Articles of 安全

我有一个运行Jenkins持续集成服务器的（Win2008 R2）框。 这是一个作为Windows服务运行的Java程序。 命令行如下所示： > "C:\Program Files (x86)\Jenkins\jre\bin\java.exe" -jar "C:\Program Files (x86)\Jenkins\jenkins.war" [more params] 我想让jenkins能够发送电子邮件（例如，当构build失败）。 该盒子运行一个McAffee防火墙，可以阻止除程序/端口白名单外的所有内容。 我添加了白名单规则，允许C:\Program Files (x86)\Jenkins\jre\bin\java.exe访问SMTP端口（25）。 问题是，第三方Java程序可以使用相同的java.exe来执行，因此将能够发送电子邮件。 我如何解决这个问题？ FWIW Jenkins服务器作为特定用户帐户（“autobuild”）运行

我只想让私有IP范围能够访问我的网站上的pipe理员面板。 我find了一篇文章解释如何做一个特定的目录path，如/ var / www / admin /，而不是通过URL。 我无法使用确切的目录path，因为我使用的MVC框架没有可以指向的静态文件。 有没有可能在虚拟主机configuration中做到这一点？ 我脑海中的伪代码看起来像这样， <Directory $domain/admin> Order allow,deny Allow from 192.168.1.0/24 </Directory>

我有一个域名，我使用dnsmadeasy的DNS。 我已经注意到，每个月都有数百万的查询用于我甚至没有的logging。 那么可以做一个通配符logging如* .mydomain.com，并使TTL为高，并将其指向0.0.0.0，因为这些查询是caching谁做他们，不会经常这样做。 或者这会产生某种安全问题或其他？

我有一个现场的Exchange服务器。 对于我们现场因特网连接断开的罕见情况，我想设置一个非现场入站电子邮件中继服务器（我相信这是一个正确的术语）。 我的期望是， 所有的入站电子邮件将首先通过异地电子邮件中继。 在异地电子邮件中继无法联系我们的现场Exchange服务器的情况下，它将保留电子邮件直到它可以成功传送。 因此，我想电子邮件的stream程是这样的： Cusomter's email client -> Customer's SMTP server -> Internet -> -> My offsite email relay -> Internet -> Onsite Exchange server 我在http://emailrelay.sourceforge.net/上发现了一些我认为最初将用于此目的的东西，但是图示的例子似乎意味着它仅用于本地出站电子邮件（ Onsite Exchange Server -> emailrelay -> Internet ） 。 问题： 鉴于我所说的目标，是一个“入站电子邮件中继”，我应该寻找什么？ 还是叫别的？ 我是否缺less一些关键字？ 上面链接的电子邮件中继服务器可以做我想要的吗？ 另外，你可以给我一些程序/应用程序的例子，可以做我想要的吗？ （希望这不是主观的，因为我要求的function的例子，而不是要求什么是“最好的”） 在研究这个话题的时候，我发现操作所谓的“开放邮件中继服务器”被认为是不好的做法，并且可能是一种安全风险。 看来最好的做法是限制邮件中继使用来自/到本地客户端，或从authentication/授权客户端使用。 因为这将是一个入站邮件中继，似乎我必须接受来自任何来源的电子邮件，但我想限制它只接受与目标匹配的邮件域匹配我的业务对应的特定邮件域。 这是一个可接受的和可以实现的解决scheme

在Linux服务器上，如何设置权限，以便某个用户组可以通过sshlogin，但是除非连接返回到ssh客户端地址，否则所有进程的networking连接都将被阻止。 例如，我想允许组中的一个用户ssh并启动一个HTTP服务器（在一个高端口上），然后从运行ssh客户端的计算机连接到它，但是互联网上的任何其他客户端都必须无法访问HTTP服务器。 我知道我可以用iptables完全阻止用户的networking访问，但是如何允许stream量来自或来自$SSH_CLIENT的值？

我看到了Cassandra文档。 http://docs.datastax.com/en/cassandra/2.1/cassandra/security/secureSSLCertificates_t.html 我发现这行“SSL证书必须使用keytool生成”。 但是我有我的自签名CA（easy-rsa openSSL），即给我证书和密钥。 我想使用这些证书和Cassandra客户端的密钥来节点安全，然后我必须使用cqlsh进行通信。 为此，需求是密钥库，证书和密钥。 我尝试过，但我无法做到这一点。

我在Ubuntu中使用system-config-samba设置了读/写权限。 我configuration我的用户也是一个smbuser。 在我所有的其他系统上（2 Win10，1 Win8，1 Ubuntu），我被提示input用户名和密码（因为在smb.conf中guest ok = no ，并且只有一个有效用户）。 问题是，Win Server 2012没有得到这个提示，更糟糕的是，可以绕过authentication，读取目标机器上的所有共享。 起初我以为这可能是一个小故障，Server 2012中的用户名与Ubuntu机器和smbuser相同，但即使更改了Win服务器的用户名，问题仍然存在。 无论如何，我看这似乎是一个巨大的安全漏洞的某种。 我已经validation没有可能正在使用的存储凭据。 smb.conf包括： usershare allow guests = no username map = /etc/samba/smbusers security = user encrypt passwords = yes guest ok = no guest account = nobody [ShareName] path = /media/[user]/[ext4_drive]/[share folder] writeable = yes browseable = yes guest ok […]

Coldfusion将上传的文件写入临时文件夹，cffile标签将在其中进行提取。 不过，我希望我的服务器忽略上传的文件，而不是将它们写入磁盘。 如何防止Coldfusion将这些文件写入磁盘？ 编辑： 或者有没有办法阻止在IIS（7 +）的多部分请求？

我看到这行很多日志： Nov 7 03:47:41 s1 sshd[23430]: Received disconnect from XX.XXX.XX.XX: 11: Nov 7 05:08:16 s1 sshd[24474]: Received disconnect from XX.XXX.XX.XX: 11: Nov 7 06:33:59 s1 sshd[25526]: Received disconnect from XX.XXX.XX.XX: 11: Nov 7 08:06:33 s1 sshd[26601]: Received disconnect from XX.XXX.XX.XX: 11: Nov 7 09:24:14 s1 sshd[27460]: Received disconnect from XX.XXX.XX.XX: 11: Nov 7 10:59:49 s1 […]

我们的想法是将DNS条目指向127.0.0.1，以便testing浏览器扩展的“内联安装”。 以下是一个示例服务： http : //readme.localtest.me/ 我正在考虑为我自己的DNS条目做这个。 app.example.com -> production server IP app-stage.example.com -> stage servier IP app-dev.example.com -> 127.0.0.1 然后，我可以将我的应用程序本地化，以响应app-dev.example.com并进行testing。 我从实际的angular度来看这个问题 。 答案通常表示，将app-dev.example.com指向127.0.0.1的安全风险很小。 XSS是DNSconfiguration中的一个问题 ，但看起来不同。 你是否意识到一个实际问题？ 显然，每个解决DN的人都需要在他们的机器上安装和运行的应用程序。 似乎很好，但呢？ 谢谢！