IT经理可能会离开,而且分道扬's也许不完全是公民化的。 我真的不希望有任何恶意,但以防万一,我该检查,更改或locking什么? 例子: pipe理员密码 无线密码 VPN访问规则 路由器/防火墙设置 所有的build议赞赏。
如何将访问networking资源授予LocalSystem (NT AUTHORITY \ SYSTEM)帐户? 背景 在访问networking时,LocalSystem帐户充当networking上的计算机 : 本地系统帐户 LocalSystem帐户是由服务控制pipe理器使用的预定义的本地帐户。 …并充当networking上的计算机。 或者再说一遍:LocalSystem帐户充当networking上的计算机 : 当某个服务在作为域成员的计算机上的本地系统帐户下运行时,该服务具有任何networking访问授予该计算机帐户或该计算机帐户所属的任何组。 如何授予“ 计算机 ”访问共享文件夹和文件? 注意 : 计算机帐户通常没有特权,不属于组。 那么,我将如何授予计算机访问我的一个股份; 考虑到“ 每个人 ”已经可以访问? 注意 :工作组 | Account | Presents credentials | |—————-|———————-| | LocalSystem | Machine$ | | LocalService | Anonymous | | NetworkService | Machine$ |
很显然,看到我们这里有多less人是系统pipe理员types的人,我们有很多系统和帐户密码的密码。 其中一些是低优先级的,如果发现其他公司可能会对公司造成严重损害(你不是只是爱电力?)。 简单易记的密码是不可接受的。 唯一的select是复杂的,难以记忆(和types)的密码。 那么, 你用什么来跟踪你的密码? 你是否使用一个程序来为你encryption(又需要另一个密码),还是你做了一些简单的事情,比如一张纸上放着一张纸,或者是在这些选项之间的某处?
在我的网站上,我有一个“隐藏”页面,显示最近的访问者列表。 根本没有链接到这个单一的PHP页面,理论上,只有我知道它的存在。 我每天检查多次,看看我有什么新的命中。 不过,每周大约有一次,我在这个被隐藏的页面上发现了一个208.80.194的地址(它自己logging了点击)。 奇怪的是这个神秘的人/机器人不访问我的网站上的任何其他页面。 不是公共PHP页面,而只是打印访问者的隐藏页面 。 它总是一个命中,而HTTP_REFERER是空白的。 其他数据总是一些变化的 Mozilla / 4.0(兼容; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b) …但有时MSIE 6.0而不是7,和其他各种插件。 浏览器每次都是不同的,就像地址的最低位一样。 就是这样。 每周一次左右,到那一页。 绝对没有其他网页被这个神秘的访客触摸。 对这个IP地址做一个whois显示来自纽约地区,来自“Websense”ISP。 地址的最低8位不等,但总是来自208.80.194.0 / 24子网。 从我用来访问我的网站的大多数计算机上,在我的服务器上执行traceroute不会在路由器的任何位置使用IP 208.80。*。 所以这可以排除任何types的HTTP嗅探,我可能会想。 这是怎么发生的呢? 这似乎是完全良性的,但无法解释,有点令人毛骨悚然。
我喜欢通过密钥访问服务器的想法,所以我不必每次input密码时都input密码,甚至locking我的用户(而不是root )密码( passwd -l username ),所以不可能无需密钥login。 但是,如果我需要为sudo命令input密码,所有这一切都会中断。 所以我很想设置无密码的sudo ,使其符合无密码login。 然而,我仍然有一种直觉,认为这可能会以某种意想不到的方式对我产生反感,似乎有点不安全。 有没有这样的设置警告? 你会build议/不build议这样做的服务器上的用户帐户? 澄清 我在这里讨论在交互式用户会话中使用sudo ,而不是服务或pipe理脚本 我正在谈论使用云服务器(所以我没有物理本地访问一台机器,只能远程login) 我知道sudo有一个超时期间,我不必重新input我的密码。 但是我的演唱会并不是浪费额外的时间来input密码。 我的想法虽然是不必处理密码,因为我认为: 如果我必须记住它,它很可能太短,不安全或重用 如果我为远程帐户生成一个长而唯一的密码,那么我将不得不将其存储在某个地方(本地密码pipe理器程序或云服务),并在每次使用sudo时候获取它。 我希望我能避免这一点。 所以在这个问题上,我想更好地理解一个可能的configuration的风险,警告和折衷。 跟进1 所有答案都说,无密码sudo是不安全的,因为如果我的个人用户帐户被攻陷,它允许“简单”升级权限。 我明白那个。 但另一方面,如果我使用密码,我们会带着密码(太短或常见string,在不同服务中重复)等所有经典风险。 但是我猜如果我在/etc/ssh/sshd_config禁用密码authentication,这样你仍然必须有一个密钥login,我可以使用一个简单的密码只是为了更容易inputsudo ? 这是一个有效的策略? 跟进2 如果我也有一个通过SSH以rootlogin的密钥,如果有人能够访问我的计算机并窃取我的密钥(他们仍然受到操作系统密钥环密码的保护!),他们也可以直接访问root帐户,绕过sudopath。 那么访问root帐户的政策应该是什么呢?
