对于新网站和浏览器中的那些网站禁用HSTS,我有什么select? HTTPS检查的使用本质上改变了一个网站的指纹,作为一个中间人; 访问以前访问的网站,而无需HTTPS检查或预先加载的网站之一将导致无法访问的网站。 有什么select – 如果有的话 – 我有其他禁用检查吗? 以下是一个示例,Chrome中带有HTTPS检查的Gmail: 背景 我正在设置一个新的防火墙,并且正在尝试清理我的HTTPS检查规则。 我真的想要避免将网站添加到可能包含用户贡献内容的列表,例如mail.google.com / gmail.com。 自从上一次我做这个HSTS / HTTP严格的传输安全已经变得更加普遍。 注 – 我试图保持这种通用,因为这可能是一个问题,很多不同的设置。 我希望能够适用于任何防火墙产品的跨OS /跨浏览器方法,但这是多less要求。 使用Windows(7+)的重点(IE,Chrome,Firefox)将是一个很好的开始。 以组策略为中心的方法也是非常有用的。
我们通过Windows证书存储中的可信根证书,在我们的防火墙中使用HTTPS深度数据包检测。 Chrome最近推出了一项function,对证书颁发执行额外的检查,称为“证书透明度”,其中使用的每个证书(在特定date之后发布)都与已知的CA良好列表进行核对。 现在,使用HTTPS深度包检测(又名HTTPS代理/卸载/ MiTM)会导致Chrome按照此示例发生错误。 是否可以在Chrome中禁用审核日志检查的唯一function? 更新回应womble的答案 。 此更新是错误的。 Womble的回答是正确的,见下文。 这是我原先想的,但显然不是。 这里是过分正义的Chrome的屏幕截图: 没有MiTM: 中间人: 它似乎确实与证书透明度/审计日志检查直接相关,而不是在保姆Chrome中使用SHA-1和即将到来的折旧 。 值得注意的是,我们的内部CA证书在2017年之后到期。 更新2,womble是对的: 感谢womble的回答,我重新审查了Chrome团队发出的通知 ,发现任何使用SHA-1的2017+authentication站点都会得到“肯定不安全”的警告(划掉的红色锁图标)。 为了certificate我的MiTM /代理人是罪魁祸首,我使用了一个salesforcetesting网站 (通过避免KB文章 ) 没有MiTM: 中间人: *note that even with no MiTM Chrome detects this site as "secure, but with minor errors" (that yellow icon) because the cert expires within the 2016 calendar year, not 2017+. […]
用户开始抱怨networking速度慢,所以我启动了Wireshark。 做了一些检查,发现许多PC发送类似于以下内容的数据包:(截图) http://imgur.com/45VlI.png 我模糊了用户名,计算机名称和域名的文本(因为它匹配互联网域名)。 计算机垃圾邮件试图暴力破解密码的Active Directory服务器。 它将以pipe理员身份开始,并按字母顺序排列在用户列表中。 物理上去PCfind附近没有人,这种行为是通过networking传播,所以它似乎是某种病毒。 扫描已经被恶意软件发送到服务器的计算机,超级反间谍软件和BitDefender(这是客户端的防病毒软件)不会产生任何结果。 这是一个有大约2500台PC的企业networking,所以重build不是一个有利的select。 我的下一步是联系BitDefender,看看他们能提供什么帮助。 有没有人看到这样的事情,或有什么想法可能是什么?
我刚刚发现了OpenSSH的ControlMaster / ControlPathfunction,它允许您使用单个SSH连接来运行多个terminal。 由于我经常使用SSH来使用端口转发来获得encryption和authentication的VNC会话,所以我立即发现您不能将端口转发添加到已经build立了连接的远程服务器。 这很糟糕。 有时后来我发现你可以通过在正在运行的SSHterminal会话中input〜C来绕过这个限制。 这将打开一个命令行,允许您添加或删除端口转发。 我现在的问题是:如何在使用ControlMaster / ControlPathfunction的现有SSH会话上添加端口转发,而无需访问该SSH会话内的terminal会话。 我需要这个启用我的脚本,启动一个安全的隧道VNC连接,我添加并稍后删除其端口转发。 (我知道我可以使用terminal多路复用器,比如GNU Screen或者tmux,其实我已经这么做了,但是我喜欢用一个SSH会话的想法。
这是我们的问题,想要通过OWA更改密码的用户会收到此错误“您input的密码不符合最低安全要求”。 即使用户正在尊重最低安全要求。 有了这些设置,我们有错误: Enforced password history 1 passwords remembered Maximum password age 185 days Minimum password age 1 day Minimum password length 7 characters Password must meet complexity requirements enabled 有了这些testing设置,我们没有错误: Enforced password history not defined Maximum password age not defined Minimum password age not defined Minimum password length not defined Password must meet complexity […]
