我最近租用了我的第一个vServer(Ubuntu,LAMP + Webmin预安装)。 我需要它,因为我写的Java应用程序应该作为游戏服务器运行。 我对Ubuntu非常熟悉,因为我使用它作为2年以来的主要操作系统。 我也熟悉一些基本的“linux”/ shell,networking的东西,也运行我自己的笔记本电脑之前。 所以我想我可以pipe理一个vServer。 但有几件事我不确定。 我到目前为止所做的是改变webmin和ssh的端口,并看看在apache2.conf文件(似乎是所有的权利)。 我更改了root密码,并尝试将mysql root密码更改为。 这里我得到了我的第一个问题: 我无法为mysql root用户设置任何密码。 不是每个SSH / MySQL,也不是在webmin。 我怎样才能做到这一点? 为什么有那么多mysql用户(mysql-sys,debian-sys-maint)? 我已经运行netstat打开端口,并提示它显示ssh,apache和webmin。 但是,当我用Zenmap做端口扫描时,我还看到5个(过滤的)端口(msrpc,netbios-ns,netbios-dgm,netbios-ssn,microsoft-ds)。 当我做一个udp扫描,似乎有更多的端口打开。 那会怎么样? 我的Java应用程序需要在运行时dynamic地打开udp / tcp套接字。 所以最好声明一些防火墙规则,它拒绝所有来自/出口的套接字,除了那些来自/给定程序(基本上是ssh,apache,webmin和我的java应用程序)的套接字。 如何做到这一点? 安装一个ips像snort是否有意义? 让webmin每天检查/安装更新是否足以让系统保持最新? (我想我必须手动更新Java,因为我也必须手动安装它) 还有什么我需要做的安全吗? 让我们假设我的服务器被黑客攻击,有人开始用它来做非法的事情。 我知道我对服务器负有责任,但对我来说最糟糕的后果是什么? 如果有人有时间回答我的问题或给出一些关于这个主题的链接以便进一步阅读,那将是很好的。 thx和问候
我启用了谷歌2因素authentication为我的服务器,但它开始行事怪异,我被locking了。 我有访问VNC,但我的密码有一个特殊的符号@ ,我无法通过VNCinput。 我被锁在外面
我已经浏览了这个网站了一段时间,但从来没有必要问一个问题,直到现在。 我有一个networking设置的问题,我希望社区可以揭示一些。 在我们的办公室空间努力检修networking设置。 我们是与其他几家独立公司共享办公空间的独立公司。 办公空间提供商有一个冗余的,胖的互联网pipe道,将与空间中的团体共享。 他们通过给每个小组设置他们自己的VLAN来设置它们,他们将pipe理我们每个人。 我们希望确保我们的数据和资源得到保护,但是我们仍然可以远程访问我们的networking,所以对于我们来说,安全的VLAN不起作用。 什么是这种设置和维护我们的安全的最佳select? 我们希望他们能把每个公司的非军事区的stream量都分配给一个私人networking,但这似乎不是一个select。 我读过这篇文章: VLAN如何工作? 在VLAN上,因为它在一个假设的问题似乎是一个类似的设置,并跟随阅读: 多lessVLAN是太less,太多? 这有助于确认我们对VLAN的关注。 我们仍然在寻找的是如果这个共享pipe道有一个好的设置,这使我们能够控制自己的公司安全。 提前致谢。
我有一个在Amazon Linux(CentOS)上通过OpenSSH运行SFTP的EC2实例。 我想运行一些testing来检查我不知道的漏洞,我想运行监视可疑行为的监视软件。 什么是可用/build议? 免费是伟大的,但支付服务也很好。 一些笔记 唯一能够通过SSH连接的用户是ec2用户,并且该用户需要使用pem密钥 连接到系统的客户必须在EC2的安全组中将他们的IP列入白名单 sshd_config设置 # SFTP Users Match Group sftpusers PasswordAuthentication yes ChrootDirectory /sftp/%u ForceCommand internal-sftp -l DEBUG3 # -l INFO enables logging to /var/log/secure AllowTcpForwarding no PermitTunnel no X11Forwarding no # SFTP Admins Match Group sftpadmins PasswordAuthentication yes ChrootDirectory /sftp/ ForceCommand internal-sftp -l DEBUG3 # -l INFO enables logging […]
我是nginx的新手,我想与其他人分享我已经创build的configuration以获得反馈。 从安全的angular度来看,假设我的服务器的其余部分是适当的安全和最新的,可以共享我的nginxconfiguration吗? 公开发布? 我使用这个命令创build各种configuration片段的连接版本: tail -n +1 *.conf conf.d/*.conf sites-enabled/*.conf &> /home/ubuntu/nginx.txt 我已经浏览了这个文件,并试图找出任何潜在的安全缺陷: 好:没有embeddedSSL证书/密钥 糟糕?:有各种文件夹的path(例如SSL证书的位置) 但这些都是非常标准的path… 不好?:有公共的IP和域名 – 是否应该被编辑? 不好?:我们接受的ssl_ciphers的列表包括…但是这可以被发现吗? 未知:是否有其他设置不应该发布(如client_max_body_size – 也许可以通过发送大型有效载荷来利用?) 我知道安全性的一个方面就是不共享不需要共享的信息,但假设您需要帮助,您将共享什么和多lessconfiguration?
