我有一个OpenVPN的问题。 服务器上的openvpn日志文件中有很多logging: Mon Oct 22 10:14:41 2012 us = 726541 laptop /ххх:1194 MULTI:来自客户端的不良源地址[192.168.1.107],丢包 grep -E "^[az]" server.conf —– port 1194 proto udp dev tun ca data/ca.crt cert data/server.crt key data/server.key dh data/dh1024.pem tls-server tls-auth data/ta.key 0 remote-cert-tls client cipher AES-256-CBC tun-mtu 1200 server 10.10.10.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" […]
请简单介绍一下iptables / NAT-Setup,我相信它有一个相当严重的安全问题(由于太简单了)。 在这个networking上,有一台连接到互联网的机器(在iptables 1.4.8上运行Debian Squeeze / 2.6.32-5)充当192.168 / 24中less数客户机的NAT /网关。 该机器有两个NIC: eth0: internet-faced eth1: LAN-faced, 192.168.0.1, the default GW for 192.168/24 路由表是双网卡 – 默认没有手动更改: Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 (externalNet) 0.0.0.0 255.255.252.0 U 0 0 0 eth0 0.0.0.0 (externalGW) 0.0.0.0 UG 0 0 […]
我有一个问题,我相信其他人已经遇到,我正在试图find最好的解决scheme。 它可能有点长,所以请裸露在我身边。 请注意:端口22只是一个示例端口将有实例,当它不是端口22我正在处理。 安全组 "server-1" has a security group "group-1" "server-2" has a security group "group-2" "server-1" has an elastic ip address assigned to it ie 111.222.333.444 和 "group-2" is allowed to connect to "group-1" via port 22 所以如果我通过以下命令从服务器2 ssh到服务器1 ssh -iKEY.pem [email protected] 连接是好的,按预期工作。 但是,如果我尝试通过这个命令连接。 ssh -iKEY.pem [email protected] 它不工作,我认为是明显的原因 为了连接到服务器1 ,我离开了awsnetworking,因此aws将服务器2的连接视为外部资源,不再是aws实例。 这意味着它不会使用这样的安全组: "group-2" is allowed […]
设想一个网站,显示远程registry项的价值,例如远程PC上反病毒定义的版本。 要清楚的是,有3台计算机参与,networking服务器充当中介。 该网站使用Windows身份validation,所以从Windows上的浏览器,您的AD凭据通过和IIS身份validation用户(在ASP.NET中,用户令牌已连接,并可以以编程方式检查)。 我们使用内核模式身份validation在IIS 7.5上运行,是否需要在AD中设置SPN以允许Windows身份validation的Kerberos部分发生? 该网站在AD帐户DOMAIN \ AV1下的应用程序池下运行,该帐户是有权访问局域网上计算机的组的成员。 该站点中的代码不执行模拟,因为它不想假定站点用户的ID(谁没有远程reg权限),所以它只是简单地进行远程registry调用。 Web服务器计算机帐户或 DOMAIN \ AV1帐户是否需要SPN来协商和执行Kerberos身份validation到远程计算机?
我只是接pipe了一个使用企业镜像主机的networkingpipe理员,来pipe理各种特殊用途的机器。 这些主机通过串行或以太网(cross-ver)直接连接到他们正在pipe理的设备,绝对没有互联网或内部网访问。 这些主机中的less数几乎没有连接到任何networking约2年,因为这是一个标准的形象,Windows更新或反病毒更新已经超过2年没有发生。 我担心的漏洞是特殊用途机器的操作员为了正当理由以及个人原因(音乐等)将USB拇指驱动器连接到这些空隙主机。 我想通过以下选项之一来补救: 1-将这些主机连接到公司局域网上,定期更新防病毒软件,Windows(每月一次),并返回空隙 2-创build一个特殊的子网,只允许通过Windows更新,防病毒更新 我正在考虑的另一件事是build立这些主机的自定义图像,没有不知情的应用程序(微软官方等) 选项1很麻烦,容易被人遗忘,选项2要求我通过IT治理,这需要一段时间才能完成。 对于这种情况,我希望听到您的build议。
我习惯于在其他人负责SQL数据库的合同上工作。 不过,现在我正在为一个新的SQL Serverbuild立一个合同,所以我build立了MS SQL Server 2012 Express。 我写了一个连接到SQL服务器的应用程序,并读取/更新几个表。 在我的testing环境中,应用程序使用sa帐户连接,这当然是一个很大的禁忌。 我想创build一个用户帐户,能够从一组有限的表中select/插入/更新/删除,并且没有任何其他权限。 我会跟着我在Google上看到的一些指示,但是我一直看到关于无特权帐户的问题,意外地有权做这个帐户创build者不想要的东西,所以我想问专家: 如何创build一个只能做一件事的SQL帐户:从一组有限的表中select/插入/更新/删除? 编辑:根据我收到的反馈,我做了一些研究,并写了下面的脚本: CREATE LOGIN ExtraUser WITH PASSWORD = 'foobar'; USE MyDatabase; CREATE USER ExtraUser FOR LOGIN ExtraUser; GRANT SELECT ON dbo.abc; GRANT SELECT ON dbo.def; GRANT INSERT ON dbo.def; 这似乎是做我想做的,但我想知道,如果我可以相信,这个用户不能访问除了我给他访问的两个表以外的任何东西。
我的公司打算聘用一个外部承包商,为我们的EC2服务器上的一些开发工作。 我们使用使用.pem证书文件访问的Ubuntu。 出于显而易见的原因,我不想与外人分享我的.pem密钥 – 如果密钥丢失,互联网上的任何人都可以访问我的机器。 我可以将承包商的ssh密钥添加到所有服务器上的.ssh/authorized_keys ,但是这将是单调乏味的,除非我更改模板服务器映像,否则新服务器将无法访问。 有没有更简单的方法来授予对EC2机器的临时可撤销访问?
