对于我来说,一台虚拟机通常有2个局域网接口,一个连接局域网或pipe理计算机,另一个连接WAN接口供公众访问。 所以通过在vmware的“公用网卡”之前设置防火墙并且仅通过“专用网卡”访问pipe理接口来确保安全性。 但我如何确保安全,如果我安装在多个公共ips,没有防火墙在服务器前,没有任何(没有任何(我可访问)路由服务器之前,没有多个networking接口的正常专用根服务器上的VMWare ESXI 5.0? 我发现有关防火墙的文章: http : //www.virtualizationadmin.com/articles-tutorials/vmware-esx-and-vsphere-articles/networking/understanding-vmware-esx-server-security-profiles.html 但是哪个ip是打开的端口? 是否所有的公众都必须遵守? 我可以将pipe理界面绑定到特定的IP吗? 如何将一个ip绑定到pipe理界面,其余的则绑定到一个或多个虚拟机? 我想在esxi里面创build一个vlan,然后在vm上build立一个vpn,然后让这个pipe理控制台只能通过vpn的ip来访问,但是我如何locking自己以后再尝试一下。 任何提示? 编辑:根服务器像:server4you.com/root-server一个单一的服务器,其中VMware安装,“直接”连接到互联网 – >直接攻击,而不是在一个安全的局域网 编辑2:记住,那些没有英语作为第一语言的人,可能会定义一些东西,比如“根服务器”。 请评论这个问题,并写下如何让问题更清楚的事情。 也许这句话更好:如何使一个vmware esxi 5.0服务器安全,它只有一个网卡,并直接连接到互联网? 我没有保护连接到networking的esxi的经验,如果我运行像kvm或vserver这样的虚拟化,这相当简单,只需使用iptables防火墙保护主机服务器,并在那里处理路由。 我没有find关于我的问题谷歌的一个很好的信息,它是一个相当特殊的问题,公司如何虚拟化有一个整个vmware服务器集群,往往不只是在他们面前的一个防火墙。 所以他们很简单,不需要安装一个vmware esxi主机,而无需额外的防火墙和只有一个networking接口。 其他人可能不会虚拟化或不关心安全性。 所以我问downvoters,这个问题这么糟糕?
我正在尝试通过一项PCI合规性testing,并且我正在得到一个“高风险漏洞”。 问题描述如下: Web服务器所在机器上的信息有时会包含在网页的标题中。 在某些情况下,这些信息可能包含防火墙或代理服务器(如本地IP地址)后面的本地信息。 看起来Nginx正在响应: Service: https Received: HTTP/1.1 302 Found Cache-Control: no-cache Content-Type: text/html; charset=utf-8 Location: http://ip-10-194-73-254/ Server: nginx/1.0.4 + Phusion Passenger 3.0.7 (mod_rails/mod_rack) Status: 302 X-Powered-By: Phusion Passenger (mod_rails/mod_rack) 3.0.7 X-Runtime: 0 Content-Length: 90 Connection: Close <html><body>You are being <a href="http://ip-10-194-73-254/">redirect ed</a>.</body></html> 我不是专家,所以请纠正我,如果我错了,但从我所收集的,我认为问题是Location标题返回http://ip-10-194-73-254/ ,这是一个私人地址,当它应该返回我们的域名(这是ravn.com)。 所以,我猜我需要隐藏或replaceLocation标题不知何故? 我是一个程序员,而不是服务器pipe理员,所以我不知道该怎么办…任何帮助将不胜感激! 另外,我可以补充说,我们运行的服务器不止一台,所以configuration需要转移到任何具有私有地址的服务器上。
在http://httpd.apache.org/docs/2.2/logs.html上 任何可以写入Apache正在写日志文件的目录的人,几乎都可以访问服务器启动的uid,通常是root。 不要让人们在不知道后果的情况下写入存储日志的目录, 详细信息请参阅安全性提示文档 这个怎么用? 如何写入Apache正在写入的文件来授予对Apache Parent Process用户(root)的访问权限?
对于我的罪孽,我现在负责一些敏感信息:encryption密钥存储策略,networking架构图等等.HIPPA很快将会覆盖我们,所以痛苦会增加。 不是“pipe理员密码”敏感,但我需要的东西1)限于人的一个子集2)可审计 – 我需要知道谁读这个东西,从哪里。 我希望有一种安全的wiki,最好是一个托pipe的安全的维基,encryption的客户数据足以清除我的老板。 这是否存在? 一个人可以梦想,不是吗?
