我有一个小SVN服务器,老戴尔optiplex运行debian。 我对服务器没有那么高的要求,因为它只是一个小小的SVN服务器…但是希望它是安全的。 我只是将我的服务器更新为更新,更好的optiplex,并开始寻找旧服务器。 遇到问题后我把它拿下来。 当我检查日志时,它充满了蛮力的尝试,并有人成功地进入我的机器。 这个人创造了一些额外的卷叫“knarkgosse”与两个“根”和“交换1”或什么东西。 不知道他们为什么,他们做了什么,但是确实要防止这种情况再次发生。 我觉得这有点奇怪,不过因为我几个月左右换了口令,密码总是随机的字母和数字拼在一起…不容易暴力破解。 我知道我可以防止rootlogin,并使用sudoers …并更改SSH端口,但我还能做什么? 所以我有几个问题: 如何在X次错误尝试后阻止login5分钟 或每个不正确的尝试后慢下来? 是否有某种服务器可以连接的中央黑名单? 一个黑名单,跟踪IP地址是“不安全的”,永远不应该被授予访问权限? 我还能做些什么来将安全措施应用于我的服务器? 就像我之前说的,我正在用Apache(www-data用户问题?),svn,mysql,php,phpmyadmin,hudson运行Debian 5。 它在80,443,8080,8180,23和22端口转发的家庭networking上。
在旅途中使用SSH连接到服务器真的很安全吗? 服务器 : – CentOS 7 – 仅通过RSA密钥授权 – 密码validation被拒绝 – 非标准端口 工作站 : – Ubuntu 14 – 用户密码 – 使用RSA密码的密码(标准方法) 也许这是一个好主意,将一半的私人RSA密钥保存在USB记忆棒上,并自动(通过脚本)将这一半添加到〜/ .ssh / private_key连接之前? 互联网将通过酒店的WIFI或租用的公寓的电缆。 UPD 对不起,最初不清楚。 我的意思是两方面的安全: 仅通过不可信networking的SSH连接的安全性。 计算机的安全性与SSH连接所需的密钥 – 如果被盗,如何保护服务器…
我想知道优点和缺点的原因和反对的系统pipe理员的维护用户帐户列表与密码的想法..另外,不允许这些用户更改密码。 我知道像Windows这样的系统似乎鼓励用户应该保持自己的密码安全性,并允许随意更改密码。 如果同事的话不同意系统的日志,我可以理解隐私的需要和用户有权保护自己的需要。 但是同时我也可以看到有些人可能有理由认为在用户可能希望保密的某些材料需要访问的情况下将用户的密码存档。 我真的很想接受这个想法的教育。
我必须build立一个尽可能安全的服务器。 您将使用哪种安全增强function?为什么使用SELinux,AppArmor或grsecurity? 你能给我一些提示,提示,利弊这三个? 据我所知: SELinux:function最强大但最复杂 AppArmor:比SELinux更简单的configuration/pipe理 grsecurity:由于自动训练,简单的configuration,更多的function,而不仅仅是访问控制
我正在试图保持几个Ubuntu的盒子是最新的(10.4.2 LTS),我得到的一个build议是设置无人值守的升级( https://help.ubuntu.com/community/ AutomaticSecurityUpdates )。 在过去,我一直反对设置自动更新,主要是因为在更新过程中它会打破某些偏执狂。 但是现在我开始质疑这是多么的有效(以及与潜在的未修补服务器相比,它有多大的风险)。 这是一个理智的想法? 我们也正在build立Puppet,但是创build模块/将服务器迁移到木偶似乎还有很长的路要走。
目前我正在使用VisualSVN服务器,它只能在我的家庭networking上访问。 最终会有其他人访问它,但现在只是我,我想能够下到咖啡店(或任何地方),并能够离开房子工作。 目前我正在通过http://user-pc:xx/svn/Projects/访问服务器。 当我设置我的路由器将XX端口转发到我的服务器时,我应该采取哪些措施来保护服务器? 请记住,我在Windows上这样做,当我广泛使用常规命令提示符时,我没有很长时间没有使用SVN,除了TortoiseSVN以外,没有使用任何东西来处理它到目前为止。 编辑 :攻击者可以做的唯一有害的事情,我知道,是:猜测我的端口号,用户名和密码进入存储库。 然而俗话说,我不知道我不知道。 所以我不一定要求一步一步的指示(尽pipe我当然也希望这样做),就像我需要考虑的事情一样,一旦港口开放, 任何forms的攻击都可以考虑。
我一直在试图把一个基本的服务器iptables脚本放在一起,这个脚本可以在大多数使用HTTP(S)和SSH(端口80,443和22)的网站上运行。 毕竟,大多数VPS只需要这些起始端口规则,并可以根据需要添加邮件或游戏端口。 到目前为止,我有以下规则集,我想知道是否有人知道更好的脚本或可以添加的任何改进。 *filter # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT # Accepts all established inbound connections -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT # Allows all outbound traffic # […]
我们find了域pipe理员帐户 – 除非在灾难恢复情况下,我们不使用 – 在LastLogonTimeStamp属性中最近有一个date。 据我所知,没有人应该使用这个帐户在有关的时间段(和几个月以上),但也许有一个白痴已经configuration它运行一个计划的任务。 由于安全日志事件的数量(以及缺乏分析的SIEM工具),我想确定哪个DC具有帐户的实际lastLogon时间(即不是复制的属性),但是我查询了域中的每个DC,他们每个人都有一个最后login“无”pipe理员。 这是林中的一个子域,所以有人可能使用这个子域pipe理员帐户在父域中运行某些东西。 任何人都可以想出一种方法来确定哪些DC正在进行login,而不是在LastLogonTimestamp中logging的时间内检查来自16个森林DC的潜在2000万事件吗? 我想我可以首先瞄准父域DC(因为小孩DC似乎没有做auth)。 附录 这个请求的最初原因是由于我们的IT安全团队,他们想知道为什么我们显然使用默认的域pipe理员帐户频繁login。 我们知道我们没有login。 事实certificate,有一种叫做“Kerberos S4u2Self”的机制,当一个作为本地系统运行的调用进程正在做一些特权升级时。 它以域控制器上的pipe理员身份执行networkinglogin(不是交互式)。 由于它是非交互式的,这就是为什么在任何DC上没有lastLogon帐户(该帐户从未login到任何当前的域控制器)。 这篇文章解释了为什么这个东西会把你的日志写出来,并使你的安全团队有小猫(源机器是Server 2003,使事情变得更糟)。 以及如何追踪。 https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/ 获得的经验 – 只有在涉及pipe理员login时,才向IT安全团队提供有关lastLogon属性的报告。
Google 宣布了SSLv3协议中的一个漏洞 …允许安全连接的明文由networking攻击者计算。 此漏洞被命名为CVE-2014-3566 ,市场名称为POODLE。 如果我有一个网站在https://www.example.com/ ,我怎么知道这个漏洞是否影响到我?
为了: 增加我的网站的安全性 降低带宽要求 防止收集邮件地址