用户通过ssh连接。 用户也被chroot-ed到他们的主目录。 目标是安全。 由于用户是chroot-ed,当他们login/ bin / bash没有find。 很明显,用户需要shell命令。 Shell访问可以通过 1)symlink / bin / bash到/ home / username 2) 通过/ etc / fstab挂载–bind – 首选项,因为服务器经常重启。 这两个选项在安全性方面有差异吗? 还是有第三个更安全的select?
我有一个域(ACME.COM)上运行的服务(AcmeService)和另一个域(DISNEY.COM)中运行的用户。 [email protected]想要使用AcmeService进行身份validation。 该服务知道DISNEY.COM域,并通过使用已知的DISNEY.COM证书将所有用户导入其本地用户数据库中。 如果mickey发送完全限定的用户名/密码,AcmeService可以通过直接连接到DISNEY.COM域控制器(他已经知道)使用LDAP来validation他。 [email protected]也希望使用AcmeService进行身份validation,但希望通过集成安全性进行身份validation,因为他不信任AcmeService足以泄露密码。 (在我的情况下,它使用.Net NegotiateStream这是SSPI的包装) 我对这个问题的理解是,AcmeService不能用一个不属于他的域的用户(ACME.COM)的集成安全性进行validation。 我认为一般的解决scheme是在ACME.COM和DISNEY.COM之间创build一个即将离任的信任关系,但在我的情况下是不可能的。 是否有一个解决scheme,允许AcmeService使用SSPIvalidation用户,如果该用户位于外部域中,并且没有定义的信任关系? 如果解决scheme只能在AcmeService机器上运行,那就没问题了。 我可能会误解,但我的印象是使用ksetup / addkdc可以用外部的MIT Kerberos来做这样的事情。 任何想法? 谢谢 UPDATE 客户端和AcmeService之间的通信已经通过TLS进行了保护(不需要双向authentication)。 连接完成后,客户端知道他正在与真正的AcmeService交谈(感谢TLS),但他现在需要使用他的DISNEY.COM凭证向AcmeServicevalidation其身份,在这里客户端证书不是一个选项,AcmeService只知道它以前导入的ActiveDirectory帐户。 NTLM(v2)对于我的场景来说足够了,但是我不明白为什么Kerberos是不可能的。 AcmeService有一个DISNEY.COM帐户([email protected]),它可以用来与Kerberos进行相互validation。 我认为问题是当尝试使用SSPIvalidation一个disney.com用户时,AcmeService无法自动为DISNEY.COM域定位域控制器。 AcmeService机器需要知道DISNEY.COM控制器可以位于“dc.disney.com”。 以下是在AcmeService机器上运行的dcdiag和nltest的结果: dcdiag /s:dc.disney.com /u:disney.com\acmeuser/p:XXXX/test:LocatorCheck Running enterprise tests on : disney.com Starting test: LocatorCheck Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1722 A Global Catalog Server could not be located – All GC's are […]
我pipe理着大约1200个工作站的networking和大约200个左右的服务器。 我们已经从McAfee迁移出来,转而使用System Center Endpoint Protection作为我们的企业防恶意软件解决scheme。 目前,策略是直接从微软更新的,但是我想减less外部广域网上的stream量,所以我想把我们的SCCM服务器设置为定义更新源。 目前,我们正在使用WSUS来维护我们的工作站,我想继续使用它,因为我不喜欢SCCM进行补丁pipe理的方式。 但是,WSUS在这方面的失败在于,如果用户正在等待从前一轮更新(我们不强制重新启动)重启,那么病毒定义将不会通过WSUS进行更新。 因此,我希望SCCM每天通过一个自动部署规则推出病毒防御,但是依赖于其他的WSUS。 如果我在SCCM服务器上启用了软件更新点angular色,是否会破坏现有的WSUSfunction?