我正在研究一些iptables防火墙规则,并且看到了许多例子,这些例子说明阻止来自不可路由的IP地址空间的可能的stream量的重要性。 这将包括来自RFC 1918,RFC 1700,RFC 5735,RFC 3927,RFC 3068,RFC 2544,RFC 5737,RFC 3171和RFC 919的项目。一些示例包括以下内容: $ CURRENT_IP 0.0.0.0/8 10.0.0.0/8 127.0.0.0/8 169.254.0.0/16 172.16.0.0/12 192.0.0.0/24 192.0.2.0/24 192.88.99.0/24 192.168.0.0/16 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 224.0.0.0/4 240.0.0.0/4 255.255.255.255 一些例子表明,如果它是stream量的来源,你只需要担心检查这个stream量。 例子: $IPT -A ANTISPOOF -s 0.0.0.0/8 -m limit –limit 5/min –limit-burst 5 -j LOG –log-prefix "Denied Spoofed Source IP Address: " $IPT -A ANTISPOOF -s 0.0.0.0/8 […]
我曾考虑过这个问题,而且我的主机提供了带外支持,所以我可以简单地创build带外密钥指纹,并在从家中连接到该服务器时进行比较。 除了带外访问之外,还有其他方式可以validation您连接的主机的确是您购买的服务器吗? 这在实践中是如何完成的?
我试图访问服务器上的共享。 出现凭证框,并input正确的用户名和密码,并且拒绝访问。 愚蠢的是,我可以远程桌面到服务器(使用相同的凭据),我可以检查安全事件日志的访问被拒绝的错误: Event Type: Failure Audit Event Source: Security Event Category: Account Logon Event ID: 681 Date: 3/19/2011 Time: 11:54:39 PM User: NT AUTHORITY\SYSTEM Computer: STALWART Description: The logon to account: Administrator by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 from workstation: HARPAX failed. The error code was: 3221225578 和 Event Type: Failure Audit Event Source: Security Event Category: Logon/Logoff […]
我想知道是否有一个恶意软件扫描仪的最新漏洞在Apache2.2的Debiannetworking服务器上使用的网站? 漏洞扫描器非常棒,但是我也想确保未被发现的黑客攻击企图通过恶意软件感染我的文件。 我已经使用这些工具来监视我的系统: 蛤蜊AV(反病毒) Paros(漏洞扫描器) 马鹿(弱点扫描仪) Scrawlr(漏洞扫描器) W3af(漏洞扫描器) mod_security的 编辑:我正在寻找像刚刚安装在我的networking服务器上的Sucuri扫描仪 。
我正在尝试使用EC2来提供一种易于使用的方式来引导难以构build的Web应用程序。 麻烦的是,文件系统上有一些敏感的configuration,例如密码盐。 我已经编写了一个用户数据脚本,它在首次启动时用随机值replace这些盐,并将其放入我构buildAMI的实例的user-data属性中。 但现在看起来像用户数据脚本特定于实例,而不是AMI – 也就是说,它只在用户进行克隆时指定运行,而不是AMI(我)的创build者。 那么…呃,我想这是有道理的名称“用户数据”。 这是错的吗? 有没有什么办法可以提供一个在我的AMI的新克隆上自动运行的脚本?
我想允许其他人在Exchange 2007服务器上pipe理用户帐户和邮箱(添加用户,重置密码,禁用帐户)。 显然,他们不应该能够禁用或更改pipe理员帐户或对服务器进行任何其他types的更改。 请告知我应该授予他们的最低安全权限,以便他们可以单独执行这些function。
这是我的情况:有一些开发人员都需要有权访问从远程来源安装ruby和python蛋。 目前,我们的防火墙内有一台服务器,用于承载gem和鸡蛋。 我们现在希望能够在我们的防火墙之外安装托pipe在该服务器上的东西。 由于我们所拥有的一些gem和鸡蛋是专有的,我希望稍微locking一下机器的访问权限,尽可能地向开发者隐瞒。 我的第一个想法是使用类似ssh键的东西。 所以,我花了一些时间来看SSL的相互authentication。 我能够使所有设置正常工作,用curl进行testing,但不幸的是我必须传递额外的参数来curl,以便知道证书,密钥和证书的权限。 我想知道是否有类似ssh代理的东西可以自动提供这些信息,以便我可以将证书和密钥推送给开发人员的机器,这样开发人员无需每次都login或提供密钥尝试安装一些东西。 另一件我想避免的是,当他们进行http连接时,必须修改'gem'命令和'pip'命令来提供密钥。 任何其他可能解决此问题的build议(不涉及ssl相互身份validation)也是受欢迎的。 编辑:我一直在继续研究这个,我遇到了stunnel 。 我认为这可能是我正在寻找的,任何关于stunnel的反馈也将是伟大的!
我正在云提供商上运行Linux虚拟机。 如此有效地,磁盘是一个VHD文件。 该机器将在磁盘上有一些敏感的信息,如证书,密码…我想encryption一些部分(或全部)的磁盘,以防万一有人得到他们的手在VHD文件,他们不能收回私人信息。 当然,由于服务器可能随时由云提供商重新启动(安全更新,迁移到不同的物理主机等),因此在启动时询问密码不是一个选项。 如果可能的话,我怎么能做到呢?
亚马逊EC2“安全组”和普通防火墙之间是否有区别? 谢谢!
我有一个Linux守护进程访问一些服务(DB等)。 这需要一些密码。 以安全的方式将守护进程的密码最好的方法是什么? 我目前将密码存储在根只读configuration文件中,但依赖权限似乎是不安全的。 我正在考虑在守护进程启动时提示用户input密码,并将密码存储在内存中。 当然这对于一个拥有root用户权限的攻击者来说只是一个小小的障碍,但是至less可以保证备份,快照等等,并且可能会花费一些时间。 其他选项? build议?