我正在研究跨多台计算机为用户提供单一身份的软件。 也就是说,用户应该在每台计算机上具有相同的权限,并且用户应该可以访问每台计算机上的所有文件(漫游主目录)。 对于这个总体思路似乎有很多解决scheme,但是我正在努力为我确定最好的一个。 以下是一些细节和要求: 机器networking是运行Ubuntu的Amazon EC2实例。 我们用SSH访问这些机器。 此局域网中的一些机器可能有不同的用途,但我只讨论机器的某种用途(运行多租户平台)。 系统不一定会有一定数量的机器。 我们可能需要永久或暂时改变运行的机器数量。 这就是我正在研究集中authentication/存储的原因。 这个效果的实施应该是一个安全的。 我们不确定用户是否可以直接访问shell,但是他们的软件可能会在我们的系统上运行(当然是受限于Linux用户名),这与直接shell访问一样好。 假设他们的软件为了安全起见可能是恶意的。 我听说过几种技术/组合来实现我的目标,但是我不确定每个技术的影响。 一个较旧的ServerFault文章推荐使用NFS和NIS,但根据赛门铁克的这篇旧文章,这个组合存在安全问题。 这篇文章build议移植到NIS +,但是由于这篇文章比较陈旧,所以这篇维基百科文章引用了一些陈述,表明Sun将会从NIS +中走出来。 推荐的replace是我听说过的另一件事… LDAP。 它看起来像LDAP可以用来将用户信息保存在networking上的一个集中位置。 NFS仍然需要用来覆盖“漫游家庭文件夹”的要求,但我看到他们一起使用的引用。 由于赛门铁克的文章指出了NIS和NFS的安全问题,有没有软件可以取代NFS,还是应该留意这篇文章的build议,以便将其locking? 我倾向于使用LDAP,因为我们体系结构的另一个基本部分RabbitMQ具有LDAP的身份validation/授权插件。 RabbitMQ将以受限制的方式访问系统上的用户,所以我想尽可能将安全系统连接在一起。 Kerberos是我听说过的另一个安全authentication协议。 几年前我在一个密码学课上了解了一些,但是不记得太多。 我在网上看到了一些build议,可以通过几种方式与 LDAP结合使用 。 这是必要的吗? 没有Kerberos的LDAP有哪些安全风险? 我还记得在卡内基梅隆大学开发的另一个软件中使用了Kerberos。 安德鲁文件系统,或AFS。 OpenAFS可以使用,虽然它的设置似乎有点复杂。 在我的大学,AFS提供了两个要求…我可以login到任何机器,并且我的“AFS文件夹”始终可用(至less在获得AFS令牌时)。 除了build议我应该研究哪条路,有没有人有任何指导,特别有用? 正如大胆的文字指出的那样,LDAP看起来是最好的select,但是我对安全性方面的实现细节(Keberos?NFS?)特别感兴趣。
我有sudo设置显示用户首次使用的通常讲座。 没有想到,当我设置它时,我不小心触发了一个新用户的显示,现在已经显示,他们不会再看到它。 sudo如何知道用户曾经调用过一次? 我想重置,以便该用户在第一次使用它时会看到该消息。 我不想把它设置成让讲座出现在每一个调用中 – 一次就够了 – 我只是想让sudo忘记它已经被显示了一次。 任何想法,我怎么做?
我有一位安全顾问告诉我,出于安全原因,我们不能使用通配符SSL证书。 要清楚我更喜欢使用单个证书或多域证书(SAN)。 然而,我们需要服务器(plesk)到服务器100的子域名。 根据我的研究,人们不使用通配符的主要原因是以下这些似乎来自于verisign: 安全:如果一个服务器或子域受到威胁,所有的子域可能会被破坏。 pipe理:如果通配符证书需要被撤销,所有的子域将需要一个新的证书。 兼容性:通配符证书可能无法正常工作 旧的服务器 – 客户端configuration。 保护:VeriSign通配符SSL证书不受NetSure延长保修期的保护。 由于私钥,证书和子域名将全部存在于同一台服务器上,因此replace将如同replace这一个证书一样简单,并实现相同数量的用户。 那么有没有另外一个原因不使用通配符证书?
几年前,我们通过在外部防火墙前放置一个水龙头,通过IDS盒pipe道将DS1上的所有stream量传输到运行ACiD的日志logging服务器,从而build立了IDS解决scheme。 这大约在2005年左右。 我被要求重新整理解决scheme,并展开并环顾四周,我发现ACiD的最后一个版本是从2003年开始的,而且我似乎无法find任何似乎甚至是远程更新的东西。 虽然这些东西可能是function完整的,但我担心图书馆冲突等。任何人都可以使用一些现代化的工具给我一个基于Linux / OpenBSD的解决scheme的build议吗? 只是要清楚,我知道Snort还在积极开发之中。 我想我现在更多的是在一个现代开源的Web控制台的市场上来整合数据。 当然,如果人们对于Snort以外的IDS有很好的经验,我很高兴听到这个消息。
我今天订购的VPS上需要防火墙吗? 如果是这样,你会推荐哪一个? 我打算用Java,php,mysql运行分类网站。 我的操作系统是Ubuntu 9.10 谢谢 顺便说一句:什么是iptables?