如何防止外部用户获取我机器上的文件列表? 例如,我的网站在文件夹/ htdocs /中,我也有一些其他的随机文件。 我如何确保用户只能看到该网站,并且永远无法获得关于该硬盘上的哪些文件的概述?
截至本周,组织中的所有域pipe理员都必须提交背景和信用检查以维护这些权利,并且很可能延续就业(毕竟,没有任何权限的组织的域pipe理员有什么用途)。 这对我们来说似乎有点矫枉过正。 虽然我们是一家大型的跨国自然资源公司,但我们不是一个军事,政府或医疗机构,我们当然也不会和孩子们一起工作(虽然在一些会议上也有这种感觉 )。 所以,我想我的一个相当普遍和开放的问题是: 你有没有受到背景,安全和信用检查的责任? 如果是的话,是什么types的组织? 你觉得这是保证,还是矫枉过正? 思考和意见表示赞赏
我需要设置一个网站与客户共享文件。 关于它的一切都是安全的,所以我不想使用直接的FTP。 另一个要求就是要使用起来很容易,因为要传输文件的人绝不是技术上的倾向。 我已经使用chroot jail和linux一起走下了SFTP / SCP之路,但是在最终用户的工作站上还没有得到客户端的需求。 思想? build议? 提前致谢!
将防火墙中的开放端口从一些不显眼的端口号映射到给定服务的正确端口号是否值得麻烦? 或者更简单,同样安全的只是提供外部世界所需的实际端口号? 如果使用默认端口,客户端软件通常预先设置为正常工作,并且在许多情况下,人们倾向于不阅读经常导致不必要的中断和复杂性的指令。 这将是一个中小企业的情况。 所有的软件保持最新,互联网安全软件安装在一切。 如果我们需要一个例子,我们考虑一下POP3 SSL @ 995或FTP @ 21。
我们目前的硬件防火墙允许阻塞传入和传出的端口。 我们有两种可能性: 阻止某些麻烦的端口(不安全的smtp,bittorrent等) 阻止除了几个批准的端口(http,https,ssh,imap-ssl等) 我发现选项2有几个缺点。有时,Web服务器托pipe在非标准端口上,我们将不得不处理由此产生的问题。 另外,例如,没有任何东西阻止恶意的或不需要的服务被托pipe在端口80上。 有什么好处?
如果我只想允许出站stream量的HTTP,POP3,IMAP4,SMTPfunction(即没有托pipe在站点的服务器),是否还有其他端口需要打开以允许这些function工作(例如,DNS UDP端口)? 另请参阅: 始终打开的出站端口 如果下面的一些答案看起来很奇怪,请参阅这篇文章的编辑 – 我删除了很多细节,似乎要求完全回答不同的问题。
我正在清理一个没有很好logging的inheritance域。 我如何检查一个特定的组织或用户是否在整个AD内都没有ACE? 比如在AD对象和文件服务器对象中searchDACL / SACL。 pipe理者甚至做这种尽职调查吗? [编辑]我还不能添加评论,但我要感谢本和吉姆的回应。 准备这样深思熟虑的答案需要很长时间,所以我尊重他们的慷慨和愿意分享他们的经验。 感谢您检查基于AD的权限的位置列表 – 非常有帮助。 我赞赏如果访问被无意中删除,保留空群组以重新填充的build议。 我已经写了一些C#代码枚举组成员资格,所以我有这个备份。 (我觉得比PowerShell更容易使用)。我也使用Shareinum这样的sysinternals工具。 Notes / Description字段 – 它们是什么? 说真的,我知道他们是什么,但我的前任并没有使用它们。 他们也没有使用嵌套组。
我公司的IT部门将被称为“电脑采购和局域网电缆维护部门”,因为这只是他们能力的限制。 在我的部门,我们刚刚退出了一个人,今年我们的人数已经减less了一个,所以我们有一个用户less的DELL桌面。 部门主pipe已经请我(爱好程序员)把它变成一个服务器,用于该部门的内部使用。 目标function将是: 链接到MediaWiki Collabtive 某种版本控制( 也许 ) 没有购买一台合适的服务器的预算,所以我们build议我们擦桌面并做好。 与“IT”经理谈话,他同意擦除它,安装一个新的WinXP副本,解锁pipe理员权限,在局域网上给它一个专用的IP,然后忘记它存在。 换句话说,如果我打破了这是我的问题。 我的服务器经验限于在几台家用机器上运行不安全的XAMPP,以便在更新我的网站之前testingPHP和JS代码。 刷新我的XAMPP的理解刚才,我感到震惊的不是所有的地方(由XAMPP团队和其他人)的免责声明。 由于XAMPP是我原来的计划(用你所知道的去…)我现在在猜测这个想法的智慧。 所以,我来帮忙,给serverfault一些build议。 如果你在我的位置(中档桌面,新鲜的WinXP,需要在局域网上托pipePHP和MySQL驱动的web应用程序),你将如何解决这个问题?
所以这个build议的一个缓解措施是: 1)使用SetEnvIf或mod_rewrite来检测大量的范围,然后忽略Range:标头或拒绝请求。 选项1 🙁 Apache 2.0和2.2) # Drop the Range header when more than 5 ranges. # CVE-2011-3192 SetEnvIf Range (,.*?){5,} bad-range=1 RequestHeader unset Range env=bad-range # optional logging. CustomLog logs/range-CVE-2011-3192.log common env=bad-range 现在,当我将其添加到我的httpd.conf中时: <IfModule mod_setenvif.c> SetEnvIf Range (,.*?){5,} bad-range=1 RequestHeader unset Range env=bad-range </IfModule> 重新启动Apache时出现此错误: “无效的命令'RequestHeader',可能拼错或由未包含在服务器configuration中的模块定义” SetEvnIf模块似乎被加载。 这个参数有什么问题? 版本是Apache / 2.2.14。 咨询的链接是: http : […]
我一直在看几个数据泄露/丢失预防套件,但在他们的文档中,我无法find他们如何对待HTTPS。 其中一个“泄漏向量”是通过HTTPS向webapps发送信息。 在这种情况下,检测泄漏的唯一方法就是将其解密。 但是,要做到这一点,就必须使用假证书模拟远程服务器,就像中间人攻击的人一样。 为了避免用户被怀疑或抱怨,我猜测公司需要将他们的证书作为有效的CA插入公司拥有的设备浏览器中。 我的问题是: 有没有人在这种情况下的第一手经验? 你能告诉我们你是如何实现它的? 我是对的还是有另一种pipe理HTTPS的方式(例如,使用代理检测桌面级使用的数据)?