我们目前有一些VPN连接的问题。 整个事情减缓了开发和反应时间。 我之前工作的地方习惯于使用SSH访问自托pipeSubversion的FTP和HTTPS。 在真实世界的生产环境中:您多长时间使用VPN而不是HTTPS来由外部员工访问Subversion版本库? 如果你这样做,是安全的主要关注?
我一直在考虑用OpenBSDreplaceUbuntu,以提高本地服务器的安全性。 我需要ssh访问它,我也需要它来提供静态网页内容 – 所以我需要打开的唯一端口是22和80。 但是,当我在安装OpenBSD 4.8之后扫描服务器的开放端口,并在/etc/rc.conf启用ssh和http httpd_flags="" sshd_flags="" 我发现它有几个其他的开放端口: Port Scan has started… Port Scanning host: 192.168.56.102 Open TCP Port: 13 daytime Open TCP Port: 22 ssh Open TCP Port: 37 time Open TCP Port: 80 http Open TCP Port: 113 ident ssh(22)和http(80)应该打开,因为我启用了httpd和sshd,但为什么其他端口是打开的,我应该担心它们会产生额外的安全漏洞吗? 它们是否应该在默认安装中打开?
当我购买新的服务器时,我很快就会改变我的基础设施。 我将用我的旧服务器硬件(Intel Atom 330,1GB RAM,英特尔Pro服务器MT双千兆网卡)replace我的D-Link DIR-655路由器与pFsense路由器(也许使用655作为AP)。 我的新服务器将基于SandyBridge并运行Apache + Samba。 现在,当我在家里build立这个新的基础设施时,我想尝试DDoS保护,我知道有一些模块和apache的东西让我这样做,但由于我将有一个基于BSD的路由器最好的解决scheme似乎在路由器中设置了一些东西,从而减less了路由器后面的networking硬件。 所以基本上这些背景信息我想问一下,我将如何build立这样一个configuration,是否是最好的解决scheme? 在pFsense中设置DDoS保护是否明智或者Web服务器应该如何处理? 有人会认为尽可能早地放下包装是最好的。 即使我可能不会受到DDoS攻击,最好是安全,然后抱歉。 编辑:我明白,我的服务器可能无法处理严重的DDoS攻击,但通过最大限度地保护,使我的基础设施可以处理一点点大的攻击,然后没有保护我可能会阻止一些脚本小子与小“僵尸networking“从服务器输血。 所以我想要做的就是尽可能的保护软件。 即使不是软件相关的事实,我只使用英特尔Pro服务器nics应提高我的几率,因为他们消耗更less的CPU功率,那么你会看到在平台上的Realtek nics在受损系统。 我不希望有人能够因为没有正确configuration就把系统closures。 但正如前面提到的,我很可能永远不会受到这样的攻击,这主要是因为我想试验我的select。
我们运行的ESXi主机总共有5个NIC。 到现在为止,它只托pipe我们内部networking的虚拟机。 我们也有一个防火墙,以便网上的用户可以浏览互联网(代理)。 防火墙是一个UTM设备,也有一个DMZ端口。 现在我想我们也可以把一个networking服务器(或类似的)放在一台虚拟机上,并通过互联网访问。 此虚拟服务器将在连接到防火墙的DMZ端口的ESXi上获得一个专用NIC。 这是一个好主意,还是有任何(安全相关的)对这种情况的考虑? 由于它是一个单独的网卡,它将在vCenter上获得自己的vSwitch,并且不会与内部networkingbuild立物理连接。 但是,vCenterpipe理整个主机,并且可以访问所有网卡等,所以我不确定这是否是最好的解决scheme。
我们有一个政策,每个人在办公室离开笔记本电脑的时候都要把它放在橱柜里或柜子里。 为了方便起见,所有的笔记本电脑用户也都配备了扩展坞。 这项政策是在办公室晚上进入办公室之后多年前提出的。 继续执行这个政策还是安全剧场是有意义的? 我们的环境详情: 40%的员工使用远程桌面(本地没有客户端数据) 60%的员工使用密集的应用程序访问文件服务器上的客户端数据 客户端数据偶尔会被复制到笔记本电脑以供在现场使用 Outlook在本地安装在所有便携式计算机上并连接到Exchange服务器 其他想法: 我们是防盗保险,但免赔额接近笔记本电脑的成本。 隐私违约可能比物质资产的损失更为昂贵 服务器房间被认为足够安全(没有窗户!) 所有笔记本电脑都在考虑全盘encryption
Linux中是否存在安全入侵报告工具? 一些会(login后)报告安全/系统改变这样的事情: Failed Login Attempts: jsmith from 1.2.3.4 against example-host performed 37 times Account changes: New user: name=c0rt3z uid=1050 … PS:对不起,如果这是重复的,我不知道如何这种types的东西在Linux命名
我刚刚阅读了这篇关于DNScaching中毒的文章 ,虽然我明白了,但我是否正确地说,当服务器位于使用地址或端口受限的锥形NAT的路由器后面时,DNScaching中毒是不可能的?
我有一个公共的DNS,我想要防止某种types的攻击者每隔一秒用相同的域名input命中我的DNS服务器。 我现在是根据iptables规则做的,但是我想知道是否有一个自动系统可以用于这个目的。 我记得http2的fail2ban,有没有像这样的DNS查询有什么? 谢谢!
我正在修改我通过Googlesearch到的一些例子来构build一个初始化脚本来运行一个VirtualBox OSE虚拟机作为守护进程。 我想指定一个VNC访问虚拟机的密码,这个必须作为VBoxHeadless命令的一个参数给出。 通常情况下,init脚本可以被标准用户读取,这似乎是一个有用的约定,但我也不希望这个虚拟机的VNC密码存储在易于访问的纯文本。 什么是处理这种情况的最合适的/传统的方式? 也许把一个根可读的支持数据文件放在某个地方,并让init脚本从那里加载值?
可能重复: 子网划分如何工作? 因此,如果我将62.234.231.65/32添加到安全组中允许的IP中,是否意味着从62.234.231.0到62.234.231.255的IP 62.234.231.255可以访问该实例?