我为这个问题find了一个可行的答案,其中大部分答案都包含了为什么不这样做的build议。 但是,这是情况,什么使得它是必要的: 我有一个控制台应用程序,并且在每个用户的.profile中,都有一个用于应用程序的启动命令,并且在启动它的命令之后,有一个“退出”命令,将它们从系统中注销。 我只希望他们能够通过它提供的接口访问这个控制台应用程序。 启动时,应用程序向用户显示可以通过应用程序访问的客户端列表,每个客户端都有自己的数据目录。 用户只能访问他们需要访问的客户端。 现在问题是:如果我给用户SSH访问,他们也将能够使用SFTP客户端login,这将使他们能够直接访问应用程序的数据目录,这是非常不可取的,因为这也会给他们访问他们不应该访问的数据目录。 当使用telnet / FTP组合时,这是一件很简单的事情,但是现在我想让用户能够从互联网上的任何地方访问,我一直无法find一种方法来closures他们的SFTP,而仍然允许他们访问他们可以运行应用程序的shell。
我们的几台服务器有Oracle维护许可证。 我们的硬件供应商问服务器机房有互联网连接。 我们的政策是,出于安全原因,该房间内的所有机器都与互联网隔离。 但维修人员问“那么我们将如何能够在您的服务器上进行维护工作?” 我的问题是,我们的服务器是否需要互联网连接才能进行维护,如许可证validation系统。 或者他可以离线吗? 如果networking连接到我们的生产服务器,这本身不是一个风险吗?
UFW的手册页提到它可以为我设置iptables限速: ufw支持连接速率限制,这对防止暴力login攻击非常有用。 如果IP地址在最近30秒内尝试启动6个或更多的连接,ufw将拒绝连接。 有关详细信息,请参阅http://www.debian-administration.org/articles/187 。 典型的用法是: ufw limit ssh/tcp 不幸的是,这是我能find的所有文档。 我想坚持UFW,而不是使用更复杂的iptables命令(保持“简单”的东西)。 我如何使用ufw来限制端口80上的所有传入(不传出)stream量到每30秒20个连接? 如何禁用端口30000到30005的速率限制? 是否为所有端口默认启用速率限制?
我的目标是确保连接到我的nginx的客户端的安全。 我正在遵循Mozilla的指南,在我的nginx安装中正确configurationTLS ,但是我没有概述在实际中使用的实际协议/密码套件。 我现在拥有的: server { listen 443; ssl on; ssl_certificate /path/to/signed_cert_plus_intermediates; ssl_certificate_key /path/to/private_key; ssl_dhparam /path/to/dhparam.pem; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'the_long_ciphersuite_listed_there'; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:50m; } 有了这个,我想logging哪个SSL协议被用于连接,以及在客户机/服务器协商后select了哪个密码组。 例如: 10.1.2.3 – – [13/Aug/2014:12:34:56 +0200] "GET / HTTP/1.1" 200 1234 "-" "User agent bla" 至 10.1.2.3 – – [13/Aug/2014:12:34:56 +0200] ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 "GET / […]
我正在寻找IIS使用的IUSR和IWAM帐户的一个很好的解释,以帮助我更好地configuration我们的托pipe环境: 他们为什么在那里? 他们之间有什么区别? 名字是否代表有意义的东西? 我应该做什么最好的修改? IIS还为我提供了将应用程序池作为networking服务,本地服务或本地系统运行的选项。 我是不是该? 我的networking服务器是域的一部分,这是如何改变的? 在将多个站点部署到服务器时,创build您自己的这些帐户版本似乎很常见,这引发了一些额外的问题: 我什么时候可以创build自己的IUSR和IWAM账户? 我应该如何创build这些额外的帐户,使他们有正确的权限? 我使用大多数默认configuration的IIS 6和IIS 7。
我希望在Active Directory的某个地方写入/存储“最后一次login[计算机]”,或者有一个我可以parsing的日志? 想知道最后一台电脑login的目的是为了通过networking提供远程支持 – 我们的用户移动相当less,但我想知道,无论我正在咨询更新当天上午(当他们login,大概是)至less。 我还在考虑将用户和计算机名称写入我可以参考的已知位置的login脚本,但是我们的一些用户不喜欢一次注销15天。 如果有一个使用login脚本的优雅的解决scheme,一定要提到它 – 但是如果它恰好为解锁站点而工作,那将更好!
在cPanel上,当我以root身份login并input“mysql”而没有主机名和密码时,它使我可以直接访问mysql root用户。 我想这样做的一个非cpanel服务器,其中的Linux root用户获得密码lesslogin到MySQL的根用户,就像它在cPanel上一样。 这可能吗 ?
有没有人有任何资源为我的用户确定一个合理的密码政策? 我个人倾向于提高密码的复杂性,让他们不那么频繁地改变它们,作为一种妥协。 看起来,我的普通用户比5或10年前对某些数字和特殊字符的混音具有更高的容忍度。 我正在寻找可用于备份我提议的政策变更的经验法则和/或资源。 甚至从经验丰富的人那里轶事的信息。 (我离安全专家很远,所以如果这只是模糊处理,让我们缩小这个问题,只适用于内部的Windowsnetworking密码,但我会对人们在VPN和networking方面做的事情感兴趣服务政策)
假设我有一个硬盘数据,我不想暴露给第三方。 该磁盘的保修期限仍然持续。 现在磁盘开始发生故障。 我无法在发生故障的磁盘上使用磁盘擦除程序 – 这是行不通的。 如果我在磁盘上运行任何破坏性行为 – 将其刻录,打开并划伤它,将其粉碎(无论类似情况如何),零售商将拒绝交换磁盘,说明破坏性行为无效。 如何在不保修的情况下销毁发生故障的磁盘上的敏感数据?
我曾在几家托pipe公司工作过,看过两个学派 不要让客户进入服务器机房。 这个说法基本上是提高了安全性( 这个新闻报道通常只是提供了一个理由,那就是如果你了解这个人的安全性)和隐私,而且如果你为他们提供了一个本地terminal,这就足够了。 让客户进入服务器机房,因为人们需要访问他们的机器,这是一个很好的展示。 是否有任何理由(如法律,合规等),你不应该让人们进入服务器机房?