这是后面的问题 ,我问我的iptablesconfiguration是否正确。 CentOS 5.3系统。 预期结果:阻止除ping,ssh,Apache和SSL之外的所有内容。 基于异警惕的build议和对这个问题的其他答复(谢谢你们),我创build了这个脚本: # Establish a clean slate iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -F # Flush all rules iptables -X # Delete all chains # Disable routing. Drop packets if they reach the end of the chain. iptables -P FORWARD DROP # Drop all […]
所以这可能是不可能的,但我已经被要求尝试find一些关于它的东西。 到目前为止,我find的东西都是可能的。 我需要限制特定的机器或用户帐户从常规的Internet访问,但让他们有权访问我们的networking的Intranet部分。 我没有Active Directory控制,也没有任何人在我的本地工作场所(公司控制在不同的状态)。 我已经尝试过通过IPsec并按照本地计算机执行此操作,但是系统似乎已从安装在这些计算机上的映像中删除,因此已被删除。 到目前为止,我唯一能想到的另一个select是为机器指定一个特定的IP地址并删除它们的网关访问权限。 这可能会起作用,但机器需要能够接收通过ePO和LanDesk推送给他们的更新。 我真的很想在用户层面上做到这一点,因为如果我需要在机器上做技术工作,需要访问互联网,我可以到达它,但是一个“特殊”用户可以login,无法进入任何东西。
我想通过互联网公开我的SQL服务器实例。 我一直在编程asp.net到sql服务器很长一段时间,但我第一次托pipesql server自己而不是客户端服务器。 所以我想要做的是从我的开发机器在家里的SQL服务器移动到虚拟服务器(尚未聘请)。 但是,我当然不希望任何人只是进入我的SQL服务器,但只有几个人。 所以我在想,只允许几个IP地址到SQL服务器实例。 任何人都可以告诉我如何可以暴露我的SQL服务器到互联网,并限制只有几个IP地址的实例的访问? 嗯,如果你知道更好的方法来保护它,我会很高兴,因为这是我第一次:) 米歇尔
有人擅长NTPconfiguration,请分享哪种方法是最好/最容易实现一个安全,防篡改的NTP版本? 这是一些困难… 我没有奢侈的时间来源,所以必须依靠外部的时间服务器。 我应该阅读自动密钥方法还是应该尝试去MD5路线? 根据我所了解的对称密码学,似乎MD5方法依赖于客户端和服务器之间预先同意的一组密钥(对称密码学),因此,很容易出现中间人攻击(man-in-the-middle attack) 。 另一方面,“自动密钥” 似乎不能在NAT或伪装主机后面工作 。 顺便说一句,这是真的吗? (这个参考链接是2004年的,所以我不确定今天的艺术状况如何。) 4.1是否有公用的自动密钥通话时间服务器? 我浏览了David Mills的NTP书籍。 这本书看起来非常出色(毕竟来自NTP的创build者),但是其中的信息也是压倒性的。 我只需要首先configuration一个安全版本的NTP,然后可能会担心它的架构和工程的基础。 有人可以请我穿过这些溺水的NTP水域吗? 不一定需要从你的工作configuration,只是在哪个NTP模式/configuration尝试的信息,也可能是支持该模式/configuration的公共时间服务器。 非常感谢, / HS
我有一个面向公众的IIS 7.5 Web服务器,运行一个单独的ASP.NET网站,这个网站在我们的安全扫描中发现了一个“缓慢”的漏洞。 已尝试降低该站点的web.config中的httpruntime executiontimeout值,但该站点仍然无法执行安全扫描。 任何人有任何build议到IIS设置/configuration,以防止缓慢的DOS后攻击? 编辑:我想唯一的方法可能会阻止这是在应用程序中,在global.asx beginrequest子查看头,并根据内容的种类,结束/closures响应… 该工具build议使用此testing漏洞: https : //www.owasp.org/index.php/OWASP_HTTP_Post_Tool但是我真的只是试图确定是否有任何iisconfiguration可以做到解决它。 缓慢的post:“ HTTP POST DDOS攻击如何工作(HTTP / 1.0)(续) 例如,Content-Length = 1000(字节)HTTP消息正文是正确的URL编码,但.. …..再次发送,例如,每110秒1个字节。 将这样的连接乘以20,000,您的IIS Web服务器将成为DDOS。 大多数Web服务器可以在单个HTTP POST请求中接受最多2GB的内容。 ref: https : //media.blackhat.com/bh-dc-11/Brennan/BlackHat_DC_2011_Brennan_Denial_Service-Slides.pdf
我不幸地不得不给予我不完全信任的人有权访问Web服务器来完成他们从未完成的工作。 他们将远程访问服务器(即我将无法看到他们的屏幕)。 可以做些什么:a)主动限制任何潜在的损害,b)事后准确地logging他们在服务器上做的任何分析,即使事情看起来不错。 他们将更新Web应用程序。 提前致谢! —更多信息:服务器是一个Ubuntu的AWS服务器。
GNU Screen的一个function是locking屏幕。 手册页说: 锁屏 locking这个显示。 调用一个锁屏程序(/ local / bin / lck或者/ usr / bin / lock或者一个内置的,如果没有其他可用的话)。 在此程序终止之前,屏幕不接受任何命令键。 同时窗口中的进程可能会继续,因为窗口处于“分离”状态。 screenlock程序可以通过环境variables$ LOCKPRG(必须在启动屏幕的shell中设置)进行更改,并使用用户的uid和gid执行。 警告:如果您将其他shell解锁并且没有在屏幕上设置密码,那么locking将失效:您可以轻松地从解锁的shell重新连接。 这个function应该叫做'lockterminal'。 如果我login到Linux控制台启动屏幕,然后locking会话,然后走开,有什么办法可以退出屏幕,并使用我的凭据下的系统。 从手册页上面的部分不完全清楚。 假设攻击者对系统没有其他访问权限,他们不会重新启动系统。
我有兴趣看看有谁在这里pipe理大型环境(200-500个服务器),并且拥有非常大的公众客户群(100,000+),是否已经build立(或者至less已经考虑build立)一个蜜jar? 我特别感兴趣的是那些提供恶劣/恶意/敌对networking服务的人。 如果你已经设置了一个,你可以详细说明你的经验吗? 事实上,如果你不认为你的环境很大,请评论一下,即使是一个包含一些敌对networking的小环境也是完美的! 我打算在自己的工作地点设立一个,但是自然而然地,这要从pipe理层的几次战斗开始。 有风险 – 最大的风险是设置不正确,生产服务器join你的蜜jar“群集”,或简单地说有关你的networking的信息泄漏出去(任何信息都是太多的信息)。 生产蜜jar 生产蜜jar用于帮助组织保护其内部IT基础设施,而研究蜜jar用于积累证据和信息,以研究黑客或黑客的犯罪攻击模式和动机。 生产蜜jar对组织尤其是商业有价值,因为它有助于减less或减轻特定组织面临的风险。 生产蜜jar通过维护其IT环境来识别攻击来保护组织。 这些生产蜜jar在攻击有犯罪意图的黑客时非常有用。 生产蜜jar的实现和部署要比研究蜜jar容易。
今天我一直在处理一个服务器,看起来像是一个SYN洪水攻击。 将网站重新上线是一件非常急切的事情,所以我们通过三个步骤将服务恢复到可用状态。 在攻击过程中服务器负载很低,所以服务器没有closures,只是超时了HTTP访问者。 现在我不相信这些解决了这个问题,但他们肯定解决了这个问题,直到洪水消退。 设置sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 5 Apache prefork ServerLimit和MaxClient增加到512(从256)。 将Apache ListenBackLog设置为1024 我在网上的其他地方看到了各种iptables -limit选项,但是我们得出的结论是,这些会限制合法的stream量,因为被请求网页的每个项目(每个图像等)都会计入这个限制,停止页面完全加载。 人们在这些情况下做了什么,而且我们的行动是否明智,因为负荷不是问题?
我怎样才能testing密码对字典/单词列表,其中的条目已经模糊了一定程度? 通过“模糊”,我的意思是带有“l33t”转换和其他字符转换的单词的变体包括在检查中。 理想情况下,我想传递一个密码值,让工具检查密码,并返回一个是/否的值。