我们有一家公司在内部为我们开发,他们可以访问多个服务账户。 公司轮换人员进出,而不是请求帐户开发人员正在使用服务帐户login到服务器。 locking在不影响服务帐户用途的情况下使用该帐户的最佳方式是什么? 我们可以安全地检查“terminal服务configuration文件”下的AD中的“拒绝此用户login到任何terminal服务器的权限”checkbox吗? 如果我们创build了一个域名政策,以防止login该OU这是一个更好的方式去?
我目前正在运行ISA 2004,并将很快运行一个Untangle框。 我一直觉得把这些更高级的软件防火墙放在笨重的硬件防火墙(比如中级消费者路由器)后面会更安全一些。 所以基本上我会根据需要从硬件防火墙到软件防火墙做端口转发,当然这个软件防火墙的configuration比较复杂。 按照我的想法,这至less可以防止我在软件防火墙上意外打开某些东西,并且可能会从软件防火墙中产生故障。 但是,它确实只能帮助我阻止边缘端口(好吧,比这好一点,但不是很多)。 另外它使得configuration更加复杂,并且更难以独立地testing每个系统。 我应该丢弃廉价的路由器/防火墙盒?
我早些时候偶然发现了这个问题 ,这让我想到了。 每个人都遇到过要求每隔x天更改一次密码的系统,而不是重复使用任何最后的y密码。 这种事情总是让我隐约不知所措 – 旧密码是如何存储的? 旧密码不应该被完全删除吗? 不是不安全吗? 有什么我失踪或忘记考虑在这里?
我们正在CentOS上configuration一个PHP Web应用程序,并将所有文件当前位于/ var / www / html / project / Apacheconfiguration为以apache:apache运行,并可以访问上面的目录。 现在我们的文件和目录有以下权限: owner = root group = apache 目录:drwxr-x — root apache 文件:-rw-r —– root apache 这是一个安全的设置? 还是使用一个新的用户,如“项目”是所有文件和目录的所有者更好?
我有一个执行apt-get的构build脚本,因此需要root权限。 在哈德森运行这个脚本的最好方法是什么? 目前唯一的解决scheme,我发现的作品是添加一个条目的sudoers文件为用户哈德森像这样: hudson ALL=(ALL) NOPASSWD:ALL 但是,尽pipe我的构build脚本现在在Hudson中运行时没有错误,但我对这个解决scheme并不完全熟悉。 有没有更好的办法?
在类似Unix的操作系统中,给文件所有者一个小于7(rwx)的文件权限有什么意义? 所有者可以平凡地改变他/她的文件的所有者权限,并且如果该acct可以是一个黑客。 妥协。 设置所有者权限为7以外的任何东西似乎只是阻碍W / O产生任何实际的安全改进。
我正在作为Web开发人员解散我的业务,并将所有连续的工作交给继任者。 对于一个多年来我开发了许多Web应用程序的客户来说,几年前我设立了一个Windows 2003虚拟服务器。 该服务器包含Subversion版本库,包含所有Web应用程序的代码,并经常对所有客户端的Web应用程序(托pipe在别处)进行夜间备份。 该服务器上只有两个端口是打开的:RDP用于远程pipe理,SVN用于检查代码input和输出。 Windows设置为每天自动安装更新。 服务器的IP不公开。 这台机器多年来一直没有发生事故。 这对于全天候运营来说并不重要(它是一个额外的备份层,networking应用程序也由其托pipe公司提供备份),所以如果发生故障,还有时间寻找紧急援助,而不会中断业务。 但显然,它包含敏感数据,必须加以保护。 出于多种原因,我想保持机器运行。 它已经被certificate是一个手头上所有任务的直接解决scheme,并且设置得很好。 但是,还没有人确定长期维护和pipe理谁。 我的问题: 离开这样的服务器背后有一个负责任的事情呢? (当然,客户会被告知风险。)从专业的系统pipe理员的angular度来看,机器在描述设置的情况下合理安全吗? 我知道SVN服务器上的一个安全漏洞可能会造成麻烦,而且无法像Windows那样自动修补。 这是我的一个大的担心,似乎无法手动干预解决。 除了SVN服务器没有打补丁的潜力之外,还有其他一些东西让这个服务器在无人看pipe的情况下运行了一段时间吗? 有没有人有其他天才的想法如何解决这个长期而不closures机器或雇用pipe理员? 是否有任何高度值得信赖的服务器pipe理服务可以执行维护和紧急任务?
让我开始说我是一个noob,而我到目前为止所了解的只是绊倒我的方式。 我已经Googlesearch了,解决scheme可能已经在那里了,但它可能只是我的头,所以请在您的解决scheme尽可能多的细节。 我有一个运行Asterisk的Ubuntu 10.04服务器用于自动电话系统。 它唯一的目的是来电,而不会连接到一个人。 这是一个电话许可系统,所以他们input有关他们的产品的信息,我们输出一个解锁码,让他们input到程序中。 当收到一个调用时,它执行一个带有AGI的Perl脚本,脚本是一系列的提示,然后是解锁代码的输出。 所有这一切都很好。 但是,有时候它似乎停止了工作。 我查看了Asterisk日志,发现了一个TON条目: [May 22 10:51:27] NOTICE[10663] chan_sip.c: Registration from '"guest12345"<sip:[email protected]>' failed for 'yy.yy.yy.yy' – No matching peer found 这显然是入侵企图。 xx.xx.xx.xx是我服务器的IP地址,yy.yy.yy.yy大概是入侵者的IP地址。 我在Google上进行了一些研究,并find了一个解决scheme,通过设置Fail2Ban,这似乎正在工作。 今天早上,在5次不成功的入侵企图之后,它已经禁止了两个IP地址。 我相当有信心,只有5次尝试都没有人能够进入,但这似乎还不如我想象的那么安全。 我的理解是,运行在我的服务器上的Asterisk服务会经常出现并向我的VoIP服务提供商进行注册,以告诉它它仍然连接并准备好接收呼叫。 据我所知,这是唯一必要的“注册”,那么是否有办法阻止所有的外部注册尝试? 也许我错了,但在我看来,他们正在试图注册我的服务器,就好像我的服务器是VoIP提供商。 也许这就是你真正的手机与Asterisk服务器连接的方式吗? 由于没有真正的电话涉及到我的一端(只有来电,从来没有转移到一个人),有没有办法让我完全禁用此部分? 编辑: 从sip.conf: registerattempts=0 ; Number of registration attempts before we give up ; 0 = continue forever, hammering the […]
这可能是一个社区维基,我不确定。 想象一下,在浏览网页时,您发现公司网站的安全漏洞。 例如,涉及向您发布信息的URL参数更改的内容,例如,您不应该访问此信息。 通过改变这些领域,你有罪“黑客”? 如果是这样,你是否应该向公司报告安全漏洞,或者如果你承认自己的“内疚”,是否有法律上的反感? 澄清要求:这是所有外部面向,完全可访问的.NET页面,接受variables时可能会有意想不到的结果。 第二编辑:要清楚这不是我工作的公司,而是互联网上的另一个网站,我没有任何关系。
由于针对Apache的字节范围实现(CVE-2011-3192, 请参阅此处 )有一个可用的漏洞,我想禁用它,直到我的发行版(Debian,Ubuntu)发行官方补丁。 这些网站都是没有大量下载的“正常”网站。 除了无法恢复的下载function,禁用该function还有什么缺点吗? PS:我通过启用mod_headers和mod_headers设置范围头使用下面的行禁用该function: RequestHeader unset Range