最近我需要购买通配符SSL证书(因为我需要保护一些子域名),当我第一次search哪里买的时候,我对select的数量,市场宣传和价格范围感到不知所措。 我创build了一个清单,以帮助我看到大多数证书颁发机构(CA)在他们的网站上贴满了营销噱头。 最后,我个人的结论是,唯一重要的事情就是CA网站的价格和愉快程度。 问题:除了价格和网站外,在决定购买通配符SSL证书的地方还有什么值得我考虑的吗?
我正在阅读关于Google新的公共DNS服务的一些说明: 性能优势 安全优势 我注意到这一段的安全部分: 直到标准的系统范围的DNS漏洞解决scheme普遍实施(如DNSSEC2协议),开放的DNSparsing器需要独立采取一些措施来减轻已知的威胁。 已经提出了许多技术; 请参阅IETF RFC 4542:使DNS更加适应虚构应答的措施 ,其中大部分概述。 在Google Public DNS中,我们已经实施了以下方法,并build议您采取以下措施: 过度configuration机器资源以防止对parsing器本身造成直接的DoS攻击。 由于IP地址对于攻击者来说是微不足道的,所以不可能阻止基于IP地址或子网的查询。 处理这种攻击的唯一有效方法是简单地吸收负载。 这是令人沮丧的认识; 即使在堆栈溢出/服务器故障/超级用户,我们经常使用IP地址作为各种禁止和阻止的基础。 认为一个“天赋”的攻击者可以轻易地使用任何他们想要的IP地址,并合成尽可能多的独特的假IP地址,是非常可怕的! 所以我的问题是: 攻击者在野外伪造IP地址真的很容易吗? 如果是这样,可能有哪些缓解措施?
OpenSSL的“心脏病”漏洞( CVE-2014-0160 )影响了服务HTTPS的networking服务器。 其他服务也使用OpenSSL。 这些服务是否也容易受到心跳般的数据泄露? 我特别想 sshd的 安全SMTP,IMAP等 – dovecot,exim&postfix VPN服务器 – openvpn和朋友 所有这些,至less在我的系统上,都链接到OpenSSL库。
有没有办法让一个经验丰富的Linux系统pipe理员高效地工作而不给他完全的root权限? 这个问题来自保护知识产权(IP)的angular度,在我看来,这完全是代码和/或configuration文件(即容易复制的小数字文件)。 我们的秘诀已经使我们比我们小小的build议更成功。 同样地,我们曾经被一度bit,,曾经试图窃取知识产权的一些以前不择手段的员工(不是系统pipe理员)羞辱过。 高层pipe理人员的立场基本上是:“我们信任人,但是出于自身利益,不能承担给任何一个人更多获取的风险,而不是他们绝对需要做的工作。” 在开发人员方面,对工作stream程和访问级别进行分区比较容易,这样人们可以提高生产力,但只能看到他们需要查看的内容。 只有顶级人物(实际的公司所有者)才有能力将所有的原料结合起来,创造特殊的酱料。 但是我还没有能够想出一个在Linuxpipe理端维护这个IP保密性的好方法。 我们广泛使用GPG代码和敏感文本文件…但是,如何阻止pipe理员(例如)su'ing给用户并跳到他们的tmux或GNU Screen会话并查看他们在做什么呢? (我们也有无处不在的互联网接入,可能会接触到敏感信息,但没有什么是完美的,在networkingpipe理员面前可能会出现明智的系统pipe理员或者错误,甚至是好的旧的USB。当然还有许多其他的措施,但这些都超出了这个问题的范围。) 我所能想到的最好的方法是使用sudo的个性化帐户,类似于以root身份工作的多个Linux系统pipe理员 。 具体而言:除了公司所有者之外,没有人实际拥有直接的根访问权。 其他pipe理员将有一个个性化的帐户和能够sudo根。 此外,将build立远程日志logging,并且只有公司所有者才能访问服务器。 看到日志loggingclosures会引发某种警报。 一个聪明的系统pipe理员可能仍然可以在这个scheme中find一些漏洞。 除此之外,它仍然是被动的而不是主动的 。 我们知识产权的问题是,竞争对手可以很快地利用它,并在很短的时间内造成很大的损失。 所以更好的办法是限制pipe理员可以做的事情。 但是我认识到这是一个微妙的平衡(特别是在排查和解决目前需要解决的生产问题的情况下)。 我不禁想知道其他具有非常敏感数据的组织如何pipe理这个问题? 例如,军事系统pipe理员:他们如何pipe理服务器和数据而不能看到机密信息? 编辑:在最初发布,我的意思是抢先解决“招聘做法”的意见,开始浮出水面。 其一,这应该是一个技术问题,国际海事组织的招聘做法更倾向于社会问题。 但是,我会这样说的:我相信我们会尽自己所能招聘到的人:与公司的多个人面谈; 背景和参考检查; 所有员工都签署了许多法律文件,其中包括一个说他们已经阅读和理解我们的手册详细的知识产权问题。 现在,这个问题已经超出了这个问题的范围,但是如果有人能够提出“完美”的招聘方式来过滤掉100%的不良演员,那么我就是耳熟能详。 事实是:(1)我不相信有这样一个完美的招聘过程; (2)人们改变 – 今天的天使可能成为明天的魔鬼; (3)企业的盗号行为在这个行业似乎有些惯例。
我有一个Amazon EC2实例正在运行,我想向该实例添加另一个安全组,然后从该实例中删除当前安全组。 这可能吗?
我开始为一家公司解雇一名以前的IT员工泄露数据。 我只能说下面的事情: 我们使用Firebird数据库和另一家公司Proxmox编写的应用程序来虚拟化Windows Server 2008 R2,SQL Server,云核心Mikrotik路由器以及其他一些Mikrotik设备。 我不是100%确定的,但有没有一些快速的方法来检查是否有一些后门留下,而不中断内部过程和重新格式化的一切? 这个以前的人非常好,用C ++和C#编写软件。 我也知道他在ollydbg中做了一些汇编程序并破解了一些程序。
有趣的是,在search“OpenVPN vs IPSec”时,我还没有find任何好的search结果。 所以在这里我的问题: 我需要通过不可信networkingbuild立一个专用局域网。 而据我所知,这两种方法似乎都是有效的。 但是我不知道哪一个更好。 如果您能列出两种方法的专业和客户的意见,或许您的build议和经验使用什么,我将非常感激。 更新(关于评论/问题): 在我的具体情况下,目标是让任意数量的服务器(使用静态IP)彼此透明地连接。 但是,像dynamicIP这样的“dynamic客户”(dynamicIP)的一小部分也应该能够连接起来。 主要目标是拥有一个“透明的安全networking”,运行在不受信任的networking之上。 我是一个新手,所以我不知道如何正确解释“1:1点对点连接”=>解决scheme应该支持广播和所有的东西,所以它是一个function齐全的networking。
我有什么理由要这么做 iptables -A INPUT -j REJECT 代替 iptables -A INPUT -j DROP
我正在安装直接连接到Internet的Debian服务器。 显然我想尽可能保证安全。 我希望你们/女士join你的想法来保护它,以及你使用什么程序。 我希望这个问题的一部分能够涵盖你作为防火墙使用什么? 只是手动configurationiptables或你使用某种软件来帮助你? 什么是最好的方法? 阻止一切,只允许需要什么? 有没有可能为这个主题的初学者提供很好的教程? 你改变你的SSH端口? 你使用类似Fail2Ban的软件来防止暴力攻击吗?
如何确保我的Bash安装在更新后不再受到ShellShock错误的威胁 ?