一些理论 我已经在tcp TIME-WAIT ( 这里和那里 )读了一些东西,我读到的是一个设置为2 x MSL (最大段寿命)的值,它在“连接表”中保持连接一段时间保证“在你允许创build与同一个元组的连接之前,所有属于该元组以前化身的数据包都将被删除” 。 由于在连接处于TIME-WAIT或不再存在的情况下,收到的段(除了特定情况下的SYN)将被丢弃,为什么不立即closures连接呢? Q1:这是否是因为在TIME-WAIT (即有性能优势)时处理旧连接中的段所涉及的处理较less而处理较less以在同一元组上创build新连接? 如果上面的解释不成立,我看到TIME-WAIT有用的唯一原因是如果一个客户发送一个连接的SYN ,然后它为同一个元组上的旧连接发送剩余的段,在这种情况下,接收者将重新打开连接,但得到坏段,并将不得不终止它。 Q2:这个分析是否正确? 问题3:使用TIME-WAIT还有其他好处吗? 一些实践 我一直在查看我pipe理的生产服务器上的munin图表。 这里是一个: 正如你所看到的, TIME-WAIT与ESTABLISHED有更多的连接,大部分时间是其中的两倍,在有些情况下是四倍。 问题4:这是否对性能有影响? 问题5:如果是这样,是否明智/build议减lessTIME-WAIT值(以及什么)? Q6:这个TIME-WAIT / ESTABLISHED连接的比例是正常的吗? 这可能与恶意连接尝试有关吗?
我需要一些关于encryption在192.168.0.xnetworking上运行wi-fi和LANstream量的小型专用networking上的所有stream量的build议。 networking将包括通过以太网连接或无线连接到Wi-Fi路由器(192.168.0.254)的客户端笔记本电脑。 服务器的主要目的是让客户端笔记本电脑在端口80和433上与不同IP(192.168.0.200和192.168.0.201)上的两台服务器通信。 我主要关心的是使用数据包嗅探器以及无法访问数据的内容。 我现在看到的唯一方法是让VPN在networking上运行或使用IPSec策略来执行此操作。 任何其他方式家伙?
我在搞solaris,决定试一试Solaris 11,所以我从Oracle网站上下载了它。 在安装操作系统之后,我进入了软件包pipe理器并进行了更新。 它告诉我,有可用的更新! 我觉得这很难相信考虑到它运行一个易受攻击的版本的firefox和java,它自己的内部软件产品! 许多与默认安装一起提供的其他软件产品也过时且易受攻击。 这是正常的Oracle安装,或者我做错了升级过程? 我在提示符下键入“pkg update”,我注意到它确实呼吁pkg.oracle.com寻找更新。 我发现奇怪的是,几个月前发布的操作系统没有可用的更新,这些操作系统是由易受攻击的软件发布的。
我们刚刚购买了一个程序,要求用户在MS SQL服务器中拥有一个帐户,并具有对程序数据库的读/写权限。 我担心的是,由于这些用户现在可以对数据库进行写访问,所以他们可以直接连接到程序客户端之外的SQL服务器,然后直接在表中混淆数据。 有反正我可以阻止访问数据库,同时仍然允许通过客户端程序访问? 编辑:SQL 2008 Express,如果需要,可以升级到SQL 2008 R2标准版。 每个工作站都需要访问,以便人们logging他们的小时/时间表。 工作站被locking,所以没有人有osql,工作室经理或类似的东西。 但是,他们可以设置一个ODBC数据源,然后通过Excel / Access进行连接。 现在只想到这一点,搞乱数据不再是大问题了,因为每个人的工资等都是在这个系统里面,所以存在隐私问题。 我同意这是一个非常糟糕的devise。
