我们刚刚有一个(相当重要的)WordPress的数据库莫名其妙地下降。 幸运的是,我们每晚进行备份,所以它不会成为世界末日,但是我希望在未来避免或者至less能够追踪这一点。 现在,我们还不知道数据库是否由于初级开发人员意外地将命令input错误的mysql命令行或phpymadmin窗口,或者这是否为恶意SQL注入攻击而被丢弃。 显然,我们需要对初级开发人员mysql用户帐户进行更严格的控制,但除此之外,我想知道通过服务器pipe理来检测/防止sql注入的最佳做法。 请注意, 我不想知道如何根据个人情况对input进行消毒处理 – 我每次都这样做,但是我们会写很多自定义脚本,而且我们总是会让那些可以忘记或得到这个错误的初级开发人员。 至less,我想知道最好的(最简单的)方法: 以标准访问日志logging格式logging所有包含查询string或发布数据的所有GET或POST请求(我想象使用像/(drop|delete|truncate|update|insert)/正则expression式对所有的单个文件虚拟主机,然后我可以grep 只logging以drop , delete , truncate为单个文件的mysql命令。 每个条目都需要包含在最less的时间和mysql用户,但是如果我能够通过命令行或者php来查看,那么也是很好的,如果php是脚本的话。 谢谢你的帮助! 显然,让我知道是否有任何使用我忽略的标准日志的基本解决scheme。
我自己和同事都是网站pipe理员为我们有每个网站集合。 那么,直到周五晚上。 大多数pipe理员权限已被禁用两个整个网站集。 没有自定义代码在MOSS中的任何地方运行,并且根本没有设置工作stream程。 在这两个受影响的网站集上,我的网站操作菜单显示了以下选项: 查看所有网站内容 查看报告 签出给我 最后修改我 待批准 我的任务 所有草稿文件 在未来七天内生存 在未来七天内到期 pipe理内容和结构 我们认为这是某种授权问题,其中过期的许可证密钥只是删除pipe理权限(允许您的内容可以访问),而不允许您编辑内容。 以下是网站集布局: 根网站收集(仍然可以访问) 网站集1(无法访问) 网站集2(无法访问) 网站集3(仍然可以访问) 网站收集其余(仍然有访问) 我在根网站集上运行了stsadm的enumsites操作,输出结果显示我的同事是所有者,而我是第二所有者(所有网站集中pipe理员和辅助pipe理员在pipe理中心进行匹配)。 它匹配两个星期前的输出完全(我有它比较)。 有任何想法吗? 其他地方我应该检查中央pipe理?
在进行安全审查之后,我正在拆分当前在公司域中的单个计算机上的Windows 2008 Server应用程序的层。 我想将IIS 7 Web UI移动到域中的新计算机上,以便用户可以使用其AD帐户进行身份validation,并将其余(应用程序层和数据库服务器)留在当前计算机上,但从防火墙后的域中移出。 应用程序层服务需要在域服务器上的各种共享上创build文件。 以前,服务作为一个特殊的域用户运行,可以访问共享。 现在这是不可能的。 有没有办法允许域服务器上的共享文件夹(通常是资源)访问非域用户/机器?
赋予文件系统的非root用户所有权是否有任何安全隐患? 例如,目录/var/lib/pgsql/9.0/data及其内容需要由postgres用户拥有。 如果我想把它的内容放在自己的文件系统上,是不是很好 直接在/var/lib/pgsql/9.0/data上挂载该文件系统 要么 创build一个由root拥有的目录(例如/mnt/pgsql_data ),在那里安装文件系统,在该文件系统上创build一个由postgres拥有的目录(比如/mnt/pgsql_data/data )并且创build/var/lib/pgsql/9.0/data一个符号链接到该目录 前者唯一潜在的安全问题是让postgres用户能够修改lost+found目录(如果是ext2,ext3或ext4文件系统),但我认为这并不严重影响。 是什么促使我问这个问题的是,如果文件系统安装在数据目录上,则不支持创buildpostgres数据库; 看到这个pgsql-hacker的讨论 。 我以前没有考虑过这个职位的第一点。
默认情况下,Debian和Ubuntu(至less)设置/etc/ssh/ssh_known_hosts没有读取其他人的权限。 那背后的逻辑是什么? 我不能用o+r来考虑任何安全风险,另一方面,让它公开可读对于pipe理员分发的文件是有用的。
如何创build需要用户成为两个或更多不同组的成员的文件或文件夹才能读取/写入文件夹? 例如,假设我经营一家汽车维修店,我有一个名为“维修历史”的文件夹,如果他们是“机械师”和“收银员”组的成员,我只希望人们访问它。 这将是一个AND的要求,而不是似乎是常态的OR要求。 我知道我们可以创build一个单独的组来访问文件夹,但这更像是一个学术问题,因为它涉及到我们正在创build的不同的安全结构。 我不知道MS安全处理它,但我想知道如何做到这一点。