我们已经安装了带有IDP的新Juniper SRX防火墙,因此防火墙正在检查可疑活动的stream量。 我遇到了3个“误报”的SQL注入攻击报告,这些报告只是真正的用法: 使用mDaemon的webmail,试图转发消息被认为是SQL注入尝试 在一个.NET的Web应用程序中,input一个文本到文本区的负载,点击提交触发SQL注入。 这句话似乎是一句话 – 关于从南威尔士一路前往贝辛斯托克的工程师。 删除那句话,它工作得很好。 在一个经典的ASP应用程序中,试图保存一个报表(在幕后页面读取所有选中的checkbox并将其插入到数据库表中)。 导致错误警报的关键字是“Goodmans” 有了上面的第二个问题,如果我把文本内容粘贴到一个不同的web应用程序中(我只是简单地将这些内容复制到一个不同的,不相关的经典asp窗体与不同的对象),根本没有问题。 有了第三个问题,应用程序就可以正常工作了 – 这就是我们发现的一组特定的选项,导致防火墙放弃连接。 我能解决mDaemon问题的唯一方法就是将服务器带出IDP策略。 我将向瞻博networking提交支持请求以帮助find解决方法,但是其他人如何处理误报? 还有什么可以做的吗? 我担心还有其他的条件会触发更多,这将是一个无休止的演习。 除非我们可能不知道许多误报,因为用户认为网站已经closures,只是放弃(或者不报告他们做了什么/不能再次复制)。 其他信息在第三个问题的情况下,造成这个问题的不仅仅是“goodmans” – 它更为普遍!
我试图在Ubuntu 10.04机器上授予用户CAP_SYS_RESOURCE的linuxfunction。 我需要这个,以便这个用户运行的进程可以写入/ proc / self / oom_adj(是的,我意识到这已经被弃用,但是我将被困在内核2.6.32一段时间)。 我已经安装了libcap2和libcap2-bin。 我已经在/etc/security/capability.conf中为用户授予了cap_sys_resourcefunction,并且已经validation过,通过pam加载了pam_cap.so,但是仍然无法降低我的oom_adj分数。 我已经重新启动会话后,任何改变这个文件,我甚至重新启动。 我试过在capability.conf中使用CAP_SYS_RESOURCE的值(24,来自/usr/include/linux/capabilities.h),而不是名字,但是也没有帮助。 $ cat /proc/$$/oom_adj 0 $ echo -1 > /proc/$$/oom_adj -bash: echo: write error: Permission denied $ echo 1 > /proc/$$/oom_adj $ cat /proc/$$/oom_adj 1 $ egrep -v "^#" /etc/security/capability.conf cap_sys_resource delete none * (是的用户名是删除) 据我所知,我正在得到这个能力 $ getpcaps $$ Capabilities for `10366': = cap_sys_resource+i […]
初学者的问题。 我看到这个网站上提到,这是一个不好的做法,但不记得在哪里,为什么。 所以,如果我有一个用户可以访问Apache不应该访问的文件,并且将这个用户添加到Apache组中,那么这会造成安全漏洞。 如果是,为什么(例如,如果权限是700,Apache应该不能访问敏感文件)?
一些文本表明DBMS提供的最重要的方面是可用性,完整性和保密性。 作为家庭作业的一部分,我负责提及会影响每个方面的攻击。 这就是我所想的 – 他们有什么好处? Availability – DDOS attack Integrity Secrecy – SQL Injection attack Integrity – Use of trojans to gain access to objects with higher security roles
我已经在旧笔记本电脑上安装Debian Squeeze来充当testing平台。 我已经安装了OpenSSH并编辑了/etc/ssh/sshd_config来使用ssh密钥并禁止密码validation。 但是,我可以通过serFISH.com用密码login。 在input密码时,我得到: Connecting as lemmy@*myipaddress* on port 5001… /root/.ssh/known_hosts updated. Original contents retained as /root/.ssh/known_hosts.old lemmy@my*ipaddress*'s password: Linux saturn 2.6.32-5-686 #1 SMP Sun May 6 04:01:19 UTC 2012 i686 The programs included with the Debian GNU/Linux system are free software; the exact distribution terms for each program are described in the individual […]
我想扫描我的DMZ,查找在子网之间桥接的主机,并启用路由。 因为我拥有从VMWare服务器到DMZ上的负载均衡器的一切,所以我不确定每个主机是否configuration正确。 可以使用什么IP,ICMP或SNMP(等)技巧来轮询主机并确定主机是否充当路由器? 我假设这个testing会假定我知道目标IP,但是在一个有很多子网的大型networking中,我将不得不testing许多不同的networking组合,看看我是否成功。 这里是一个例子(ping): 对于DMZ中的每个IP,arp为主机MAC 将ICMP回复消息发送到指向每个子网上的在线主机的主机 我认为有一个更好的方式来获取信息,即从ICMP / IP本身,但我不知道要寻找什么低级别的位。 如果可以在不知道主机可以连接到的子网的情况下确定“路由器”状态,我也会感兴趣。 这将有助于了解何时改善我们的安全状况。