今天,我们的一个开发人员把他的笔记本电脑从他家偷走了。 显然,他有一个公司的源代码完整svn结帐,以及SQL数据库的完整副本。 这是我个人反对允许公司在个人笔记本电脑上工作的一个重要原因。 然而,即使这是一家公司拥有的笔记本电脑,我们仍然会遇到同样的问题,尽pipe我们在整个磁盘上强化encryption(WDE)的能力稍强。 问题是这些: 贵公司在非公司拥有的硬件上所做的公司数据是什么? WDE是一个明智的解决scheme吗? 它是否会在读取/写入时产生很多开销? 除了更改从那里存储/访问的东西的密码之外,还有什么可以build议的吗?
我已经为即将到来的项目设置了Amazon EC2实例。 他们都是微型实例,运行Ubuntu Server 64bit。 这是我迄今为止设置的: Web服务器 – Apache 数据库服务器 – MySQL 开发服务器 – Apache和MySQL 文件服务器 – SVN&Bacula(备份完成到S3桶) 目前,只有一个Web服务器,但最终会有更多。 我的第一个问题是,Amazon EC2实例彼此之间进行通信的最佳,最安全的方式是什么? 目前我使用SSH,是最好的方法吗? 根据亚马逊,使用其弹性IP地址进行通信的实例将收取数据传输费用。 但是,使用其私有IP地址进行通信的实例可以免费进行。 不幸的是,如果实例停止并重新启动,则显示私有IP更改。 那么这就是我的第二个问题,如果不是静态的,那么您如何利用Amazon实例的私有IP? 我知道这些实例很可能不会被停止并开始非常频繁的使用,但是如果IP地址在不同的configuration文件中,那么通过全部的configuration文件进行修改将是一件痛苦的事情。 我主要关心Web服务器,它需要访问数据库服务器和文件服务器,在执行备份时需要访问所有的实例。 注意:我以前从未使用过Bacula,也没有安装它,但是我假设它需要客户端的IP地址来备份它们。
我希望允许某些用户访问其他用户帐户,而不必知道该帐户的密码,但不允许访问任何其他用户帐户(即root)。 例如,我想让汤姆DBA su到oracle用户,而不是tomcat用户或root。 我想这可以用/ etc / sudoers文件来完成 – 可能吗? 如果是这样,怎么样?
我注意到sudoers文件和cronconfiguration文件与Linux上的其他configuration文件相比有特殊的作用。 他们需要使用特殊的包装器而不是任何文本编辑器进行编辑。 为什么是这样?
你使用什么工具或技术来防止对你的SSH端口的暴力攻击。 我注意到在我的安全日志中,我有数百万次尝试通过ssh以各种用户身份login。 这是在一个FreeBSD的盒子,但我想它可以适用于任何地方。
我想我的CentOS 5.3系统几乎已经完成了我的iptables设置。 这是我的脚本… # Establish a clean slate iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -F # Flush all rules iptables -X # Delete all chains # Disable routing. Drop packets if they reach the end of the chain. iptables -P FORWARD DROP # Drop all packets with a […]
我偶尔会收到奇怪的请求,在Linux系统上提供远程支持,故障排除和/或性能优化。 较大的公司通常已经build立了完善的程序来向供应商/供应商提供远程访问,我只需要遵守这些程序。 (无论好坏。) 另一方面,小公司和个人总是要求我指导他们做什么来build立我。 通常他们的服务器直接连接到互联网,现有的安全措施包括Linux发行版的默认设置。 几乎总是我需要根级别的访问权限,谁将设置访问我不是一个专家系统pipe理员。 我不希望他们的root密码,我也很确定我的行为不会是恶意的,但是我应该给出什么合理简单的指示: build立一个帐户并安全地交换凭证 设置root(sudo)访问权限 限制访问我的帐户 提供审计跟踪 (是的,我意识到并总是警告那些客户,一旦我有pipe理员访问隐藏任何恶意行为是微不足道的,但让我们假设我没有什么可以隐藏和积极参与创build审计跟踪。) 