也就是说,如何设置这个帐户的读/写权限不同于在IIS中给予读/写访问权限(Windows 2003,所以如果我没有弄错,应该是IIS6)。 问题在于:看起来我们有安全扫描,并且作为IUSR帐户的一部分,无处不在的写入访问。 一大堆传统的ASP网站根本就不喜欢这个… 我非常了解的是,在IIS控制台中拒绝写访问就足以保护网站免受其他人随意丢弃文件,而IUSR访问只对运行服务器端的应用程序脚本有效,因此可以安全地给予写回访问权限。 编辑: 有问题的应用程序显然需要写访问自己的Web文件夹,否则这根本不是问题。 问题是如何configurationIIS /应用程序以满足安全性并使其工作。 我的第一本能是改变用来运行应用程序池的帐户。 但是,已经设置为NETWORK_SERVICE,那家伙已经完全访问有问题的文件夹。
我在Ubuntu上运行,我目前在linode上 [披露:推荐链接]。 我遵循本教程,已经成功在我的linode上设置了Virtualmin,并使用Virtualmin面板轻松创build网站和pipe理域: http://www.propellingsolutions.com/2011/01/how-to-install-virtualmin-on-linode/ 不过,我有点担心我的服务器的安全。 我不熟练Linux的东西。 SSH已启用。 我需要采取哪些措施来保护我的服务器免受黑客和剥削者的侵害? 任何build议将不胜感激。 谢谢。
我们的营销部门希望开始聘请外部公司协助开发和维护我们的营销网站。 目前这个网站是在FreeBSD上(使用apache),但是在接下来的几个月内会把所有东西都迁移到CentOS。 现在我们有一个内置的Subversion服务器,它包含所有的代码,开发人员检查代码,然后将代码推送到外部登台服务器,以确保一切正常,然后推送到我们的实时服务器。 就像我刚才提到的那样,他们会雇佣一个外包公司与他们一起工作。 我的任务是能够使用代码,但同时使它们远离networking。 以下是我的一些想法: 让他们通过我们的SonicWall(我们的主要网关)访问VPN,只允许他们通过443端口访问Subversion服务器,并阻止其他任何事情(我甚至不确定Sonicwall是否会这样做,还是只允许我授予在子网级别的访问权限。) 在DMZ中设置一个Subversion服务器,并且只允许来自其公司IP地址的入站stream量。 这将有效地阻止访问我们的networking,但仍然允许内外的人访问颠覆。 给他们在登台服务器上的帐户,让他们从那里工作(最懒,最不喜欢的解决scheme…) 选项2是我倾向于最多的选项。 有没有人有这些解决scheme的任何意见,或有一个完全不同的解决scheme,会更好地工作? 我们的最终目标是让他们在不影响我们networking的前提下编写代码。
我看到以下IPv6地址被我们的防火墙拒绝。 似乎没有什么太恶意的东西,但似乎有一个奇怪的模式给他们: 2aab:19a7:3971:94f4 :: 80fe(62,050个请求) bb2d:f96b:f097:bccd :: 80fe(31,392个请求) aafb:2bc8:ccad:1451 :: 80fe(26,400个请求) be2b:2477:43c2:4447 :: 80fe(21,754次请求) 这只是过去7天。 还有更多,但模式基本相同 – 它们都以::80fe 。 这让我想知道是不是某种蹩脚的企图把我fe80::认为这是一个fe80::地址(说实话,我差点摔倒了)。 有没有其他人与IPv6连接看到这样的事情? 我假设它是某种端口扫描,但IPv6是为了使随机端口扫描成为过去的事情(考虑到IPv6的庞大规模)
我一直在尝试将build议的修复程序应用于Apache的CVE-2011-3192,这是要添加到httpd.conf # Drop the Range header when more than 5 ranges. # CVE-2011-3192 SetEnvIf Range (,.*?){5,} bad-range=1 RequestHeader unset Range env=bad-range 但是,在Apache 2.0.59中,configtest说 Syntax error on line …. header unset takes two arguments 我们仍然需要使用范围标题,以便取消整个范围部分不是真正的select。 任何想法得到这个工作?
我们最近有第三方审计人员对我们的MS 2008networking服务器进行了渗透testing,发现了远程操作系统检测漏洞。 它检测到操作系统以及IIS的版本。 审计员build议:“如果可能,请configurationWeb服务器,使其不会在横幅中显示可识别的信息” 我已经做了相当多的研究,找不到任何简单的方法可以让我快速阻止这些信息被检测到。 有谁知道有什么办法做到这一点? 这是否需要在代码中的服务器级别或Web应用程序级别configuration/拒绝?
我是一个支持开发团队的系统pipe理员,我们的Subversion版本库受到与单一注册解决scheme绑定的HTTP基本身份validation的保护。 我们还与其他一些团队和潜艇分享我们的基础设施。 开发人员需要一个帐户,通过将帐户密码存储在脚本中或使用SSH进行无密码login,他们可以使用该帐户自动写入SVN(例如,自动检入一些生成的脚本,或者自动发布整个版本到目录)。 我的一个同事认为这是一个非常糟糕的主意,我倾向于同意,似乎有非常高的安全风险,无论是恶意的意图还是只是一个脚本写得不好,存储库。 然而,越来越多的人和其他团队和小组不断地询问,当我试图做一些我自己的研究时,我一直没有find任何支持材料来帮助我说服他们,这让我怀疑我这是错的,并不像我想的那样糟糕。 这些自动化脚本对我们的存储库造成的潜在安全威胁是否正确? 有什么替代品或保护措施,我错过了? 如果不是的话,任何人都可以指出我的任何支持材料的方向,可以帮助我解决问题吗? [编辑]我忘了提及我们也使用jenkins持续集成: http : //en.wikipedia.org/wiki/Jenkins_%28software%29
是否有可能种植ssh-keygen与一个固定的string,以便它始终生成相同的密钥对?
这可能是一个规范性的问题,也可能只是我缺乏经验的一个function,但我很想知道是否有最佳实践旨在避免依赖地狱,因为当你发现自己处于一个有限访问常见的开放仓库的环境时。 就我们的具体情况而言,我们的斗争是在一个大型公司的背景下进行的,这些公司的安全政策严重削弱了在安装各种软件时访问外部软件包的能力。 你如何平衡安全和需要获得公共回购? 有没有办法限制外部回购的依赖,而不使安装Linux软件不可能? yum或apt-get回购的安全性和可靠性可以提出什么样的论点? 我知道一个广泛的问题 – 我希望在这里适合 – 但我很好奇,看看别人在这方面的经验。
有一个新的工具和服务,可以很容易地破坏用于保护VPN的MS-CHAP v2。 在Ars Technica上可以find对MS-CHAP附件的很好的总结 。 以下是我现在configuration在Windows 2003 R2 SP2上运行VPN服务的方式: 我应该还是可以只用EAP? 我使用VPN的客户机是Windows-XP(我可以closures的less量机器),Windows 7和iPad。 我没有任何RADIUS路由器或WiFi或任何其他依赖于Windows VPN服务。 我的机器所具有的EAP方法是: