Nginx是一个相对较新的开源Web服务器,近年来引起了一些兴趣,在过去的几年中,在一些基准testing中performance非常出色。 在为公众可访问的业务应用程序select服务器软件时,我一直在想,从安全angular度来看,使用可能缺乏普遍性的服务器软件(如Nginx)是否是不负责任的。 另一方面,阿帕奇公司经过多年的公众审查,已经修复了许多漏洞,还有一个安全团队。 这里是我对两个候选服务器的优势的看法,这些服务器在市场份额,社区和一般的开发环境上有很大的不同。 Nginx的优点 无处不在。 在我看来,不是一个太简单的目标和一个小的玩家的组合已经帮助一些软件产品变得不太可能成为有针对性的攻击的受害者。 苹果的Mac OS X平台就是一个很好的例子。 Netcraft服务器2009年6月的市场份额数据显示,compytitor分别在Nginx和Apache的市场份额分别为4%和50%。 代码量越小,错误越less。 这只是一个假设; 我没有查看过任何一个代码库,但是假设代码类似于错误率,代码量越小代码越less。 据Ohloh介绍,Codebase的大小是635:75,较大的是Apache。 我不确定这是否包含模块,但考虑到巨大的三angular洲,它可能会。 (这当然会导致一个非常不正确的结论,因为如果安全是你的焦点,那么你将只能运行你需要的模块。) Apache的优势 安全团队。 Apache软件基金会似乎拥有相当先进的安全基础设施。 经验。 Apache HTTP Server项目多年来已经看到了许多漏洞,毫无疑问,他们已经制定了如何更好地处理问题的策略。 无处不在。 这可以很容易地成为一个专家,因为它可能是一个骗局。 这意味着更多的眼睛在代码,但它没有说眼睛坏眼比。 到期。 正如我前面提到的,这个项目经历了无数次的探索和大量的公众监督。 这可能会导致零日漏洞的风险略低,因为漏洞问题可能不太可能被漏掉。 也可能意味着新的攻击将不太重要。 快速search没有揭示Apache是否进行了安全审计。 文档。 攻击向量可以通过configuration错误来创build。 这似乎不太可能与Apache,因为它提供了大量的如何保护服务器的出版物(书籍和文章)。 安全模块的数量。 从浏览这两个服务器的网站,我感觉到Apache在安全性增强模块中大大超过了Nginx。 无处不在似乎是一把双刃剑。 无论普遍存在好坏,可能不是线性关系(可能还包括其他因素,比如是否非常容易被利用)。 我非常怀疑有关无处不在的安全漏洞的影响的研究,虽然我承认尝试search。 如果我们正在谈论一个社交应用程序,一个新闻网站或在与业务应用程序分离的服务器上服务的媒体,我可能不会对此感到疑惑。 对于处理付款,个人信息和信用卡号码的应用程序,我目前的信息是倾向于Apache。 由于我不是一名安全专家,我的思想并没有科学地收集,因此可能不会太定论,因此,我很感激任何关于什么因素会影响这样的决定的意见。 如果没有别的,这仍然是在同一个位置的其他人的考虑。
如果我在远程办公室(和自己的AD站点)有Windows 2008或2003域控制器被盗,那么我应该对我的主networking或域(如果有的话)做出什么样的回应? VPN由networking的IP地址决定,所以没有任何东西可以让他们远程访问主networking。 我想,至less我希望每个人都改变他们的密码,但还有什么?
我的一些朋友有一个网站(www.kennelsoffie.dk),当我遇到麻烦时,我正在帮助他们。 不过这一次,我想不出来。 当我使用Google Chrome浏览器访问网站时,出现了一个警告页面,声称我正在访问的网页包含来自stopssse.info的元素。 我不知道任何PHP,所以我只是下载完整的网站,包括数据库的备份(这是.sql文件)。 然后,我search了所有的文件stopssse,但我没有find任何东西。 我也用siteadvisor.comtesting了这个站点,它说:“我们testing了这个站点,没有发现任何重大的问题”。 PHP可以隐藏对恶意软件网站的引用,所以我不能通过简单的searchfind它? 如果是这样,你怎么find它?
我所服务的小公司的领导层已经对SaaS感到非常兴奋,并且正在推动我们的产品进入SaaS部署 – 我对此感到担忧,因为产品的部分function是基于用户能够使用商业智能工具来编写针对应用程序底层数据库的报告。 当我问到我们如何计划在SaaS模型中提供这个function时,我被空洞的目光迎面而来,而且我们的反应就是将数据库服务器暴露在互联网上,并允许人们查询数据库,就好像它正在运行他们的企业networking。 这吓坏了我,但是我不知道我是否偏执,或者是否有重大的理由要关心。 所以我的问题是:是否有可能适当加强Oracle数据库服务器的安全性,这样我们就不用担心它会暴露在互联网上呢? 如果是这样,我应该研究哪些资源来学习这样做? 数据库将存储我们的客户不想公开给世界的专有信息,但是把这个function放在VPN后面的build议已被直接拒绝。 我关于加强oracle数据库的search几乎都包含了“永远不要在你的防火墙上戳洞”这样的语句,所以这里的正确答案可能是“尽快更新你的简历”,但是我感谢您可以给的任何build议。
什么使DNSSEC免于MITM攻击? 为什么我不能在example.com上签名一个密钥,并将其parsing为名称服务器或客户端,然后才能从真正的源代码获取该密钥?
记住,作为一台确定性的机器,今天的计算机不能产生随机序列,实际上所有计算机生成的“随机”序列都是伪随机的,不是计算机生成的随机密码不安全吗? 随机按键创build随机密码比使用数字生成algorithm更安全吗?
我是我的公司,我们希望将SSL证书部署到我们拥有的一些网站,以及我们的RADIUS服务器(Cisco ACS)。 从整个域获取5-10个单主机证书或单个通配符证书(即:对所有主机通用),实际的区别是什么? 所有主机都在同一个域中。 我不确定要select什么证书。 谢谢,
我正计划在Rackspace云上运行一些服务器。 除了使用负载平衡器来控制networkingstream量,Windows防火墙有多好? 我正在考虑吞吐量以及安全性。
我正在为印刷公司做一些工作。 他们想设置一个更安全的FTP情况。 从他们对我所描述的看来,大多数印刷公司都有一个通用的FTP帐户,他们把login信息提供给所有客户上传。 这是他们目前的设置。 但是,问题是,设置权限的方式,您可以查看其他人的上传。 他们正在努力使自己的环境安全,但同时也方便客户上传。 我告诉他们,我们可以做的两件事就是创build客户特定的账户,或者每次有人需要上传/下载时创build临时账户(如7天)。 你会推荐什么? 什么是你理想的解决scheme,什么是最实际的? 他们目前正在使用所有基于Windows的服务器。
我已经有了一个运行Ubuntu的小VPS(在可预见的将来),只能托pipe我自己的静态网站。 从外部访问的唯一的服务将是SSH(只允许公共密钥authentication)和HTTP(可能是nginx)。 我正在通过Puppetpipe理服务器的configuration,并希望通过GitHub将此configuration作为例子分享给任何感兴趣的人。 Puppetconfiguration不包含任何密码或类似的敏感信息。 然而它包括例如防火墙configuration(这是非常基本的),可以使用sudo的用户的用户名,安装了哪些软件包等等。 我知道,入侵者对系统的了解越less越好。 但是实际上,通过发布configuration,我会付出多大的代价呢?