我认为有一个你观察到的有关系统pipe理的坏习惯是很有趣的。 例如: 始终在服务器上使用root 共享帐户密码 在代码中插入密码 仍然使用telnet … 虽然我最关心的是安全问题,但是你的坏习惯并不一定是与安全有关的。 坏习惯的故事也受到欢迎。
曾几何时,南美有一个美丽的温暖的虚拟丛林,还有一个鱿鱼服务器住在那里。 这里是networking的感性形象: <the Internet> | | A | B Users <———> [squid-Server] <—> [LDAP-Server] 当Users请求访问Internet时, squid询问他们的名字和护照,通过LDAP他们进行身份validation,如果ldap批准他们,则授予他们。 大家都很开心,直到有些嗅探者偷走了用户和鱿鱼之间的通行证[pathA]。 这个灾难发生是因为squid使用了Basic-Authentication方法。 丛林里的人聚集在一起解决这个问题。 一些兔子提供使用NTLM的方法。 蛇喜欢Digest-Authentication而Kerberos推荐的树木。 毕竟,丛林的人和所有人提供的解决scheme很困惑! 狮子决定结束这个情况。 他高呼解决scheme的规则: 解决scheme是安全的! 该解决scheme适用于大多数浏览器和软件(例如下载软件) 该解决scheme是简单的,不需要其他庞大的子系统(如桑巴服务器) 该方法不是取决于特殊的领域。 (例如Active Directory) 然后,一只猴子提供了一个非常合理的,全面的,聪明的解决scheme,使他成为丛林的新国王! 你能猜到什么是解决scheme? 提示: squid和LDAP之间的path受到狮子的保护,因此解决scheme无法保护它。 注意:如果故事是无聊和杂乱的,但是大部分是真的! =) /~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( […]
我将把Ansible引入到我的数据中心,并且正在寻找一些安全的最佳实践,以find控制机器的位置以及如何pipe理SSH密钥。 问题1:控制机器 我们当然需要一台控制机器。 控制机器上保存有公用的SSH密钥。 如果攻击者能够访问控制机器,则可能访问整个数据中心(或由Ansiblepipe理的服务器)。 那么,在数据中心还是远程控制机器(例如,远程连接到数据中心的笔记本电脑)中安装专用控制器会更好吗? 如果最好的做法是使用我的笔记本电脑(当然可能会被盗,但是我可以将我的公钥安全地保存在云端,或者在便携式encryption设备上离线保存),如果我需要使用某些networking接口Ansible和Ansible Tower,Semaphore,Rundeck或Foreman一样,需要在集中式机器上安装到数据中心? 如何保护它,避免它成为“单一攻击点”? 问题2:SSH密钥 假设我需要使用Ansible来完成一些需要由root执行的任务(比如安装软件包或类似的东西)。 我认为最好的做法是不要在受控服务器上使用root用户,而要使用sudo权限为Ansible添加普通用户。 但是,如果Ansible几乎需要完成所有任务,则需要通过sudo访问每个命令。 那么,什么是最好的select: 让Ansible使用root用户(将其公钥保存在~/.ssh/authorized_keys 使用sudo访问创build专用于Ansible的非特权用户 让Ansible用户通过sudo指定一个密码来运行每个命令(这是唯一的需要被每个使用Ansible来控制该服务器的系统pipe理员所知) 让Ansible用户通过sudo运行每个命令而不指定任何密码 任何其他提示?
我需要将用户添加到TFS中的“Team Foundation服务帐户”组,以便能够运行TFS集成工具 。 我是运行TFS和TFS安装(即我在TFSpipe理员组)的计算机上的pipe理员。 当我尝试使用Team Foundation Serverpipe理控制台执行此操作时,添加选项将变灰。 任何想法如何做到这一点?
基本上我问的是,有没有人遇到了一种方法,在rsh内包装rsync。 使用OpenSSH v4.9 + sftp有一些很好的选项,可以让你连接到连接等,这是一个解决scheme,但是我一直用RHEL,而RHEL4或者RHEL5都不是那个版本的SSH。 我目前的解决scheme是使用客户端用户的密钥添加类似这样的服务器端… server%cat〜/ .ssh / authorized_keys command =“cd / srv / rsync / etl && tar –exclude'./lost+found'-pcf – ./”ssh-rsa … …所以客户将被限制在一件事情,一件事情… 客户端%ssh -T -i $ {HOME} /。ssh / id_rsa [email protected]> sensative.tar 这保证了连接以及服务器(来自客户端)的安全,但是效率低下,因为所有的文件都会一遍又一遍地被检索。 我在使用rsync做类似的(或更好的)之后。
我在SLES 10.1上,并尝试configurationvsftpd以允许rootlogin。 有谁知道如何做到这一点? 到目前为止,我有这样的: local_enable=YES chroot_local_user=NO userlist_enable=YES userlist_deny=NO userlist_file=/etc/vsftpd.users 我已经将root添加到/etc/vsftpd.users。 当我尝试login时,这是我得到的: $ ftp susebox 连接到susebox.example.com。 220-FTP服务器(用户“[email protected]”) 220 用户(susebox.example.com:(无)):root 331-密码: 331 密码: 由远程主机closures连接。 C:\> 顺便说一句,如果你不知道答案,请不要打扰我教我如何不应该允许rootlogin。 我知道自己在做什么,对于可能造成的时空连续性破裂,我承担全部责任。
被黑客攻击后对linux box进行取证分析的主要步骤是什么? 可以说这是一个通用的Linux服务器的邮件/networking/数据库/ FTP / SSH /桑巴。 它开始发送垃圾邮件,扫描其他系统。如何开始search黑客做的方式和谁负责?
我想要一个安全的邮件解决scheme,因为我正在寻求远离Google和其他方面来查看我的私人数据。 多lessPITA是它设置我自己的邮件服务器? 我是否应该select拥有良好隐私政策和encryption数据的外部提供商? 我有一个运行Debian的VPS(使用专用的IP +反向DNS),我是一个相当有能力的Linuxpipe理员,设置了几个Web服务器,家庭networking,并在工作中查看系统pipe理员的肩膀。 我目前在VPS上的安全性仅限于iptables和安装/运行所需的最低限度(目前基本上是irssi和lighttpd)。 在build立邮件服务器时,是否有很多东西需要考虑? 如果我没有实施许多解决scheme,我的外发邮件是否会在其他服务器上标记为垃圾邮件? 将可靠的垃圾邮件过滤难以设置? 我可以轻松encryption存储的邮件吗?
我没有最强的计算机安全背景,但昨天我的一台服务器被我们的主机closures了。 这是一个分配了公共IP的服务器,我托pipe了几个Web服务应用程序,包括网站和API。 有人告诉我,我的服务器“正在运行一个开放的DNSparsing器,用于将拒绝服务攻击转发给外部实体。” 这是什么意思? 这个攻击如何工作? 我怎样才能保护我的系统免受这样的虐待? 在我的具体情况下,有问题的服务器在Windows Server 2012上,它正在为Active Directory域提供DNS服务。
我有一个运行在SSH上的git服务器,每个用户在系统上都有一个unix帐户。 鉴于两个用户可以访问回购,我怎么能确定哪个用户执行了哪个提交,因为提交用户名和电子邮件是由git客户端提交和控制的。 我担心用户可能会尝试冒充他人,即使他们具有相同的授权权限。