是否有可能阻止用户在其Linux电脑上运行某些程序? 有白名单方法吗? 黑名单?
是否有任何可靠的方法来监视Windows XP中的dynamiclogin尝试? (好吧,Vista也是如此)。 我需要以编程方式监视失败的login尝试,目前通过从MSGINA子类化login对话框,使用简单的GINA存根完成。 但是,如果连锁店中还有其他的GINA,我现在的解决scheme是不能防水的。 所以我的问题是 :有什么(其他)我可以依靠的API? 还是我必须推出一个完整的GINAreplaceDLL?
有没有人有使用UUID作为密码的意见? 这适用于为外部用户创build的帐户,如客户访问专用SFTP文件夹。 还是人们使用公钥呢? 这些用户没有shell,并且被chroot加到他们的目录中。 从手册: UUID是128比特数字,意图在空间和时间上具有很高的唯一性可能性,并且在计算上难以猜测。 它们是全球唯一的标识符,可以在不联系全球注册机构的情况下在本地生成。 UUID旨在作为唯一的标识符,用于批量标记对象的极短的生命周期,以及可靠地识别networking中非常持久的对象。 我在Ubuntu 9.10上,但OSSP uuid包可用于大多数* nix发行版。
我想允许访问一个被禁止的目录中的单个文件。 这不起作用: <VirtualHost 10.10.10.10:80> ServerName example.com DocumentRoot /var/www/html <Directory /var/www/html> Options FollowSymLinks AllowOverride None order allow,deny allow from all </Directory> # disallow the admin directory: <Directory /var/www/html/admin> order allow,deny deny from all </Directory> # but allow this single file:: <Files /var/www/html/admin/allowed.php> AuthType basic AuthName "private area" AuthUserFile /home/webroot/.htusers Require user admin1 </Files> … </VirtualHost> 当我访问http://example.com/admin/allowed.php我得到http://example.com/admin/目录的Forbidden消息,而不是来自基本authentication的浏览器loginpopup窗口,所以基本authentication在文件上不起作用。 […]
什么是系统pipe理员的想法,以减轻他们pipe理的服务器的“firesheep”攻击? Firesheep是一个新的Firefox扩展,允许任何安装它的人可以发现会议。 它是通过在networking上嗅探数据包并从已知站点查找会话cookie来实现的。 为扩展程序编写插件来侦听来自其他站点的cookie相对比较容易。 从系统/networking的angular度来看,我们已经讨论过对整个站点进行encryption的可能性,但是这会给站点索引,资产和一般性能的服务器和螺钉带来额外的负载。 我们调查的一个选项是使用我们的防火墙来执行SSL卸载,但正如我前面提到的,这将需要对所有站点进行encryption。 什么是防止这种攻击媒介的一般想法? 我已经在StackOverflow上提出了一个类似的问题,但是,看看系统工程师想到什么会很有趣。
我只是读这篇文章: http : //www.infoworld.com/d/security/stop-pass-the-hash-attacks-they-begin-167997?page= 0,2& source=IFWNLE_nlt_daily_2011-07-26 他谈到了传递哈希攻击以及没有操作系统是安全的。 它还包括如何降低Windows而不是Linux的风险的提示。 我能想到的最好的解决scheme是当我需要远程访问服务器时,使用已知的干净可启动USB。 还有什么我可以做的吗?
我有几个Linux服务器没有加固SSH: 允许rootlogin 所有服务器使用相同的密码 使用默认的ssh端口22 但是我已经安装了iptables,只允许我自己的IP通过SSH连接到服务器。 这是否会缓解上述不安全的做法?
我想使用思科的networking助理来pipe理我的思科路由器(我知道还有其他解决scheme,但现在我已经决定使用CNA)。 它要求HTTP或HTTPS服务在被pipe理的路由器上运行。 在我工作的地方我已经被告知我可能不会被允许实现这个,因为在路由器上启用HTTP / HTTPS是一个安全风险。 但是,只要启用HTTPS并更改默认端口号,是否真的存在安全漏洞? 我希望能够有把握地说,这样做是完全安全的。 当然,没有什么是“完全”的安全,端口扫描器可以find任何开放的端口,但在IOS中运行的HTTP服务是不是可以破解的? 最后,我是否应该在安全论坛上提出这个问题?
今天跨过glibc的一个漏洞 ,涉及getaddrinfo()调用DNSparsing。 我在两台面向互联网的Bind9机器上运行Ubuntu 12.04。 我不确定我完全理解这个漏洞,但似乎是由一个恶意DNS服务器的大量回复引起的。 其中一个缓解措施是“丢弃UDP DNS数据包大于512字节的防火墙”,所以我在DNS服务器上configuration了netfilter,删除来自或去往端口53的任何UDP> 512字节: -A INPUT -i lo -j ACCEPT -A INPUT -p udp –sport 53 -m length –length 511:65535 -j DROP -A INPUT -p udp –dport 53 -m length –length 511:65535 -j DROP -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT 有没有更好的方式来做到这一点绑定设置或任何东西? 我用scapytesting了这个规则,它确实阻塞了在端口53上丢弃大于512的UDP包。 每个响应更新: -A INPUT -i lo -j ACCEPT […]
我需要真正的随机数生成。 我一直在寻找一些硬件解决scheme。 有没有人有这些经验? 任何build议? 我不认为我可以为一个熔岩灯黑客做出令人信服的说法。 ;)