我的团队使用TeamCity进行持续集成。 它将通过Web Deploy构build,testing和部署Web应用程序到dev和qa Web服务器。 棘手的部分是部署到生产Web服务器 – 我们的政策规定,开发人员不能部署到生产,只有系统pipe理员可以。 我们目前的方法是让TeamCity构build一个Web部署包,pipe理员可以下载并安装在生产Web服务器上。 但是,我们希望允许他们只需点击构buildconfiguration上的“运行”,但我们不确定如何确保该button的安全。 我们可以创build一个只有pipe理员才能访问的TeamCity项目,但是我们也必须解决Web Deploy安全问题。 Web部署服务需要使用生产服务器上的本地pipe理员帐户进行身份validation。 我们不希望开发人员在构build脚本中访问用户名/密码,也不希望每个构build代理都以此帐户运行,因为开发人员可以创build一个构build,以便将其部署到生产环境。 在TeamCity安全/部署最佳实践方面,我还没有find太多的运气,但是我无法想象我们是这种情况下唯一的公司。 其他人如何pipe理自动部署安全性?
我有一台安装了CentOS 5.9和VMware的机器。 目前我使用的是BIND 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.6(默认发行版)。 当我重新启动计算机时,只有在指定的服务启动时才能在屏幕上看到此消息: Starting named: You need to implement a remote task_setrlimit in your security module and call it directly from this functionWARNING: at security/security.c:51 security_ops_task_setrlimit() Call Trace: [<ffffffff8012eeeb>] security_ops_task_setrlimit+0x87/0x96 [<ffffffff8009dc0a>] do_prlimit+0xd7/0x1d2 [<ffffffff8009ed53>] sys_setrlimit+0x36/0x43 [<ffffffff8005d29e>] tracesys+0xd5/0xdf 这个错误似乎没有影响绑定,服务工作正常,但我会知道是什么产生警告错误,以及如何解决它。
我正在为一个实现面向客户的Web应用程序的中型networking设置定期的端口扫描和漏洞扫描。 主机运行CentOS 5.4。 我已经使用了Nmap和OpenVAS等工具,但是我们的防火墙规则对于来自我们自己的设施和服务器的连接有特殊的情况,所以扫描应该从外部进行。 而不是build立一个VPS或EC2服务器,并configuration各种工具,似乎这可能只是承包给一个端口和漏洞扫描服务。 如果他们专业地做,他们可能会比我设立的东西更新,让他们跑一年。 任何build议或经验这样做?
在我试图用fail2ban阻止失败的phpMyAdminlogin失败时,我创build了一个脚本来logging失败的尝试到一个文件: /var/log/phpmyadmin_auth.log 自定义日志 /var/log/phpmyadmin_auth.log文件的格式是: phpMyadmin login failed with username: root; ip: 192.168.1.50; url: http://somedomain.com/phpmyadmin/index.php phpMyadmin login failed with username: ; ip: 192.168.1.50; url: http://192.168.1.48/phpmyadmin/index.php 自定义filter [Definition] # Count all bans in the logfile failregex = phpMyadmin login failed with username: .*; ip: <HOST>; phpMyAdmin监狱 [phpmyadmin] enabled = true port = http,https filter = phpmyadmin action […]
有一种方法可以根据原始RPM内容validation与特定软件包相关的文件: # Verify `vsftpd` package. rpm -V vsftpd 如何完成链并validationrpm命令本身没有改变? 如果我用始终成功的脚本replacerpm ,这种validation将永远不会失败。
我最近安装了一个CentOS 5.3机器,我在无头环境下locking了服务器的使用(机器上不会使用GUI)。 该服务器将用作组合的Web和数据库服务器。 我禁用了xfs和portmap,因为这些在计算机上显然是不需要的。 下面是一个chkconfig日志,显示了机器上运行的服务。 问题: 超越xfs和portmap – 你认为哪些服务会被禁用? 为什么? chkconfig –list | grep 3:on acpid 0:off 1:off 2:on 3:on 4:on 5:on 6:off anacron 0:off 1:off 2:on 3:on 4:on 5:on 6:off atd 0:off 1:off 2:off 3:on 4:on 5:on 6:off auditd 0:off 1:off 2:on 3:on 4:on 5:on 6:off autofs 0:off 1:off 2:off 3:on 4:on 5:on 6:off […]
在我的工作地点,我们多年来一直没有内部的证书颁发机构。 这对我们是有效的,因为没有可信实体没有明显的影响。 然而,现在看来,这种趋势很快就被扭转了 – 大多数新技术现在都不愿意与不可信实体进行可靠的沟通。 不幸的是,我是第一个提到我们公司应该build立一个内部authentication机构的人,所以我负责实现它(尽pipe我不知道自己在做什么)。 我的问题涉及build立和维护CA所需的努力。 此外,我想validation,我是正确的select在serverfault问这个问题,而不是stackoverflow(这是更多的“服务器组”比“软件开发”野兽,对不对?) 我的主要问题 :设立CA是否需要雇用专门维护CA的常驻专家/专职人员? 或者这是一种“一劳永逸”的野兽types? 我是一名贸易软件工程师,担心我的职业生涯将会受到严重的阻碍。 我的雇主已经想要为一切使用证书(无线安全,代码签名,服务器authentication,电子邮件签名,名单继续…) 我应该担心吗? 帮帮我! 编辑 – 附加信息: 我的雇主在国际上雇用2000-3000。 我们是一家微软公司。 据我所知,我们要利用PKI进行以下工作: 签署电子邮件。 签署文件(Word,PDF等)。 签署代码(ClickOnce)。 使我们的服务器可信(对于RDP会话,terminal服务)。 内部https。 无线安全/authentication。
我想configurationsecuretty来限制root用户直接访问。 现在我清楚,如果我补充说: auth required pam_securetty.so 进入/etc/pam.d/system-auth,并在/ etc / securetty中只保留“console”,sshlogin也会被禁止。 如果我添加: auth required pam_securetty.so 进入/etc/pam.d/login,并且只保留在/ etc / securetty中的“console”,sshlogin不会被禁止。 现在我不清楚/etc/pam.d/login和/etc/pam.d/system-auth之间的区别。 任何人都可以给我一些参考或指导? 非常感谢! PS /etc/pam.d/login与/etc/pam.d/system-auth也有一点关系,但我想更多地让我更清楚。
是否有可能在Windows中强制硬盘进入“一次写入”模式? 我想安全地存储日志,以便不能更改,但由于性能原因,我无法使用磁带或光盘。
请参阅ie: 如何将CNAME设置为指向Azure 或azure门户内的文字: 为什么这首先是必要的? 为什么通过Alogging指出域名不能certificate我是域名的所有者? 我的意思是..你怎么能改变一个DNSlogging呢? 这个规则有什么违规行为?