我在Puppet中设置了我的Baculaconfiguration。 我想要做的一件事是确保每个密码字段是不同的。 我目前的想法是用主机名散列一个秘密值,以确保每个文件守护进程都有一个唯一的密码,并且该密码可以写入导向器configuration和文件服务器。 我绝对不希望使用一个通用密码,因为这可以让任何可能危害一台机器的人通过Bacula访问任何机器。 除了使用散列函数来生成密码之外,还有其他的方法吗? 澄清: 这不是关于服务的用户帐户。 这是关于身份validation令牌(使用另一个术语)在客户端/服务器文件。 示例代码片段: Director { # define myself Name = <%= hostname $>-dir QueryFile = "/etc/bacula/scripts/query.sql" WorkingDirectory = "/var/lib/bacula" PidDirectory = "/var/run/bacula" Maximum Concurrent Jobs = 3 Password = "<%= somePasswordFunction =>" # Console password Messages = Daemon }
安全原则指出,如果其他人有机器访问,那么就没有安全/隐私。 我想知道在这种情况下,我想要一个托pipe的虚拟专用服务器(VPS)与全盘encryption的例子。 这是一种encryption方法,您可以在安装Ubuntu时进行设置,其中每个分区(root,home,swap等)都位于一个大LUKSencryption卷中。 假设您不要在此VPS上设置LUKS密码的自动input(而是在每次重新启动时通过SSH手动input,使用像https://unix.stackexchange.com/questions/5017/ssh-to -decrypt-encrypted-lvm-during-headless-server-boot ),这样别人试图重启你的系统就得知道密码了。 这样的解决scheme有哪些安全或隐私风险? VPS托pipe公司的员工或一些中间人能否以某种方式访问您的数据? 当然,他们可以随时对整个服务器进行快照,但为了启动它们,他们需要input密码,他们如何访问映像中的内容? 他们可以以某种方式窥探SSH密钥或encryption密码? 因为他们拥有托pipeVPS实例的物理机器的根目录,所以他们如何才能在我的VPS上获得root权限? 他们可以logging通过SSH发送到VPS的关键笔画吗? 如果SSH只保护通信,直到它在服务器上被解密,那么他们能看到你实际发送给服务器的是什么吗? 我假设服务器运行时损坏是可能的,而不是closures的时候,是正确的? 所以当服务器正在运行时(你已经input了LUKS密码),他们能做什么? 如果他们对你的系统做一个快照,那么他们可以用它做什么? 只是试图了解什么安全/隐私我得到什么,我不是通过在其他人有物理访问(即VPS)的服务器上进行全盘encryption。
有趣的是,在我的Ubuntu衍生产品中安装了apt nginx, www-data用户有一个shell: $ cat /etc/passwd www-data:x:33:33:www-data:/var/www:/bin/sh 这不应该被设置为像/bin/false ? 即使用户无法login,默认情况下为系统用户提供一个shell是不是很危险?
我正在build立一个networking应用程序,可能会满足亚马逊S3可以满足的大量存储需求。 我主要关心的是在服务器上使用API密钥,以及未经授权的人如何以某种方式利用服务器,获取密钥并使用它们销毁S3存储桶中的所有数据。 我应该采取什么策略来尽量减lessAPI密钥的潜在风险? 在预算有限的情况下,采用什么样的方法可以有效地支持中等规模的S3资产的备份?
我正在运行应用程序服务器,并稍后logging所有请求以进行分析。 昨天晚上我注意到的一个有趣的趋势是,我有一个来自得克萨斯州的访问者在FIOS与加利福尼亚州的bluecoat有相同的交通。 什么会导致stream量相同? 对于参观者提出的每一个要求,蓝色涂层都会在接到请求的几毫秒内完成。 如果是caching,为什么会有相同的请求? 它不会通过caching/代理在他们的最后,我只会看到代理请求? 我只是好奇,这是一个有趣的模式,显示DDoS攻击的相似之处,但资源less得多。 访问者在他们的电脑上是否有恶意软件? 任何其他的想法?
我们是一个在线业务。 我们有一个非常强大的服务器,在我们的办公室使用硬盘镜像,我们正在使用各种内部业务关键function。 我们想把这台机器留在我们的办公室,但我们要确保它尽可能安全(在合理范围内)。 很明显,我们已经每天都在外面进行备份。 我的问题更多是关于保护机器免受诸如火灾之类的盗贼和灾难的不太昂贵的物理措施。 你会build议什么?
Windows的默认行为是在多次失败的authentication尝试(通常是三次)之后locking一个帐户。 这意味着与以下 net use \\targetmachine\c$ /user:targetaccount notthepassword net use \\targetmachine\c$ /user:targetaccount notthepassword net use \\targetmachine\c$ /user:targetaccount notthepassword 您可以locking一个用户,甚至可能会把整个公司拿下来,如果没有一个帐户有“这个帐户永远不能locking”选中。 这个安全“function”是否真的阻止了serice攻击的启动器? 而且这应该是默认禁用。 一个组织对这个stream氓员工的情况特别可笑。
只是踢这个想法,并想看看你是否会好心指出我看不到的问题。 如果我将这个新的HyperV主机设置为普通域名成员,那么好处是显而易见的。 我可以通过SCVMMpipe理它,并且它有自己的NIC,所以理论上stream量应该与虚拟机将要使用的肮脏,肮脏的DMZ网卡隔离。 很明显,我想将虚拟networking设置为私有,从而完全隔离主机。 我相信这个文件 – 是天真的吗? 我可以推翻一些东西,因为把我的局域网和我的DMZ都插入同一个物理盒子的想法让我抽搐,但是我没有任何具体的理由。 谢谢你的想法。
这是一个理论上的问题:鉴于我有几个服务器都有一个公有IP地址以及一个私人IP地址(192.xxx范围)。 这两个Addesses用于不同的服务。 我不想在IP地址的内部工作(对于专用局域网),也不想使用主机名,因为它们要记得更好: 例如:foobar.myhost.com =>公网IP 222.xxx和私有IP 192.xxx 我知道我可以使用/ etc / network / hosts文件来定义所有的“专用局域网”主机名,但是这是非常麻烦和错误的。因为我必须保持所有这些文件同步。 什么是最佳实践/您的选项使用标准公共DNSlogging(我的域名)也列出私人名称? 这有道理吗? 但是,这确实重新评估了我的专用LAN的结构,这是好的吗? 公共DNSlogging也将列出私人IP(这是我以前从未见过的)。 而最大的问题是:其实我想有一个单一的主机名,但这个主机名同时拥有一个公共的私人IP地址。 是否有可能在DNSlogging(具有相同名称foobar.myhost.com)中定义这两者,但稍后在私人和公共IP地址之间进行区分? 任何好博客/最佳实践/文章/意见非常赞赏。 谢谢jens
我有一个具有弹性IP的常规EC2实例。 实例停止的次数很less,我只是通过AWSpipe理控制台手动重新关联IP。 我现在考虑将它迁移到现场实例,这意味着我想要一种在启动时自动重新关联IP的方式,当机器由于被退出市场而closures时。 如何实现这一点在很多地方都有很好的描述(例如这里 )。 我的问题是: 就像许多有这个问题的人一样,我很担心把我的AWS证书文件放在实例本身上。 我有一个模糊的记忆,看到有可能创build更多有限权限的密钥,但无法find任何具体的细节。 所以:是否有可能创build一个密钥,我可以愉快地把它放在机器上,知道它只能用于ec2-associate-instance(但不能login到其他实例,或者通常用我的AWS账户运行),我将如何实现这一目标?