我遇到了一些禁用Windows防火墙的Windowspipe理员,因为“这使得故障排除更加复杂”。 系统在边缘由防火墙设备保护。 他们认为这是足够的。 我的问题是:假设防火墙硬件设备configuration合理,是否有具体的原因来启用操作系统级别的软件防火墙? 我正在寻找的一些types的点: 来自操作系统开发人员(Windows或非Windows)的一些信息,涉及操作系统级防火墙的重要性 只有在OS级防火墙被禁用的情况下才可能进行的攻击示例或示例 编辑:在与@joeqwerty评论讨论后修改问题。
我在同一地区有两个使用相同安全组的实例。 我想允许这个安全组中的所有实例相互进入。 我已经将安全组添加到端口22,认为这是做到这一点的方法,但它不起作用。 试图在机器之间进行shell失败。 我想使用SG,因为不是所有的实例都有EIP,所以将IP放入SG是不现实的。 我错过了什么?
我最近发现,我正在使用的服务器有一个xinetd服务,实际上是一个shell脚本,它调用另一个shell脚本,通过各自的networking连接检索参数。 它做这样的事情: /execute/another/script $WITH $A $FEW $ARGUMENTS 是什么让我害怕这是一个真正的问题是variables没有以任何方式消毒的事实,因为这是作为根被执行,这是值得重视的。 有人可以请指教? 我也很想知道如何在这种情况下滥用variables来执行其他的东西,有人可以提供例子吗?
我是一个程序员,正在为特定的客户编写Web服务的网站上。 这些Web服务只能由这个客户端访问。 他们打算通过每个请求通过SSL发送一个客户端证书,我需要根据证书validation请求者的身份。 我们目前有一个SSL证书,客户将用它来validation我们的身份。 我是一名程序员,所以安全/证书不是我很熟悉的,但是我负责解决这个问题。 我怎么去设置这个呢? 这需要为运行IIS 6的Windows Server 2003 R2进行设置。
我们正在计划实施802.1X。 不清楚的是,支持802.1X的交换机是否可以成功和正确地authentication连接到同一个交换机端口的多个设备(例如,如果我们有一个部门使用集线器与一堆计算机“共享”端口)? 如果是这样,协议如何validation数据包的来源? 或者,实现802.1X将需要我们购买昂贵的802.1X支持交换机,每个设备一个端口?
回到Windows Server 2008 R2中,独立托pipe服务帐户(sMSA)是新的时,它们不能用于执行计划任务。 但是,在Windows Server 2012中,有一种称为“集团托pipe服务帐户”(gMSA)的新型帐户。 这种types的帐户据说能够在Windows Server 2012林/域function级别的客户端和成员服务器上的任务调度程序中启动计划任务。 到目前为止,我有: build立一个Windows Server 2012的林/域 创build了一个Group Managed Service Account(gMSA) 在Windows Server 2012成员服务器上安装gMSA 而目前我遇到了麻烦: 设置计划任务以使用gMSA 当我尝试在计划任务上使用gMSA时,出现“找不到对象”(释义)消息的错误消息。 我的问题是:如何configuration计划任务使用群pipe理服务帐户(gMSA)执行?
我在我的Ubuntu 10.04.04服务器上使用/etc/hosts.deny和ufw的组合。 大多数时候,我看到.com.cn域中的机器发生了失败的ssh尝试,如下所示: Failed logins from: 112.114.63.139 (139.63.114.112.broad.km.yn.dynamic.163data.com.cn): 1 time 不过,在/etc/hosts.deny中,我有这个规则: ALL: .com.cn 在连接到ssh之前,不应该阻止连接吗? 我已经通过阻止我的家用机器进行了testing,在获得login提示之前,它肯定会拒绝我一个连接(是的,我已经移走了我的ssh密钥,所以这些都没有涉及)。 这是按照预期工作吗? 编辑: James Sneeringer促使我更仔细地观察日志,也许我明白了为什么会发生这种情况。 从auth.log: Nov 5 09:38:40 mymachine sshd[22864]: warning: /etc/hosts.deny, line 21: can't verify hostname: getaddrinfo(139.63.114.112.broad.km.yn.dynamic.163data.com.cn, AF_INET) failed Nov 5 09:38:44 mymachine sshd[22864]: reverse mapping checking getaddrinfo for 139.63.114.112.broad.km.yn.dynamic.163data.com.cn [112.114.63.139] failed – POSSIBLE BREAK-IN ATTEMPT! Nov 5 09:38:45 […]
这是一个更安全的问题:是否有任何情况下(即将PHP作为CGI二进制文件与Apache模块进行比较,缺省默认configuration的例子等),如果PHP会崩溃,Apache将呈现PHP脚本的未处理源代码独立于Apache?
不久之前,我得到了一个答案,告诉我如何在正在运行的SSH ControlMaster进程中添加端口转发。 要知道这有很大的帮助,但我仍然错过了一个方法来消除这样的端口转发后,我不再需要了。 据我所知,你可以通过正常连接的内部命令键顺序来做到这一点,这似乎是被禁用的ControlMaster客户端。 即使这是可能的,我需要一个解决scheme,我可以用脚本自动化,这肯定不是那么容易。 有没有办法做到这一点? 它很容易自动化吗?
我想设置SSH密钥来自动化scp作业。 我目前的假设是“自动化”意味着没有密码的SSH密钥,但我愿意接受您的build议。 在我问这个问题之前,我做了很多Googlesearch。 这是我发现的: 很多页面解释了如何在没有密码的情况下configurationSSH密钥 很less有网页解释没有密码的SSH密钥的安全影响 因此,这个问题是杰夫·阿特伍德所说的“让互联网变得更美好”的主要候选人。 为了这个问题的目的,想象这个configuration: 来源1( 不受我控制): user1@host1 源2( 不受我控制): user2@host2 来源X / Y / Z( 不受我控制):等 目的地(由我控制): user3@host3 目标:设置“作业”(脚本,不pipe)从user1@host1和user2@host2 (等)到user3@host3使用scp 我已经知道: ssh-keygen生成SSH密钥 SSH密钥可以有空/无密码 ~/.ssh/id_dsa有私钥 ~/.ssh/id_dsa.pub有公钥 将~/.ssh/id_dsa.pub复制到~/.ssh/authorized_keys并仔细设置其文件权限 与其他用户/主机共享~/.ssh/id_dsa.pub内容以便与scp一起使用 在我自己的不同主机/用户之间的testing中,我知道我的设置工作。 什么麻烦我的安全影响。 而且,我承认我不是Linuxpipe理员,也不是安全专家。 如果我将这个公共SSH密钥交给另一个部门使用scp ,那么如果同一个密钥泄漏/丢失/被盗给另一个部门呢? 这是否暗示有权访问此公共SSH密钥的任何人都可以将scp用作host3 而不使用密码? 重要的假设要考虑你的回应: 我不关心外部黑客通过更广泛的互联网。 这些是安全企业networking上的Linux机器。 我无法设置其他用户ID。 我猜测有一种方法来限制特定的SSH密钥的访问,但我不知道如何。 也许~/.ssh/authorized_keys选项(我刚才了解到)? 是否有可能有多个SSH密钥 – 给每个源不同的密钥? 请告知正确的方法。