在服务器妥协之后读到这个问题之后,我开始想知道为什么人们似乎仍然认为他们可以使用检测/清理工具来恢复受感染的系统,或者只是修复用来危害系统的漏洞。 鉴于所有各种rootkit技术和黑客可以做的其他事情,大多数专家build议你应该重新安装操作系统 。 我希望能够更好地理解为什么更多的人不会把这个系统从轨道上取下来, 这里有几点,我希望看到解决。 是否有格式/重新安装不会清理系统的情况? 在什么types的条件下,你认为一个系统可以清理,什么时候你必须做一个完整的重新安装? 你有什么理由反对完全重新安装? 如果你select不重新安装,那么你有什么方法可以合理地确信你已经清理,并防止再次发生进一步的损害。
我为我工作的公司pipe理一些基于云的(VPS)服务器。 这些服务器是运行LAMP堆栈/入站数据收集(rsync)的最小的ubuntu安装。 数据很大,但不是个人,财务或类似的东西(即不那么有趣) 显然在这里,人们总是要求configuration防火墙等。 例如,我使用了一些方法来保护服务器(但不限于) ssh在非标准端口上; 没有密码input,只有已知的ipslogin等已知的SSH密钥 https和受限制的shell(rssh)通常只能从已知的keys / ips中获得 服务器是最小的,最新的,并定期打补丁 使用rkhunter,cfengine,lynis denyhosts等进行监控 我有丰富的经验的Unix系统pipe理员。 我相信我知道我在做什么。 我configuration/ etc文件。 我从来没有觉得有必要安装像防火墙这样的东西:iptables等 暂时搁置VPS的物理安全问题。 Q& 我无法决定我是否幼稚,或者fw提供的增量保护值得学习/安装,以及服务器上额外的复杂性(包,configuration文件,可能的支持等)。 迄今为止(碰木头)我从来没有任何安全问题,但我也不自满。
大多数OpenSSHconfiguration指南build议禁用密码authentication,以支持基于密钥的authentication。 但在我看来,密码authentication有一个显着的优势:能够从绝对的任何地方连接而无需密钥。 如果一直使用强密码,这不应该是一个安全风险。 还是应该?
我经常听说它build议通过将其shell设置为/bin/false来禁用用户帐户。 但是,在我现有的Linux系统上,我发现大量现有帐户(所有服务帐户)都有一个/sbin/nologin的shell。 我从man页面看到, /sbin/nologin向用户打印一条消息,说明帐户已禁用,然后退出。 推测/bin/false将不会打印任何东西。 我也看到/sbin/nologin列在/etc/shells ,而/bin/false不是。 该手册页说,FTP将禁止未在/etc/shells列出的shell的用户访问,并暗示其他程序可能会执行相同的操作。 这是否意味着有人可以使用以/sbin/nologin作为shell的帐户进行FTP? 这里有什么区别? 我应该使用哪一个来禁用用户帐户,以及在什么情况下? /etc/shells中的列表有什么其他影响?
我看到了一些build议,告诉你应该为私有应用程序使用不同的端口号(例如内联网,私有数据库,任何没有外人使用的端口号)。 我不完全相信,可以提高安全性,因为 端口扫描仪存在 如果应用程序易受攻击,则不pipe其端口号如何。 我错过了什么,或者我回答了我自己的问题?