我们有两个运行在SQL故障转移群集中的Windows 2008 R2 SP1服务器。 其中之一,我们每30秒在安全日志中获得以下事件。 空白部分实际上是空白的。 有没有人看到类似的问题,或协助追查这些事件的原因? 没有其他事件日志显示任何相关的东西,我可以告诉。 Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 10/17/2012 10:02:04 PM Event ID: 4625 Task Category: Logon Level: Information Keywords: Audit Failure User: N/A Computer: SERVERNAME.domainname.local Description: An account failed to log on. Subject: Security ID: SYSTEM Account Name: SERVERNAME$ Account Domain: DOMAINNAME Logon ID: 0x3e7 Logon Type: 3 […]
我们正在使用Ubuntu 12.04 LTS。 以下是从uname -a命令输出: Linux trainingmac1 3.2.0-32-generic #51-Ubuntu SMP Wed Sep 26 21:33:09 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux 我们是培训机构,我们正在尽力为笔记本电脑上的所有用户禁用CD / DVD驱动器。 在这里列出的选项似乎没有工作在Ubuntu 12.04 LTS, 如何禁用Linux和普通用户的CD-ROM和USB? 我们尝试了以下所有的方法, 使用系统BIOS 不幸的是,笔记本电脑的BIOS没有选项禁用DVD驱动器。 它只能select禁用从DVD启动,我们做了 使用/ etc / group 根据这个文件http://ubuntuguide.org/wiki/Ubuntu:Precise ,以下是说明, “要使用cdrom,您必须属于cdrom。要使用热插拔设备,您必须属于plugdev。” 我们使用的Unix用户(用户tngusr1)不属于/ etc / group文件中的任何这些组。 结果:用户可以访问CD / DVD ROM,如果用户放入空白光盘(CD / DVD),则会加载光盘,如果安装了brasero,用户可以写入新光盘 在/ media和/ cdrom上使用chmod 已更改/ cdrom和/ media的权限 chmod […]
问题:创build和维护数百个学生帐户 我所在的学校在Server 2008上运行Active Directory。每年,我们的学生都必须使用第三方SaaS学校pipe理系统注册帐户。 这在过去创造了很多工作,因为要为学生编写代码,学生经常丢失代码或不知道如何input代码。 之后,设法注册的学生可能会忘记他们的用户名或密码,然后到我(单机系统pipe理员)进行密码重置等操作。 解决scheme1:询问用户密码 今年秋天,我们搬到了一个新的短信,显然不支持任何forms的批量学生注册。 政府计划与每个学生见面,要求他或她input用户名和密码,并手动为他/她创build一个帐户。 我想,如果我们能够整合这两个系统并避免这个问题,那不是很好吗? 当我联系第三方公司时,他们说他们没有集成Active Directory。 我决定创build自己的系统:一个数据库与一个作为学生帐户login脚本运行的程序结合在一起。 它是这样工作的: 当学生第一次login到Windows时,他们被要求input密码 密码将根据存储在Active Directory中的密码进行检查 如果它们匹配,密码将存储在数据库中(密码不能简单地从Active Directory转储到数据库中,因为Active Directory密码是只写的) 程序的服务器端组件使用存储在程序数据库中的Active Directory密码为第三方公司的学生创build帐户 新问题 现在,问题是,如果用户的密码在Active Directory中重置,它们不会在数据库中更新。 如果用户从工作站更改密码,则密码不会在数据库中更新。 还有数据库本身的安全问题。 解决scheme2:可逆encryption 我注意到活动目录可以用可逆encryption存储密码。 我知道这是没有正式logging的,而且很清楚,即使是写“密码检索”这个短语也带来了“世界末日”的可能性。 但是考虑到这个风险,我不认为我们的服务器有很大的危险性,即使是这样,攻击者也不会对学生的帐户做任何事情。 build议吗? 你会如何推荐我解决这个问题? 有没有一种方法可以放弃我的中间人数据库,并直接使用Active Directory中的信息? 我应该放弃尝试整合系统吗? 任何想法都是值得欢迎的,其中包括关于单点login的想法如何被置于首位的评论。
这里的瘦:我有一个Linode的VPS,我想通过rsync备份到我的本地笔记本电脑。 我刚刚为通信生成了ssh密钥,并留下了私钥的空白密码,所以我可以通过cron的rsync而不用担心密码。 为了额外的安全性,我也拒绝了root sshlogin。 理想情况下,我想备份从/下来的一切,但这是不可能使用普通用户,除非我给一个特定的用户rwx访问的一切。 什么是最好的方式来通过rsync备份整个文件系统,而不允许rootlogin?