我想在我的Linux服务器上安装一个Web应用程序:我将首先向您解释Web应用程序的function,然后我会告诉您为了保护我的全新Linux系统,我做了些什么。 该应用程序将是一个分类广告网站(如gumtree.co.uk),用户可以出售他们的项目, 上传图像 , 发送和接收来自pipe理员的电子邮件 。 它将使用一些页面的SSL 。 我将需要SSH 。 到目前为止,我所做的确保我的股票Ubuntu(最新版本)如下: 注:我可能做了一些事情,将阻止应用程序完成所有任务,所以请让我知道这一点。 我的机器的唯一目的是托pipe网站。 (我把数字作为项目符号,所以你可以更容易地引用它们) 1)防火墙 我安装了简单的防火墙。 在默认情况下拒绝IN和OUT 规则:允许IN和OUT:HTTP,IMAP,POP3,SMTP,SSH,UDP端口53(DNS),UDP端口123(SNTP),SSL,端口443 (我不允许的是FTP,NFS,Samba,VNC,CUPS) 当我安装MySQL和Apache时,我将打开端口3306 IN&OUT。 2)确保分区 在/etc/fstab ,我在结尾添加了以下行: tmpfs /dev/shm tmpfs defaults,rw 0 0 然后在控制台中: mount -o remount /dev/shm 3)保护内核 在文件/etc/sysctl.conf ,有几个不同的filter可以取消注释。 我不知道哪一个与networking应用程序托pipe有关。 我应该激活哪一个? 他们是以下几点: A)打开所有接口中的源地址validation以防止欺骗攻击B)取消注释下一行以启用IPv4的数据包转发C)取消注释下一行以启用IPv6数据包转发D)不接受ICMPredirect(我们不是路由器) E)接受ICMPredirect只为我们的默认网关列表中列出的网关F)不发送ICMPredirectG)不接受IP源路由数据包(我们不是路由器) H)日志火星数据包 4)configurationpasswd文件 除了用户帐号和root帐号,用“false”replace所有帐号的“sh”。 我也为sshd账户做了这个。 我不确定是否会阻止SSH连接(我想使用)还是其他的东西。 5)configuration影子文件 在控制台中: passwd -llocking除用户帐户以外的所有帐户。 6)安装rkhunter和chkrootkit 7)安装Bum 禁用这些服务:“高性能邮件服务器”,“ […]
任何人都可以解释什么是不同的B / W MMC.exe和certmgr.msc? MMC的file-> snapfunction看起来很奇怪。 当我们从添加/删除pipe理单元中select计算机帐户时,某些证书出现在MMC中,但它们不出现在certmgr中。
在我的位置上,我们有一台Linux机器,我们的员工和外部公司可以下载并获取数据。 目前我们只允许ssh,scp和sftp。 不幸的是,我们处理大量的丢失和数据,并且在完成时,人们从不删除文件,导致存储问题。 在一台可以被外部访问的机器中存在很多的风险,我们已经在实施数据保留策略。 我知道这种情况并不罕见,那么是否有任何为pipe理这种情况而开发的软件呢?
当我打开Wireshark时,我可以看到除了我的机器发送的数据包。 它怎么可能? 例 8252 99.150192 somoeneip 239.255.255.250 SSDP NOTIFY * HTTP/1.1 8253 99.151204 fe8s0::15s34:12c8:2f2132:d99221 ff02::c SSDP NOTIFY * HTTP/1.1 8075 96.624367 otherip 239.255.255.250 SSDP NOTIFY * HTTP/1.1 值被修改为隐私
我正在调查活动目录和组策略的一些奇怪的问题。 这个域名已经从Windows NT升级,多年来一直有几个不同的pipe理员。 我正在查看默认域组策略和默认域控制器组策略。 在安全区域,以本地login区域为例,它显示以星号开头的SID,并且相当长,它们看起来有点像 *S-1-5-21-787626… 通常情况下,当我看到这样的事情,我会认为用户帐户不在那里,这是从来没有清理。 我的假设是错的吗? 提前致谢
我正在寻找一个电子商务网站的数据库使用ASA 5520。 根据Cisco ASA 5520自适应安全设备的销售终止和终止声明 ,该产品目前正处于一系列终止使用期限(跨越3/2013至9/2018)之间。 我可以安全使用这个防火墙多长时间,如果我select这个产品,我将面临哪些风险? 值得注意的是,防火墙是由一个主要的云服务器公司pipe理的,(据推测,他们已经获得了即将到期的服务合同)。