我想知道在代理上启用SSL是否足够,而不是在被代理的服务上。 当通信应该是https时,会不会有外部的问题(在客户端)?
我们有一个本地networking与几个Windows客户端和几个Windows服务器。 出于安全考虑,几乎所有的用户帐户设置为不在他们的机器上的pipe理员。 我们的networking安全pipe理员声称他们必须限制到命令提示符,因为有些用户可能会使用cmd(而不是admin)并访问更多的资源,这是不允许的。 另一方面我们的一些用户有时需要cmd来完成他们的工作。 现在我们必须决定,我们是否可以为我们的用户保留cmd,否则会给我们的系统带来潜在的风险,我们不能忽视它。 谢谢
我已经为fail2ban添加了一个xmlrpc监狱,以防止持续的攻击。 apache access.log如下… 191.96.249.80 – – [16/Dec/2016:14:54:21 +0000] "POST /xmlrpc.php HTTP/1.0" 403 469 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" 191.96.249.80 – – [16/Dec/2016:14:54:21 +0000] "POST /xmlrpc.php HTTP/1.0" 403 469 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" 191.96.249.80 – – [16/Dec/2016:14:54:21 +0000] "POST /xmlrpc.php HTTP/1.0" 403 469 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows […]
我在Ubuntu(14.04 LTS)虚拟机上运行MySQL服务器(5.6)的一个实例,端口3306。 员工使用客户端应用程序与数据库进行交互。 定期地,我得到一个用户无法连接的故障排除调用,错误: 无法连接到任何指定的MySQL主机。 MySQL错误日志不包含用户的拒绝或拒绝连接。 重新启动机器(不只是MySQL)可以解决问题。 我确定这似乎是由于客户端机器被分配了不同的IP地址。 我也确定重新启动Ubuntunetworking服务也解决了这个问题。 我怀疑在这里工作有networking安全function,但我无法弄清楚它是什么。 我想知道: 我可以禁用这个“function”,或者至lessconfiguration它来信任LAN上的客户端吗? 有没有办法查看这个机制阻止的客户端机器的IP地址? 编辑: 防火墙设置: ufw是不活动的, iptables我相信是“出厂默认”
我是一名.NET开发人员,负责一个包含多个WCF服务的项目。 一些自动化testing尝试托pipe这些服务,但根据我是否不使用pipe理权限运行testing,这些testing会失败,并显示以下错误: System.ServiceModel.AddressAccessDeniedException : HTTP could not register URL http://+:45566/SomeService/. Your process does not have access rights to this namespace (see http://go.microsoft.com/fwlink/?LinkId=70353 for details). —-> System.Net.HttpListenerException : Access is denied 在提供的链接之后,看起来我必须使用netsh命令为自己(普通域用户)提供某种访问权限,如下所示: netsh http add urlacl url=http://+:45566/SomeService user=DOMAIN\me 不幸的是,似乎没有办法(我可以find)为端口或相对URL部分使用通配符,例如为了授予我本地访问本地主机上的所有内容的权限。 因此,我的问题是:这个ACL是什么,我可以在文件或其他东西中find它,以便更容易地操纵它? 更妙的是:由于本地pipe理员帐户似乎默认有访问权限,我可以不知何故地告诉系统在这个后面闭嘴,让我做我的工作?