服务器 Gind.cn

Articles of 安全

指纹authentication是否安全?

使用指纹读取器比使用(强)密码更安全吗? 这可以很容易地被黑客攻破吗? 顺便说一下,指纹存储在哪里? 在硬件芯片上还是在文件系统上? 这是依赖于读者的硬件吗? 这是依赖于图书馆/操作系统的实施?

限制Linux用户所拥有的文件

想象一个共享虚拟主机公司的服务器设置,其中多个(~100)客户可以通过shell访问单个服务器。 很多networking“软件”build议chmod文件0777 。 遵循这些教程,我不明智地为我们的客户感到紧张,向其他客户开放了他们的文件。 (我肯定没有cmod 0777自己使用cmod 0777 !)有没有一种方法可以确保客户只能访问他们自己的文件,并阻止他们访问其他用户的世界可读文件? 我查看了AppArmor ,但是它与一个进程非常紧密地联系在一起,这个进程似乎在那个环境下失败了。

如何cachingWindows凭据存储在本地机器上?

如何在Windows客户端上存储caching的Active Directory域凭据? 它们是否存储在本地SAM数据库中,从而使它们容易受到本地用户帐户易受影响的彩虹表攻击,或者它们的存储方式不同? 请注意,我知道它们是被腌制和散列的,所以不会以纯文本forms存储,而是像本地帐户一样进行散列,并存储在同一位置? 我意识到,至less他们是容易受到暴力攻击,但是这是一个更好的情况下,被困机器的情况下容易受到彩虹桌。

fail2ban做Windows吗?

任何人都可以推荐一个类似于Windows2的fail2ban工具吗? 我有几个Windows媒体服务器,用暴力破解authentication尝试。 我想将这些身份validation失败插入某种阻塞工具。

使用带有空密码的SSH密钥可以吗?

当我第一次学习如何创buildSSH密钥时,我所读的教程都指出应该select一个好的密码。 但是最近在设置一个需要ssh到另一台机器的守护进程的时候,我发现在每次启动的时候,有一个我不需要auth的密钥的唯一方法就是创build一个空的密钥密码。 所以我的问题是,使用没有密码的密钥有什么问题?

如何保护一个开放的PostgreSQL端口

所以,这是情况。 看来我们需要在世界上有一个开放的TCP端口5432,客户可以访问他的PostgreSQL数据库。 出于显而易见的原因,我们不能只说“不”,只能作为最后一招。 最大的麻烦是什么? 我如何捍卫我们的基础设施? 不pipe怎样:为什么不能向世界开放呢? 我想,也许这比20年前没有维护的FTP服务器更安全。 PS VPN不好。 一些encryption也许 (如果我可以给他一个JDBC连接的URL的作品 )。

我只是做了一个chmod -x chmod

所以我做了一个chmod -x chmod 。 我如何解决这个问题? 我如何将执行权返回给chmod?

什么types的安全漏洞提供DNSSEC揭露?

我打算用DNSSEC签署我的DNS区域。 我的区域,注册商和我的DNS服务器(BIND9)都支持DNSSEC。 唯一不支持DNSSEC的是我的辅助名称服务器提供商(即buddyns.com )。 在他们的网站上 ,他们就DNSSEC 做出如下表述: BuddyNS不支持DNSSEC,因为它暴露了一些不适合高容量DNS服务的漏洞。 那么,我认为DNSSEC的使用目前在某种程度上是有问题的,因为大多数parsing器不检查logging是否正确签名。 我不知道的是 – 根据他们的说法 – 似乎提供它会暴露某种安全漏洞。 那些“漏洞”是什么?

木偶安全和networking拓扑

背景: 我终于留出了一些时间来join21世纪,看看木偶。 就目前来看,我们版本控制在办公室内部保存的存储库中的所有服务器configuration。 当需要更新时,更改将被重新检入到回购站中,并手动推送到相关机器。 这通常意味着SFTP到远程计算机,然后从shell中移动文件到相应的权限。 所以我希望木偶将成为我们已经拥有的一个简单而又惊人的扩展。 现在我考虑我们目前必须合理安全的过程。 假设我们的内部networking总是比我们的数据中心的公共networking更安全。 这个过程总是一种方式。 变化从一个安全的环境转到不安全的环境。 主店在最安全的地方。 通过窃取configuration或发送恶意修改的风险大大降低。 题: 从我所了解的Puppet服务器/客户端模型来看,客户端直接从服务器端查询并取消更新。 stream量是SSL封装的,所以不能被拦截或欺骗。 但是它与我们目前所做的不同,因为Puppet服务器需要在公共场所托pipe。 无论是集中式的,还是每个我们维护的数据中心站点。 所以我想知道: 我是否从推拉转变为不必要的偏执? 我在公共networking上集中存储所有这些信息是不必要的偏执狂? 其他人如何维护多个networking – 每个站点单独的服务器? 2009年7月30日更新: 我想我的其他重大问题之一是放置,所以必须相信一台机器。 傀儡(s)将被防火墙,担保等。 但即使如此,任何有听音服务的公共机器都有一定规模的攻击面。 据推测,如果主人有权更新任何一个傀儡客户的任何文件,那么妥协将最终导致所有客户的妥协。 可以这么说,“国王之王”。 这个假设是否正确? 有什么办法可以减轻吗?

fstab中的nodev和nosuid的解释

当有人介绍如何安装tmpfs或ramfs时,我会看到网上不断提出的两个选项。 通常也与noexec,但我特别感兴趣的nodev和nosuid。 我基本上讨厌盲目重复别人的build议,没有真正的理解。 因为我只看到网上的复制/粘贴说明,所以我在这里问。 这是从文档: nodev – 不要解释文件系统上的块特殊设备。 nosuid – 阻止suid和sgid位的操作。 但是我想要一个实际的解释,如果我离开这两个,会发生什么。 比方说,我已经configuration了tmpfs或ramfs(没有提到这两个选项集),可以由系统上的特定(非root)用户访问(读写)。 用户可以做什么来伤害系统? 不包括使用ramfs时消耗所有可用系统内存的情况
Intereting Posts
停止Active Directory更新计算机的时间和date Windows 7文件名限制 如何将DKIMfunction添加到IIS 7.5 – Windows Server 2008 – DomainKeys标识的邮件 重新使用磁盘 – Linux blkid命令返回不正确的信息 发布请求不完整时,IIS7响应标头公开服务器信息 使用Powershell脚本检查域帐户的存在 postgressql数据库每秒执行多less个查询 重新启动后自动启动SSH 添加清漆导致IIS速度减慢,stream量减less? 分布式不可靠networking上的VPN 无法让idmap_ad与Ubuntu 12.04和Samba 4一起使用 SBS 2003突然不发送电子邮件到外部域 似乎无法在Apache中设置AcceptPathInfo 如果您的网站比例过大,upload_media无法放在一台机器上,您会怎么做? 如何扫描哪些端口将被打开到另一个位置