在Debian中,我已经安装了memcached(使用本指南 ),以降低mysql数据库上难以pipe理的负载。 数据库位于单独的服务器上,memcached和Varnish位于前端服务器上。 是不是一个潜在的安全漏洞让memcached不受防火墙的保护? 如果是这样,我应该如何保护它? 情况尤其令人担忧,因为我收到(未经证实的)关于服务器上的cookie窃取的报告。 谢谢
所以我今天和同事讨论了一下,他让我觉得很奇怪,因为我准备将安全更新应用到我们的一台生产服务器上。 “你不应该应用内核更新。” 他的理由是,你不知道是否会打破任何链接的模块,这可能会导致应用程序碎片。 我会买这个,如果可能无论你正在运行需要你build立自定义的内核模块 – 但对于你的标准应用程序这真的是一个问题? FWIW有问题的盒子运行一个Apache web服务器和一个数据库。 我认为定期应用安全更新对于防范漏洞是必要的,而且他认定的风险超过了在生产环境中使用最新内核的好处。
我们目前正在使用一套Amazon EC2-classic服务器来托pipe我们的现场和临时环境。 我们在每个环境中都有几台Web服务器和一台后台工作服务器。 我们还有一些服务器用于构build和部署。 我们最近决定,因为我们的某些服务器偶尔会将它们移动到T2服务器types(这是我们的构build和部署服务器)。 T2types只能在VPC中启动。 所以我们build立了一个VPC,成功地让它们运行,一切都很好。 问题是,我们希望能够让我们的部署服务器能够与特定端口上的Web服务器交谈。 以前,我们在安全组中设置了这个function,所以这些Web服务器只能监听那个端口上的部署服务器,而没有其他人可以跟它通话。 现在,虽然我正在访问Web服务器来编辑其安全组,以允许通过其服务器组从VPC部署服务器上允许该端口上的stream量。 然而,亚马逊告诉我,“你不能在VPC组和非VPC组之间定义规则”。 然而,我想不出有任何其他方式可以允许从这个VPC的服务器访问。 我显然可以将我的部署服务器的公共IP硬编码到允许列表中,但是我认为如果我要停止并启动部署服务器,这可能会改变,所以这不是一个好的解决scheme。 我也可以把我所有的服务器移动到VPC,但是我宁愿避免移动所有其他服务器,包括我们的在线Web服务器,以便使其工作,因为这似乎是一个很大的工作(鉴于它不会只是一套安全规则并将其转换为VPC规则等)。 那么我怎样才能定义一个规则,说EC2-classic服务器只能通过VPC中的特定服务器连接到端口xyz上?
前言 就像Linux中的所有东西一样,我相信有很多方法可以通过iptables获得预期的结果。 我想限制以下类别的答案: 选项有什么区别? 哪个选项最好(或者他们是一样的)? 你为什么比另一个更喜欢? 请说清楚你正在说什么类别。 声明偏好是可以的 ,但不要暗示它是最好的 。 例如 我更喜欢把–jump作为第一个参数,因为我认为它首先具有意图并且我喜欢像多个命令的参数那样垂直alignment。 题 其中一个比另一个好吗? iptables -I INPUT –jump ACCEPT –in-interface lo iptables -I INPUT –jump ACCEPT –source localhost 其中一个比另一个好吗? iptables -A INPUT –jump REJECT iptables -P INPUT REJECT
所以我设置了一个linux服务器,并忘记禁用明文ssh密码或安装denyhosts或启用任何forms的密码策略。 通常我拒绝主机,它运作良好。 由于缺less这个重要的步骤(是的,我应该自动化的过程),一个弱密码的用户已被黑客入侵。 现在假设一般的权限是好的,我可以做些什么来解决他们做了什么,并将其删除? 顺便说一句,我是一个程序员的天性不是一个系统pipe理员,所以请亲切!
我是新来的真正的系统pipe理,但已在我的家里运行Linux服务器多年。 我并没有太在意安全,因为我在工作中维护的less量服务器一直在内部网上,所有员工都可以访问存储在服务器上的所有信息,所以这是我第一次尝试真正保护系统。 我知道很多(或者可以在互联网上find它)关于locking一个系统的生产使用,但我似乎无法find大量的安全删除文件的Linux机器上使用日志文件系统。 从我读过的日志来看,由于日志过程,即使使用srm或shred等工具,也容易受到数据恢复的影响。 那么,在Linux上安全删除文件的最佳方法是什么? 使用LVM有什么区别? 非常感谢! 编辑1:添加一点澄清,我想要安全的服务器将包含其他用户的数据,所以虽然我可以删除(或碎片)的文件,我不能这样做整个分区,因为它将包含数据对其他用户仍然重要。 到了时间到了,我并不担心驱动器的安全。 如果需要的话,我可以把它放在一个巨大的磁体前面,然后把它扔到火山里,我担心它会从远程访问中得到保护。 物理站点是相当安全的,虽然encryption驱动器可能仍然是一个好主意。 编辑2:编辑标题,以更准确地描述我正面临的问题。
我想将几千兆字节(apx。250 GB)的敏感数据从美国的一个位置传输到另一个位置。 目前看起来最简单的方法是发送一个包含数据的encryption硬盘。 这样做有什么select? 安全是头等大事。
我发现当地学校的网站安装了一个Perl日历 – 这是几年前,它已被使用了很长时间,但谷歌已经索引(这是我怎么find它),它充满了伟哥链接等。 。程序是由马特Kruse,这里是详细的利用: http : //www.securiteam.com/exploits/5IP040A1QI.html 我已经得到了学校去除,但我认为他们也安装了MySQL,并且我意识到,旧版本的Admin Tools / Login已经有一些漏洞。 对于所有我知道他们也有PHPBB之类的安装… 学校只是使用一些便宜的共享主机; 我得到的HTTP响应头是: Apache / 1.3.29(Unix)(Red-Hat / Linux)Chili!Soft-ASP / 3.6.2 mod_ssl / 2.8.14 OpenSSL / 0.9.6b PHP / 4.4.9 FrontPage / 5.0.2.2510 我正在寻找一些方法来检查是否安装了其他垃圾(很可能是退后一步,现在未使用),这可能会使网站处于危险之中。 我更感兴趣的东西,可以扫描的东西,如MySQLpipe理漏洞,而不是开放的端口等。我的猜测是,他们几乎没有控制他们的主机空间 – 但我是一个Windows DEV,所以这*尼克斯的东西对我来说都是希腊的。 我发现http://www.beyondsecurity.com/看起来像它可能做我想要的(在他们的评价:)),但我担心如何找出他们是否知名/诚实 – 否则我会小费他们与一个可能有风险的域名眨眼! 非常感谢。
在有线networking上处理不受信任的设备有哪些好方法? 这里有几个我正在考虑的例子: 一位公司老板经常带他的笔记本电脑,并插入networking。 用户带来了一台笔记本电脑或其他设备,并出于任何原因插入,但不要刻意恶意。 笔记本电脑进来,可能有病毒,但需要连接获取更新等。 我们所有的普通设备都使用静态IP。 我有一个想法是closures我们的工作子网上的DHCP,然后创build第二个子网与DHCP设置到服务器IP上。 基本上,我们最终会在同一物理networking上运行两个子网。 这个想法是,任何不受信任的设备将从DHCP获得一个IP,因此把它放在不受信任的子网上。
我感觉有些人正在使用根,我如何能logging所有命令和连接时间,包括所有用户对服务器(ssh)所做的ips? 历史命令是不够的