我在俄勒冈州的亚马逊VPC中为我的服务设置了生产环境: 2个可用区域 1个公共子网(包括堡垒,NAT和ELB)和3个私有子网(数据库,Web服务器和configuration/监督)在每个可用区域。 11个安全组 现在大约有25台虚拟机,希望它会增长。 现在我要设置暂存环境,但我不知道该把它放在哪里: 我应该简单地把临时实例放在生产实例旁边吗? 基本上,简单地重复使用相同的亚马逊地区,相同的可用性区域,相同的子网和相同的安全组? 我只需要创build指向登台实例的新ELB,就是这样。 简单。 或者我应该把临时实例放在他们自己的子网中 ,但仍然在同一个区域/可用区域? 公有子网必须是相同的,因为在一个可用区域中不能有两个公有子网。 拥有独立的子网可能会使事情更容易pipe理,而且我可以有专门的路由规则,通过不同的nat实例,也可能有不同的堡垒。 更复杂,但更严格的安全。 我认为我可能不需要加倍安全组,因为我可以有一个单一的总体networkingACL禁止生产和分段子网之间的stream量。 还是应该在不同的VPC中复制整个设置 ? 由于每个亚马逊地区只能有一个VPC,所以我必须在一个单独的地区进行。 暂存环境的整个要点与生产环境相同(或尽可能接近)。 因此,在不同的亚马逊地区设置暂存环境只是感觉不对:这排除了选项3,不是吗? 选项1最接近尽可能接近生产的目标。 但是,在相同的子网中有分段和生产环境感觉有点像一个潜在的安全问题,对吧? 所以我有点倾向于选项2,但是我想知道潜在的安全问题是否足够严重,以至于有两倍的子网可以pipe理? 那么testing环境呢? 它也应该类似于生产,但不需要严格匹配:一切都可以适用于less数情况,不需要ELB和一切。 也许这个环境可能都适合同一个VPC中的一个专用子网? 在同一个VPC中,可以简单地访问git仓库和厨师服务器,监督工具和openvpn访问等。 我相信很多人已经经历了这些考虑? 你对此有什么看法? 谢谢。
考虑到networking细分问题,如何定义在违规情况下重置密码的范围? 更改与受损系统位于同一networking上的所有计算机上的所有帐户的所有密码。 不完全是。 所有帐户。 所有的电脑。 是的,你是对的,这可能是矫枉过正的; 另一方面,它可能不是。 背景: 在为我的日常工作编写事件响应计划时,我提到如何处理受损服务器? 对于什么时候应该发生的一些想法。 我正在使用PCI DSS范围工具包定义的分段networking。 我的设置涉及非域和应用了内部分段的域。
我试图模拟一个TCP SYN洪水来调整一个Web服务器(计划在AWS上部署)。 我设置了一个'目标'虚拟机,禁用iptables,并从本地“源”计算机(在OUTPUT链中过滤RST)运行hping(hping -p 80 -i u1000 -c 1000 -S destaddr)。 我期望在目标服务器的netstat输出中看到1000个SYN_RECVlogging,但是我只能看到最多256个(每个“源”计算机256个)。 我似乎在“目标”机器上遇到了一些限制,无法find它在哪里。 tcp_max_syn_backlog增加到8096。 任何想法设置这个限制?
SMB 3提供了一个选项来启用encryption。 这是否意味着让人们通过互联网使用中小型企业是一种可能的select,或者还有其他关于中小型企业不可靠的方面吗? 我需要采取哪些额外的安全措施来保证足够的安全? 我知道有一个VPN解决scheme可以提供SMB,但是我想find一种方法来提供networking共享,而不需要SSL-VPN。
我需要一个新的公司路由器,但我正在寻找一个安全,但成本低的解决scheme。 我的第一个想法是得到一个20欧元的TP链接路由器,并与DD-Wrt闪存,但最新的固件是一岁,我似乎无法find一个选项来执行自动更新。 可以dd-wrt更新自己没有任何用户input? 如果没有,是否有任何安全的替代品,我可以使用呢? 我想设置它一次,然后让它做自动更新的工作。
我们正在使用MongoDB副本集来共享Web场中的会话和其他(可能敏感的)数据。 我们存储的所有数据都使用TTL索引在相对较短的时间(比如一小时)之后过期文档,部分是出于安全原因。 但是,我发现即使从MongoDB集合中删除数据,用于复制的oplog仍将包含所有创build(然后删除)的文档。 所有过期的数据都可以很容易地从oplog中读取。 根据分配给oplog的大小,其中的数据可能会很老。 我的问题是,这里最好的做法是什么? 有什么我们可以做的,除了严格的减lessoplog的大小,防止旧数据被访问?
有几千篇关于vsftp的博客文章, allow_writeable_chroot=YES 常见错误信息: 修复500 OOPS:vsftpd:拒绝以chroot()内的可写根目录运行 我解决了我的服务器上的问题。 但是还有一个问题: 为什么build议使用allow_writeable_chroot=NO ? 到目前为止,我只是发现了一些模糊的论点,比如“出于安全原因”。 这些“安全原因”是什么?
我们有几个Surface Pro 3设备在TPM + PIN模式下启用BitLocker的情况下部署。 该设备有一个TPM 2.0芯片,并运行Windows 8.1 Pro。 我们遇到了一个问题,即当用户input正确的PIN码时,偶尔会出现“input的PIN错误太多”错误。 然后他们必须input恢复密钥才能继续启动过程。 然后他们每次启动设备都需要input恢复密钥,直到我们使用tpm.msc手动重置TPMlocking,这显然是不方便的。 出于某种原因,TPM正在进入locking状态,但似乎并不是因为反复尝试错误的PIN。 事实上locking最终没有超时,如果你离开设备运行也暗示除了达到最大数量的不正确的authentication尝试之外的其他原因。 我了解TPM 2.0规范指出,这应该是这种情况,不像TPM 1.2规范那样给供应商留下了确切的行为。 运行Get-Tpm表明TPM肯定处于locking状态,但不提供有关原因的任何信息。 有谁知道是否有什么我可以做,试图确定locking的根本原因?
你推荐什么防病毒客户端用于办公环境中的Mac? (我不问你是否应该在Mac上运行AV,我要求客户推荐。) 候选人: Sophos的 ClamxAV 其他?
在我们的一个windows文件服务器中,我们有几个文件删除案例。 服务器也是一个域控制器。 不幸的是,由于这样的资源浪费,我们使审计完全失效。 所以我想知道如果有一种方法来审计特定安全组的特定文件夹,只是在指定的文件夹中的文件和文件夹删除。 另外,还有一个推荐的第三方审核或监督应用程序。 非常感谢。