我想知道他们有什么限制和问题,人们希望他们在推出之前知道这些限制和问题。 其次,我想知道是否有人成功地推出了一个中等规模(多城市企业networking,大约15个服务器,200个桌面)环境,大多数(99%)Windows XP SP3和更新的Windows客户端Vista和Win7)。 它与您的反病毒工作? (我猜NAP可以和大名鼎鼎的防病毒产品配合,但我们正在使用Trend micro。)。 假设服务器都是Windows Server 2008 R2。 我们的VPN是思科的东西,并有自己的NACfunction。 NAP实际上是否有利于您的组织,是否明智地推出,还是Windows Server 2008 R2所做的一大堆事情中的又一个,但是如果您确实将服务器移动到了该位置,那么很可能不想去用。 内置的NAP解决scheme可能以哪种特定的方式最好,以什么特定的方式解决scheme(NAP之前的现状)或第三方端点安全或NAC解决scheme更合适? 我发现了一篇文章,2007年的安全专家小组认为NAC可能“ 不值得 ”。 Win Server 2008 R2在2010年现在情况会好吗?
我们有一个客户要求我们在访问项目数据的工作站上实施数据预防。 如果Alice将可移动媒体(USB,FireWire,CD,DVD)连接到她的计算机上,我们需要一份审核报告,将文件X,Y,Z复制到媒体中。 我们有一个100%的Mac用户群。 我已经看过CoSoSys和Sophos的端点保护器产品,但都不支持Mac上的可移动媒体控制。 我现在正在看迈克菲,但他们的产品文献正在让我的头脑旋转。 有人可以推荐一个产品来做到这一点? 或者我们正在从头开始构build一些东西? 提前致谢…
当用作Web服务器(通过远程桌面访问)时,应该采取什么措施来“locking”/强化/保护Windows Server 2008 R2计算机? 是否有作为标准启用的元素可以被解除/删除? 谢谢。
我非常了解在不同用户帐户下运行不同网站的好处,以便在单个Web应用程序受到威胁时限制受损。 我被指示在我们的主要公司域名上安装一个wordpress博客作为该域名的子文件夹(example.com/blog),而不是一个子域名(我相信这是一个SEO策略)。 我必须将主要电子商务网站(可访问我们的用户帐户数据库)的博客分区,但是我看不到使用suexec执行此操作的明确方法。 我唯一的想法是在单独的服务器上安装博客,并在主站点上使用mod_proxy作为反向代理。 但是,这意味着我们必须在两个不同的地方维护主要网站模板(博客必须与主站点相同的页眉,页脚等)。 如果这是唯一的解决scheme,那么这可能是我会select的path,但我想知道是否有任何其他的想法,这将不胜感激。