在下面的步骤可以改进什么? 我目前的指令集: build立一个帐户并安全地交换凭证 我提供了一个密码哈希,并要求我的帐户是使用该encryption的密码设置的,所以我们不需要传输明文密码,我是唯一一个知道密码的人,而且我们不会以一个可预见的弱密码。 sudo useradd -p '$1$********' hbruijn 我提供了一个公共密钥SSH(每个客户端的特定密钥对),并要求他们使用该密钥设置我的帐户: sudo su – hbruijn mkdir -p ~/.ssh chmod 0700 ~/.ssh echo 'from="10.80.0.0/14,192.168.1.2" ssh-rsa AAAAB3NzaC1y***…***== hbruijn@serverfault' >> ~/.ssh/authorized_keys chmod 0600 ~/.ssh/authorized_keys 设置root(sudo)访问权限 我要求客户使用sudo sudoedit或使用他们最喜欢的编辑器为我设置sudo,并追加到/etc/sudoers : hbruijn ALL=(ALL) ALL 限制访问我的帐户 通常情况下,客户端仍允许使用基于密码的login,并要求他们将以下两行添加到/etc/ssh/sshd_config ,以至less将我的帐户限制为仅使用SSH密钥: Match user hbruijn […]
我在我的网站上运行了一个恶意软件扫描器,它将一堆压缩的EXE文件标记为潜在的风险文件(这些文件是由用户上传的)。 由于我能够解压缩我的Mac上的文件,我认为这些是真正的ZIP文件,而不是像重命名的PHP文件。 所以ZIP文件不应该是我的networking服务器的任何风险,对吧?
我卸下了服务器机架的侧面板,以便清理一些接线。 在里面,我发现PDU像图片中的那样连线。 而不是传入的电源线,只有3个未绝缘的铲形连接器。 有没有任何理由像这样接线,而不是使用C19适配器连接到您的国家电缆? 或者做这个的人没有合适的电缆,而且这个数字足够好了吗? 编辑: 当我说绝缘的时候,铁锹连接器的金属部分看起来完全裸露。 我没有仔细查看是否有明确的绝缘或某种东西,但它看起来不像,而且是活的。 编辑2 正确的电缆正在装船,并将尽快安装。 同时,没有人会去附近的任何地方。 我可以很容易地切断PDU的电源,所以更换不会是一个问题。 编辑3 到PDU的电缆已被replace为正确的电缆。 没有电工需要。 没有火灾,没有人受伤。 好极了! 错误的电缆已经被破坏,所以没有人会再次尝试这样做。 对于额外的损坏,他们连接这些黑桃只是一个18号线,而不是通常用于服务器的14号。
我的生意很麻烦 我所做的在地球上的每个国家都是合法的,但是有些人不喜欢它,并且让我可怜的互联网服务提供商变得如此艰难,以至于我不得不经常去寻找新的提供商。 我所知道的唯一select就是所谓的“防弹主机”(wikileaks),并不便宜。 唯一使防弹托pipe昂贵的东西,或任何不同于典型的托pipe,是他们通过电子邮件回应“滥用”投诉的法律立场。 无论原因是什么,典型的主持人会在5到10天后感到厌倦,防弹主持人会花时间来审视事件的合法性,并据此作出决定。 据我所知,这些滥用电子邮件直接绑定到他们的服务器所在的IP地址,因为他们“拥有”该IP地址,并有能力在我的昂贵的防弹服务器上出租给我。 如果我能亲自回答他们的话,我会为另一家公司省去麻烦,并且希望在这个过程中省下一些钱。 我怎样才能成为防弹主机? 只要在我当地的房屋出租一个房间,并询问从哪里得到IP? PS No … 只是因为我知道这将是每个人都问的第一个问题 – 我不是一些垃圾邮件发送者或规则34的色情作家,我所做的在每个国家都是合法的。 我说“think wikileaks”! 编辑:再次感谢你所有的惊人的回应。 不知道为什么我最近在这里点火。 感谢所有看到烟雾的人,并为我提供了有意义的答案。