我刚刚在Linode上获得了一个Ubuntu实例。 为了保护SSH,我安装了fail2ban (使用apt-get ),但是后来出现了一个问题:即使我input了正确的密码, fail2ban一直禁止我的IP(在有限的时间内,谢天谢地)。 所以我删除了fail2ban ,而是安装了denyhosts 。 同样的问题,但更严重的:这似乎每次我SSH进来,我的IP被禁止。 我从/etc/hosts.deny删除它,重新启动denyhosts ,再次login,我的IP被禁止了。 我能想到的唯一解释就是我已经以root身份进行了SSH连接(是的,是的,我知道); 也许某些地方设置了阻止以root身份进行SSHlogin的任何人,即使他们login成功了。 这对我来说似乎很怪异。 有任何想法吗? (将我的IP列入白名单是暂时的,我不想只能从一个IPlogin)。
将用户添加到apache组有没有任何重大的安全问题? 我是一名程序员,我需要访问httpdocs中的所有文件/目录 – 将用户添加到该组中有什么问题吗?
我想了解IIS安全的一个方面,我无法弄清楚。 我有一个内部(不是在互联网上)运行在IIS下的应用程序。 此特定应用程序具有与其关联的应用程序池,作为特定用户(服务器的pipe理员)运行。 为默认网站设置的身份validation方法是使用特定用户集(也是服务器的pipe理员)的匿名身份validation。 所以大部分我理解这个安全。 我不明白的是,如果你去默认网站的高级设置,有物理path凭证和物理path凭证logintypes。 目前没有在这里设置。 什么是在这里设置凭据的原因? logintypes(匿名和path凭证)有什么区别?
软件包pipe理器Homebrew (我在OS X上,但是我很好奇基于Unix的安全性,因为它涉及目录权限)将/usr/local/bin的所有者设置为我的用户(默认情况下是root用户,对吧?),这意味着现在我可以通过简单地将它们移动到/usr/local/bin (不需要sudo )来安装可执行文件。 我是对的,通常/usr/local/bin是由root拥有的? 是不是正常的用户chowning /usr/local/bin是一个巨大的安全问题,因为现在我运行的任何软件都可以代替我的密码安装程序。
我正在尝试使服务器上的docker更安全。 主要的问题是,大多数人都说“如果一个人可以访问泊坞窗,他们也可以是root”,对于一个pipe理员来说,这不是你想要的。 详细说一下,他们可以使用-v并将/etc挂载到容器中的/mnt上,并更改影子文件并获得对主机的访问权限。 他们可以使用-d或特权选项来做更多的事情。 所以基本上,有一些我想“尝试”和限制的东西。 卷绑定挂载 特权 –add-cap -d (某些项目?) 我的想法到目前为止: docker的bash脚本的别名,使用sudo和正则expression式,他们不应该做的。 打开远程api,保护它,也许反向使用nginx和正则expression式在nginx中代理它们不应该做的事情。 使用其他工具? Mesos /马拉松/群/船厂/无论 可选项是将容器提交给git代码,并让“检查器”validationDockerfile的内容并为其创build映像。 然后签署该图像并自动部署。 (但是这不会给他们太多的自由) 另外,删除绑定量并不是最好的。 如果我们有一个Dockerfile插件,说“你只能挂载在/data ,用户X”, Dockerfile中的USER是那个用户X,会更简单些。 像docker-novolume-plugin这样的东西对于卷来说已经是一个不错的开始,但是并不限制绑定卷。 最后问题是,我怎么让用户build立/拉/运行泊坞窗图像作为自己的用户/docker,不能根系统。 只要工作,就不一定是完美的。
我需要一个端到端的多客户端/多供应商安全存储系统,我可以使用各种各样的零件来构build它,但感觉过于复杂 – 我错过了一个窍门? 具体来说,我需要提供多个客户端VPN安全,安全的文件传输到一个安全的文件系统(如在磁盘encryption/光纤),然后再次通过VPN安全的,安全的文件传输到其他供应商。 没有客户端文件可以在任何时候“混合”,链中的所有点都必须是安全的。 哦,它必须具有高度的弹性,所以这必须全部集中/负载平衡。 预计每天大约500GB /客户端/供应商,总存储量不大可能超过30TB。 我目前的想法是使用Checkpoint虚拟防火墙,2/3的VMware主机以及连接到FW的大量NIC的组合,每台主机通过Brocade安全FC HBA连接到一个安全的FC SAN盒,每个客户端的VPN隧道在内部被截断他们自己的虚拟机(将使用前端负载均衡器进行集群),然后虚拟机将通过客户端的隧道进行SFTP,将安全FC上的文件放到专用的磁盘组/ LUN /数据存储/ VMDK链中。 然后,我会以同样的方式向供应商采取同样的措施(除了我们在传送时应用一些DRM)。 我将不胜感激任何build议,如何使这个更简单,更安全或两者兼而有之。 谢谢。
我正在设置一个Debian服务器来为Java Web应用程序提供服务。 我已经做了好几个星期的研究了。 Tomcat的网站上说,如果你不是集群,最好使用独立的Tomcat来提高速度。 但是,我看到很多人build议使用Apache + Tomcat为您提供更好的安全性和防御攻击。 请假定该进程将作为非特权用户在端口80上运行。 我会假设,如果你在服务器前面运行防火墙,Tomcat应该没问题。 但是,如果您只是想使用Linux防火墙运行暴露的Web服务器,那么最好的select是什么? 或者,也许有人可以推荐另一个开源Web服务器。 我试图保持解决scheme尽可能轻,因为这些webapps将在容器中运行。 所有意见欢迎和重视。
我目前正在为员工部署一个网站来远程使用,并希望确保它是安全的。 我在想是否可以build立某种证书authentication,在那里我会生成一个证书,并将其安装在笔记本电脑上,以便他们可以访问该网站? 我真的不希望他们自己生成证书,因为这很容易出错。 这是多么容易/可能,我该如何去做呢?
我为.screenrc中的屏幕会话设置了一个密码。 它工作的很好,任何时候我需要重新附加到屏幕会话,我需要input密码。 还有一个function可以locking当前terminal(ctrl + a,x)。 这对于真正快速lockingterminal来说是一个奇妙的function,而且我也会在闲置20分钟后自动lockingterminal。 在.screenrc中,我添加了'idle 1200 lockscreen'这一行。 我的问题是,一旦terminal处于锁屏状态,没有密码似乎能够解锁它。 不是屏幕密码,不是我的用户login密码。 我不知道在哪里设置这个锁屏状态的密码,没有任何东西在我的网上find似乎认为提及这将是重要的。 该手册说它使用/ usr / bin / lck或/ usr / bin / lock或'内build',但我没有前两个二进制文件,不知道这个内置的是什么。 任何帮助?
我想在我的实时Web服务器上安装cron来运行本地文件夹的日常备份脚本。 安装cron时需要注意哪些安全问题? 我的networking服务器使用Ubuntu Linux 10.10。