想想一个虚拟主机公司,想让用户通过SSHpipe理文件和git仓库。 这包括: 安全副本(scp) 创build,复制,移动/重命名和删除文件 为源代码pipe理和文本编辑(git,vim,nano)执行一个狭窄的命令子集, 我们想要实现这一点,并考虑了以下选项: RSSH scponly 这些将允许scp部分,但使用git似乎不可能。 在Launchpad中有一个补丁,但我不知道该怎么做。 还有git-shell ,但是它似乎不允许编辑。 也许vim甚至太多了,因为它可能被用来执行更多的代码,所以如果它太多的话,我们可以放弃(vim,或者文本编辑器,如果必须的话)。 我们基本上想lockingshell,所以用户可以pipe理(和编辑)文件和git存储库,但用户不应该能够在系统上执行任何其他程序。 最大的问题是滥用networking和计算资源,但是也使用该系统作为代理。 你把它命名。 有没有办法做到这一点,或者我们甚至可能在这个问题上有错误的做法?
我如何在个人机器上安全地存储AWS证书? 详细: 我们团队中的每个人都需要AWS安全证书来执行pipe理任务(证书按angular色分隔)。 这些凭据通常以明文forms存储在磁盘上的某些configuration文件中。 我认为这是非常不安全的,特别是考虑到凭证是分布在团队成员,最终在备份等。 我更喜欢以encryptionforms存储这些凭据(例如类似于ssh密钥)。 有没有一些自动化的方式呢? 还是我需要破解一些使用例如opensslencryption数据的bash脚本? Web上有很多关于如何在EC2实例上保护证书的信息。 甚至有这个Amazon IAMangular色function ,但它也只适用于EC2。
我正在一些Linux服务器上设置Nagios,并遇到了一些问题。 check_ide_smart插件需要root权限才能运行系统。 要运行它,我使用check_by_ssh插件ssh到远程主机上的nagios帐户,然后使用sudo运行check_ide_smart 。 我最初/etc/sudoers添加到/etc/sudoers以允许程序工作: nagios ALL=NOPASSWD: /usr/lib/nagios/plugins/check_ide_smart 虽然在本地运行时工作得很好,但是从Nagios运行时遇到问题:没有生成TTY,导致插件无法工作。 我在sudo的man页面中挖了一下,发现了-s选项,它生成一个shell并在那里执行程序。 当我尝试使用sudo -s ,由于-s显然将命令更改为/bin/bash -c /usr/lib/nagios/plugins/check_ide_smart ,这是sudoers文件不允许的,所以我遇到了权限问题。 我尝试改变sudoers文件来使用这个命令,但是这不起作用,并且使用引号是一个语法错误。 我最终通过在/etc/sudoers使用以下行来完成工作: nagios ALL=/bin/bash 这对我来说真的是错误的,因为我允许nagios用户产生一个root shell,他们可以做任何事情。 在这一点上,我虽然也许,通过将命令放在一个shell脚本,nagios用户具有只读权限将工作,所以我创build了一个shell脚本: #!/bin/sh /bin/bash -c /usr/lib/nagios/plugins/check_ide_plugin $@ 不幸的是,我永远不能得到传递的参数( $@ )正确地使用插件,所以我不知道这是否会工作。 编辑:我需要引用$@它的工作。 感谢@derobert和@pjz。 我仍然不知道这是否会工作,因为我使用@Mike Arthur的解决scheme来工作。 有没有一种方法可以让sudo -s在不允许生成根shell的情况下工作? 回答: 将以下行添加到/etc/sudoers : nagios ALL=NOPASSWD: /bin/bash -c /usr/lib/nagios/plugins/check_ide_smart * 注意尾部星号; 没有它,这是行不通的。 感谢@Mike亚瑟的答案。
在安全审查我们的机器时,我发现一台主机将80端口的Microsoft-HTTPAPI / 2.0服务公开给了互联网。 我不熟悉这一点,但经过Googlesearch后,我发现SQL Server 2008通过deafault在端口80上发布了SQL Server Reporting Services,并将其自身标识为HTTPAPI / 2.0。 主机也在运行IIS7。 我猜这可能不是应该暴露给世界的东西。 任何人都可以提供任何关于暴露此服务的安全风险的任何信息或build议。 Response Headers – http://#.#.#.#/ Content-Type: text/html; charset=us-ascii Server: Microsoft-HTTPAPI/2.0 Date: Mon, 10 Aug 2009 10:44:25 GMT Connection: close Content-Length: 315 404 Not Found
我想在unix机器上更改我的密码。 我做了一个正常的“passwd”,input我的旧密码和我的新密码。 然后机器回来,给我以下消息: BAD PASSWORD: is too similar to the old one 这让我想到了…这是否意味着,机器的密码在明文中的某处? 否则,它不应该能够比较旧的和新的密码,对不对? 还是有一个哈希函数,使?
我正在处理一些处理一些敏感数据的Web应用程序。 我们在安全方面变得非常紧张,制定了locking对机器访问的策略,并logging了所有的事情,以便进行技术审计。 我们不断回头的问题是:谁得到根? 我们的服务器实例将有一个root用户。 该root用户将有一个密码。 谁应该访问这个? 有没有人可以拥有root访问权限的机器是否可能? 我很感激你对这个问题有任何想法。
只需在OSX上的LDAP碎片上阅读Slashdot线程即可 。 任何人都可以准确解释OpenLDAP所保证的是什么,以及为什么除了存储在狮子机器上的数据之外,还有其他的危险? 文章引述: 审计公司Errata Security首席执行官Rob Graham表示:“作为笔testing人员,我们首先要做的就是攻击LDAP服务器。 “一旦我们拥有一台LDAP服务器,我们拥有了一切。 我可以走到任何一台笔记本电脑(在一个组织)并login到它。“ 如何从黑客攻击一个随机的Mac LDAP服务器到拥有整个企业?
什么选项可用于OSX全盘encryption? 他们哪一个最好?
networking似乎被密码清除器淹没。 不过我是另一边。 我对我的文件的安全感兴趣。 如果我有一个WinRAR压缩文件(大于1M字节)并使用一个密码(> 6个字符长,非字母数字字符),我的压缩文件的安全性如何?
一个偏执狂的系统pipe理员如何自信地保持最新的稳定的PHP版本? (安全修补程序已经定期进入)。 这是一个生产服务器,所以“打破东西”是吓死我的家伙。 停机维护不是问题。 具体来说,我们正在运行最近的Suse Enterprise Linux,但是一个通用或者更一般的答案是完全可以接受的。 你如何处理生产机器的安全更新? 我们怎么知道这个家伙害怕使用包pipe理器来“更新”? 任何build议?