与目录结构: /www/live/website1/app/ /www/live/website1/files/ /www/live/website1/logs/ Apache至less需要以下访问权限: app: read-only access, but read-write is fine (files already chmod 0644) files: read-write access logs: read-write access 通过以下两个规则设置的地方: /usr/sbin/semanage fcontext -a -t httpd_sys_content_t "/www/live/.*/.*"; /usr/sbin/semanage fcontext -a -t httpd_log_t "/www/live/.*/logs(/.*)?"; /sbin/restorecon -vr "/www"; 哪些应用,似乎工作正常…但是LogRotate不开心。 LogRotateconfiguration目前是: /www/live/*/logs/*access_log /www/live/*/logs/*access_log_443 { weekly rotate 52 missingok notifempty nodateext sharedscripts postrotate /usr/sbin/apachectl graceful > /dev/null […]
我们有一个审计标志着我们在$PATH envvariables里面有相对path。 我不确定这是否是一个真正的安全问题,并希望与所有人联系,看看这是否真的是一个安全问题,还是我认为这只是一个最佳实践 。 有人可以提供关于亲属使用$PATH任何安全问题的信息吗? 谢谢
在需要集中日志的时候,我们select了syslog作为收集器,Splunk(现在是免费的)作为分析工具,但总是有哪些事件应该到达中央存储库以及哪些系统。 从安全的angular度来看,select应该只处理那些感兴趣的日志。 你集中了哪些日志,你如何select它们? 答案应该指出设备types,系统或软件,日志/事件types以及select它们的原因。
允许除root以外的其他用户查看Linux日志的最佳做法是什么?
我将不得不在演示笔记本电脑上部署虚拟机,这些笔记本电脑将使用Vmware播放器,但是我有一些安全问题,因为存储在虚拟机中的某些数据有点敏感。 有没有办法来防止这些虚拟机的副本? 虚拟硬盘是否被encryption,如果没有,有encryption方法吗? 简而言之,有没有办法locking所有的东西,这样就没有人能在另一台电脑上复制和使用这些虚拟机了? 编辑: Truecryptencryption虚拟机可能是一个解决scheme,但是如果truecrypt使用的密码被泄露,那么它就变得毫无用处。 将虚拟机与计算机相关联,以便它只能运行在一个特定的硬件上,但是我还没有find一个解决scheme来让我这么做。
寻找与绊网相媲美的基于主机的IDS。 最好是允许集中pipe理的一个。 现在我使用tripwire,虽然它的工作pipe理和通过中央服务器报告将是理想的。 我正在寻找实际使用的build议,而不仅仅是谷歌的结果。 谢谢!
通过以下链接,我可以将SELinux完全从Fedora 14中closures。但是我不知道如何才能禁用SELinux,仅用于httpd守护进程? 我没有安装system-config-selinux,并且由于公司防火墙策略,我必须从pkgs.orgsearchRPM才能安装任何软件包。 那么有没有办法把这个问题搞清楚? 编辑: Summary: SELinux is preventing /opt/ibm/cognos/c10/cgi-bin/cognos.cgi "execute" access to /opt/ibm/cognos/c10/cgi-bin/libIBJStreamsDLL.so. Detailed Description: SELinux denied access requested by /opt/ibm/cognos/c10/cgi-bin/cognos.cgi. /opt/ibm/cognos/c10/cgi-bin/cognos.cgi is mislabeled. /opt/ibm/cognos/c10/cgi-bin/cognos.cgi default SELinux type is bin_t, but its current type is bin_t. Changing this file back to the default type, may fix your problem. If you believe this is a […]
我们有一个名为JBossAdmins的组,这个组的用户必须在RHEL 6上编辑一些/ etc文件: 在/ etc / httpd的/ * 在/ etc / JAVA / * 在/ etc / JBoss的/ * 我的第一个想法是提供以下sudo权限: %JBossAdmins ALL=(root) /bin/vi /etc/httpd/* %JBossAdmins ALL=(root) /bin/vi /etc/java/* %JBossAdmins ALL=(root) /bin/vi /etc/jboss/* 很显然,用户现在可以以root身份启动vi,然后通过执行fe :e /etc/passwd来编辑任何文件 所以sudo不是一个好主意。 然后进入我的想法做chgrp JBossAdmins -R path ,然后chmod g+rw -R path 。 但是我不太确定这是否是一个好主意。 考虑到安全性的影响,允许一组用户编辑一些/ etc文件的最佳实践是什么? 有没有比sudo或chgrp / chmod更好的select?
[root@home ~]# ps au | grep httpd 1014 9701 0.0 0.2 281620 3124 pts/24 Sl+ 18:41 0:00 ./bin/httpd -X root 9742 0.0 0.0 3084 720 pts/22 R+ 18:45 0:00 grep httpd 顺便说一下, Sl+和R+是什么意思? 1014是黑客吗? 为什么在我的系统上? 它有什么特权? 它可以摧毁我的系统,或有任何伤害? @彼得·韦斯特莱克猫/ etc / passwd | grep 1014 hugemeow:x:1014:1014 :: / home / hugemeow:/ bin / bash问题是为什么ps au不显示名称? 但显示其号码?
我不得不处理几个VPS /服务,我总是设置密码是不同的和随机的。 你build议什么样的存储保持这些密码安全,让我轻松访问它们? 这些密码被用于运行客户服务的数据库 , networking服务器用户等服务,所以将它们保存在一个安全的地方是非常重要的。 我实际上将它们存储在一个谷歌驱动器电子表格文件中,描述用户,密码,angular色,服务。 你知道更好的解决scheme吗? 我想让他们在远程服务,以确保我不必做备份副本(如果我的硬盘会以某种方式失败)。 我在* nix平台上工作(所以Windows的具体解决scheme不是这里的select)。