当您开始处理大量实例时,pipe理EC2访问密钥和X.509证书可能会变得具有挑战性。 这里的任何EC2用户是否有良好的政策和/或工具: 旋转EC2访问密钥和X.509证书 防止密钥/证书副本扩散到实例和AMI上 保持密钥在一个集中的位置与适当的访问?
我有一个FIMS系统,告诉我DLLs / EXE已经改变了。 如果这些是Windows DLL,我们只是做了Windows更新,我可以假设他们没有损坏,但我怎么知道的肯定? 有一个位置,我可以得到一个给定的Windows DLL / EXE正确的校验和?
鉴于: 运行Windows 2008的虚拟机 我使用我的域帐户login(SHUNRANET \ markk) 我已将“创build全局对象”权限添加到我的域帐户: 虚拟机重启(我知道注销/login就够了,但我不得不重启) 我使用相同的域帐户再次login。 看来还是有这个特权的: 我运行一些进程并使用Process Explorer检查其安全属性。 该帐户似乎没有特权 : 这不是一个闲散的好奇心。 我有一个真正的问题,没有这个特权的命名pipe道WCF绑定既不能在Windows 2008或Windows 7上工作! 以下是关于此问题的有趣讨论 – http://social.msdn.microsoft.com/forums/en-US/wcf/thread/b71cfd4d-3e7f-4d76-9561-1e6070414620 。 有谁知道如何使这项工作? 谢谢。 编辑 顺便说一句,当我运行进程提升,一切都很好,进程资源pipe理器显示特权如预期: 但我不想让它boost。 EDIT2 我同样欢迎任何解决scheme。 只是它的configuration或与代码混合。 EDIT3 我已经在MSDN论坛上发布了相同的问题,他们已将我redirect到此页面 – http://support.microsoft.com/default.aspx?scid=kb;EN-US;132958 。 我还没有确定它的相关性,但看起来很有希望。 还要注意,它是一个完全的编码解决scheme,所以无论谁把这篇文章转移到ServerFault,请将其恢复到StackOverflow。
我已经在Windows 2003中设置了terminal服务。这是域的一部分。 该服务器不是DC。 它只有一个angular色:terminal服务器 当我尝试通过RDP以域pipe理员或域pipe理员组中的任何其他用户身份login时。 这工作正常,让我工作。 但是,当我试图与“域用户”组的成员RDP 我正进入(状态: 远程桌面连接被拒绝,因为用户帐户未被授权进行远程login 我已设置本地策略并允许域用户(允许通过远程桌面服务login),并且未configuration通过远程桌面服务的拒绝login。 我也尝试添加某些用户到Builtin远程桌面用户组没有运气。 请帮忙!
我正在终止我的DMZ中的SSL / TLS,我必须假设这台机器将被黑客入侵。 此时,我的证书被泄露。 以前我用nCipher硬件密钥库/加速器来解决这个问题。 这些卡甚至不会透露私钥。 该卡片在板上执行encryption和解密,并加强对物理攻击。 获取钥匙的唯一方法是将智能卡读卡器连接到卡本身。 我很难find有关某些东西的信息来重新创build这种方法。 这是专业交换机和防火墙这个领域吗? 这个旧页面引用了一些旧的硬件: http : //www.kegel.com/ssl/hw.html#cards
在最近更新到CentOS 6.4之后,两台机器有setuid()限制,它们的function或者是selinux,但是都是禁用的。 例如下面的失败: [root@host statd]# perl -e 'use POSIX; POSIX::setuid(99);system("id")' [root@host statd]# echo $? 0 当它应该返回像这样的东西: host:~# perl -e 'use POSIX; POSIX::setuid(99);system("id")' uid=99(nobody) gid=0(root) groups=99(nobody),0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 为了调用perl,setuid()调用成功,然而system()子立即退出,就像selinux或类似的终止一样。 但是,在/var/log/audit/audit.log中没有日志条目,即使在semodule -DB之后。 setuid32(99) = 0 getuid32() = 99 geteuid32() = 99 pipe([3, 4]) = 0 clone(child_stack=0, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0xb7705728) = 10073 close(4) = 0 rt_sigaction(SIGINT, {SIG_IGN, [], 0}, {SIG_DFL, […]
我的一些聪明的用户正在使用pstools套件来closures其他电脑。 我现在知道如何防止他们这样做,但有可能pskill命令被logging在某处? 虽然我知道他们正在做,我不知道究竟是谁。 这些是win2003networking上的WinXP Pro sp2机器。
在我的公司,我们非常保护我们的源代码。 我们已经满足了我们的偏执,build立了一个与互联网和公司其他networking密切相关的发展局域网。 在开发networking中,我们有一些安全的机器(源控制服务器,构build服务器,域控制器),并且所有的源都需要保持encryption或者在一个locking的房间中。 能够向我们的客户解释这样一个简单的安全策略对我们来说是一个竞争优势,但随着我们公司的发展,维护这个networking的成本也变得更大。 为了应对去年的痛苦,我们通过允许双因素authentication的仅限RDP的VPN接入networking,摆脱了严格的气隙政策。 但是,我们的开发networking与我们其他企业networking之间缺乏连通性仍然是networking内部团队与networking外部团队合作的严重障碍。 我们希望考虑对我们的networking架构进行重大改革,但是我们不确定哪些行业最佳实践是保护源代码。 我们可能会考虑的是: 将我们的开发networking连接到公司networking的其余部分,并允许此networking中任何两台主机之间的无限制通信。 还允许相对不受限制的出站连接到Internet。 允许远程员工对公司networking进行完全VPN访问。 开发一个单独的“testing沙箱”networking,不会保存源代码,不会打补丁,只允许来自企业networking其余部分的入站连接。 要求开发机器在恶意networkingstream量的前提下进行pipe理:需要最新的补丁级别,不允许未经身份validation的远程debugging,设置强密码等。 继续要求所有静止的代码要么停留在一个locking的房间(对于没有令人满意的encryption解决scheme的旧平台),要么被encryption 继续要求所有有权访问代码的开发人员签署相应的文档,声明他们不会从networking中删除任何代码 在您曾经工作过的主要软件开发组织中,这是否会被认为是令人满意的安全策略? 软件开发组织还采取了哪些其他的做法来保护源代码? 例如,入侵检测系统是源安全的一个共同部分? “我们如何确保我们的源代码?” 问题与我们密切相关,但是我们比networking架构更关心员工策略或备份策略。
是的,我知道这个问题被问了很多次,但不幸的是我没有find完整的答案。 那么,如何限制每个用户同时进程的数量呢? 我发现两个解决scheme: 使用pam_limits。 在这种情况下,我需要configuration/etc/security/limits.conf文件。 不幸的是,这个解决scheme只适用于pam意识到的应用程序,这不是通用的。 使用从$ HOME / profile调用的ulimit。 不幸的是,它在所有情况下都不起作用。 我试图设置“ulimit -u 100”,然后在相同的shell“压力–vm 200 –vm – bytes 100”中启动。 应用程序已成功启动,我得到超过200个用户根下的进程。 我需要build立一个健全的系统,所以只有在某些情况下工作的解决scheme是不合适的。
我在Rackspace有一台服务器,并且发现我的服务器每个月突然发出2GB的数据(这是非典型的,因为我没有使用它) 我怎样才能弄清楚什么应用程序正在使用该带宽和谁正在使用它? 我想这也是有益的,看看有多less数据传入也是…