我们有一个由我们公司一半以上使用的wiki。 一般来说,它一直非常积极地接受。 然而,人们担心安全问题 – 不要让机密信息落入坏人手中(即竞争对手)。 默认的答案是创build一个复杂的安全matrix,定义谁可以根据创build者来读取哪个文档(wiki页面)。 我个人认为这主要是解决了错误的问题,因为它在公司内部造成了障碍,而不是对外部世界的障碍。 但有些人担心,客户现场的人可能会与客户分享信息,然后再与竞争对手分享信息。 这样一个matrix的pipe理是一个噩梦,因为(1)matrix是基于部门而不是项目(这是一个matrix组织),和(2)因为在维基的所有页面定义上是dynamic的,所以今天什么是保密的明天不要保密(但历史总是可读的!)。 除了安全matrix之外,我们考虑将wiki上的内容限制在非超级秘密的内容中,但是当然这需要加以监控。 另一种解决scheme(当前)是监视视图并报告任何可疑的情况(例如,报告在两天内有2000个视图的客户站点的一个人)。 再次 – 这不是理想的,因为这并不直接暗示错误的动机。 有没有人有更好的解决scheme? 一家公司的维基如何能够获得安全,并保持低门槛USP? 顺便说一句,我们使用MediaWiki和Lockdown来排除一些pipe理人员。
我在我的新Ubuntu服务器上的rc.local有这个: iptables -F iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp […]
MySQL密码在哪里存储,并被encryption甚至散列?
是否有可能远程机器通过欺骗环回IP访问另一台机器的本地主机数据? 说如果我想要一个设置,如果我从我自己的networking以外的地方连接,我将不得不提供login凭据,我的密码将需要所有敏感的操作。 但是,如果我从计算机连接,则不需要这些凭据,因为我必须login到我的操作系统才能访问该设备上的networking。 我可以依靠这个回环地址作为安全措施吗? 或者是否有可能使攻击者看起来好像在本地连接?
如果在坐在DMZ中的Web服务器上安装wireshark,那么即使在RDP被拒绝的情况下,是否还存在可以用来获取后门服务的攻击? 我试图监视DMZnetworking服务器上的线路,但是从DMZ小组得到了回击,它打开了一个没有太多细节的后门黑客攻击
Linux中的普通用户如何禁止访问CD-ROM和USB? 作为安全策略的一部分,我们需要为普通用户禁用CD-ROM和USB访问。 只有root用户才能访问。 我们主要使用Ubuntu Linux。
我对Apache DocumentRoot安全性有一个普遍的疑问,它来自我在安装Galaxy(一种生物信息networking服务和基础设施)时阅读的声明。 声明说 “请注意Galaxy不应该放在Apache的DocumentRoot内的磁盘上。 默认情况下,这会将所有的Galaxy(包括数据集)暴露给networking上的任何人。“ 本段来自https://wiki.galaxyproject.org/Admin/Config/ApacheProxy 所以问题是把DocumentRoot一些内容放到DocumentRoot的子目录中有什么区别? 即使将内容放在子目录中,默认情况下,所有内容都将暴露给networking上的任何人也是真的吗? 如果将内容放在SSL服务器的DocumentRoot中,并且只允许经过身份validation和授权的用户访问,是否可以解决全球范围内的访问问题? 更新:谢谢大家的深思熟虑的答案。 我想我已经回答了所有的问题。 总结: 除非具有不同的权限设置,否则DocumentRoot中的子目录将可供所有人访问。 SSL只保护通过networking传输的数据包,而不是文件的许可。 authentication/授权将限制谁可以访问DocumentRoot。 Unix / Linux文件权限不会影响访问,因为所有文件都必须可以由Web服务器所有者访问。
由于最近一次渗透testing的结果,我们没有得到很好的结果,我们注意到我们面向互联网的全functionExchange 2010 SP3服务器没有安装防火墙,因此,完全暴露于互联网。 我亲自validation了结果,这确实很糟糕。 通过我们的Exchange服务器,SMB,LDAP,远程registry,RDP以及您在Windows Active Directory环境中find的所有其他默认服务都会暴露给互联网。 当然,我想解决这个问题,并计划用Windows防火墙来做到这一点,但是在谷歌search中,我所能find的关于官方来源的端口引用似乎适用于内部交换stream量 ,一个Technet博客文章说,不要使用这些引用来configuration您的防火墙 ,因为Exchange服务器之间唯一支持的configuration相当于一个ANY:ANY allow规则。 :/ 鉴于我们使用Active Sync,OWA,IMAP,日历/地址簿共享,自动发现和Outlook客户端访问,是否有人知道什么防火墙规则是一个所有的angular色在互联网所面临的Exchange服务器所需? (对于任何拥有官方MS来源的人来说,奖金也是一个小小的奖励)。 在我头顶,有一些偶然的交换pipe理员和偶然的IT安全人员的经验,我已经拿出了下面的列表(这对我来说似乎太长和太短),但在我走之前,可能会破坏一千个用户的电子邮件,我真的很想核实一下我打算做的事情。 TCP:25 for SMTP TCP:465 for SMTPS TCP:587 for SMTP TCP:80 for OWA http to https redirect TCP:443 for https/OWA/Active Sync/EWS/Autodiscover TCP:143 for Endpoint Mapper/IMAP4 Client Access TCP:993 for IMAP4 Client Access (also) TCP:110 for POP3 (because some technological dinosaur […]
考虑这种情况:我有Linux服务器,每天通过rsync或类似的东西自动备份到某个远程位置。 一切都很好,直到一些坏人获得服务器的访问权限,find我的自动备份脚本并删除备份服务器的所有内容。 我试图find一些远程备份实用程序,只允许远程添加备份,但不能删除它们。 我现在不怎么做任何使用SSH的东西只写,我试图find一些不使用SSH,但只发现框备份 。 我现在有可能,但我想知道是否有一些规范的方式来实现这一点。 我有很多答案,谢谢大家!
运行最新的发行版,或者至less还有一个仍然在获取安全更新,显然是最好的做法。 如果一个特定的软件需要像CentOS 4.4这样的老版本(由厂商强制要求得到支持),假如我们把服务器本身放在一个安全的防火墙之后,这对我们是否是一个重要的安全问题?