我有一个静态的博客/网站,我想知道在我的Nginx conf中禁止/禁用HEAD请求是否有任何负面影响? 例如:它会打破某些网页浏览器的网站? 他们的任何安全隐患与禁用HEAD请求?
我是那个问复杂问题的人,没有看到简单的答案。 为了快速解释,我有一堆服务器(在debian 9上),有2个物理networking接口,一个前端(用于应用程序)和一个后端(用于pipe理目的)。 因为我想locking一切,我决定拒绝ssh从前端界面访问服务器,而对于“其他”的原因,不能只是阻止端口22.复杂的部分是,我不能只是把ip地址在sshd config(ListenAddress)中的服务器后端networking,因为ip是dynamic的。 我没有在网上find任何东西只是说ssh“只使用该接口”,所以现在我做了一个脏的修复sshd服务的systemd启动,看起来像这样: [Unit] Description=OpenBSD Secure Shell server After=network.target auditd.service ConditionPathExists=!/etc/ssh/sshd_not_to_be_run [Service] EnvironmentFile=-/etc/default/ssh ExecStartPre=AdmNetIp=$(echo `ifconfig eth1 2>/dev/null|awk '/inet / {print $2}'`); sed -i "s/\(^#\)\{0,1\}ListenAddress .*/ListenAddress $AdmNetIp/" /etc/ssh/sshd_config ExecStart=/usr/sbin/sshd -D $SSHD_OPTS ExecReload=/bin/kill -HUP $MAINPID KillMode=process Restart=on-failure RestartPreventExitStatus=255 Type=notify [Install] WantedBy=multi-user.target Alias=sshd.service ExecStartPre的重要组成部分。 它基本上用sshd启动之前的eth1接口的实际ipreplacesshd config中的ip。 我真的不喜欢那个,想知道是否有一个“更清洁”的方式。 我什么都不知道,用我的玩具来操作,所以如果这很愚蠢的话,我很抱歉失去了时间。 我更像是一个pipe理员,也是一个法国人,对于你stream血的眼睛感到抱歉。 谢谢阅读 !
pipe理帐户凭证和SHA256机密并将其提供给systemd托pipe服务的最佳做法是什么? 在旧的init.d方式中,我只是在/ etc / default中安装一个脚本来源。 从那里我可以导入我想要的任何内容到环境variables中,然后可用于我的服务。 所以我的问题是,为系统pipe理服务提供loginID /密码凭证和其他“秘密”是什么被认为是“最佳做法”? 是通过一个被认为是“好”的环境,还是有一个更好的/更安全的方式? (即什么是最好的地方,把你的服务(如MySQL)的密码,SHA256秘密等,以及如何最有效地沟通那些长期运行的后台服务需要它?有没有比在环境中设置更好的pipe理方式系统启动进程之前?)
我正尝试通过端口21连接到共享的托pipeFTP服务器,但它被我的ISP阻止。 我正在使用互联网encryption狗。 我在旅行,必须使用encryption狗,因为在这个偏远地区没有其他有线networking或Wifi。 我联系了主机,他们拒绝改变一个站点的端口。 端口990是不可用的,因为我的主机提供端口21本身的FTPS。 那么当端口被我的ISP阻塞时,如何连接到端口21上的FTP服务器? FTP代理? 我有一个本地安装Windows Server,我可以安装自定义应用程序。
这个问题有些涉及另一个问题,但另一个问题 。 我们使用一个域名,主机名称parsing为public,主机名称parsing为私有IP。 我同意上述问题的答案,我不认为这是一个安全线程。 尤其是相对于为这个重要的域configuration和运行一个Split-Brain-DNS而言。 因此,我们决定,我们不会主持内部DNS服务器,因此不会有内部IP的反向DNS。 现在我发现我可以注册域名'10 .in-addr.arpa'与我们的DNS提供商。 所以我可以在理论上在我的反向DNS区域。 我可以在所有站点上configuration本地cachingDNS服务器,以在该服务器上查找对10.in-addr.arpa的请求,并且可以反向DNS工作+我们的DNS提供者的API和接口。 另一方面是公共DNS服务器。 所以每个人都要求1.0.0.10.in-addr.arpa会得到我们的本地主机名作为回应。 除了我们愿意接受的上述信息泄露之外,您认为这是一个坏主意吗?
目前我们在单个Docker容器上运行的应用程序,应用程序需要将各种敏感数据作为环境variables传递, 我将这些放在运行命令,所以他们不是最终在图像,然后在一个存储库,但是我最终有一个非安全的运行命令, 现在,我明白,docker机密存在,但是,我怎么可以使用它们,而不需要部署一个集群? 或者有什么其他方法来保证这些数据? 最好的祝福,
有关如何向请求者显示反向代理的问题: 如果我有一个安全的Web应用程序运行在一个端口可以说9443和一个客户由于企业IT限制不能访问它,我使用反向代理作为DMZ和转发443stream量到9443。访问networking应用程序。 请假设在端口9443上更改应用程序不是一个选项。
我想创build一个只能运行特权PowerShell cmdlet Get-RemoteAccessConnectionStatistics的“受限”pipe理员组。 Windows Server是否支持这种级别的粒度? 一般来说,如何创build一个定制的安全组(指定哪些任务成员可以执行哪些任务,哪些不能执行)? (不在公元。)
今天,我发现我的VPS昨晚高负荷: 这使得我的VPS受到服务提供商的限制。 因为这个VPS是我个人的用法,所以当我睡觉时,大的networking连接是不可能的。但是我没有find关于这个的系统日志。 我search了很长时间,很多文章只讲日志特定的端口: 如何logging试图连接到一个端口的IP地址? 其他人正在使用netstat (或类似的东西)来显示命令行中的当前访问。 有什么办法(服务?)在什么时候logging什么ip接入什么端口?
我试图build立一个服务,可以采取发行,包,和一个版本号,并使用该信息来检查是否有一个积极的CVE出这个元组。 经过一番search,我发现changelogs可靠地引用CVE,所以我正在考虑为CVE ID和报告parsing更新日志。 不幸的是,我们运行一个非常异类的架构,CentOS,Ubuntu和Debian框运行我们的软件。 我知道每个盒子都可以取自己的更新日志,但是这是不可行的,因为我们如何设置监控(我知道我知道,但是相信我)。 我为所有这些机器坐在服务器上的包信息的数据转储,数据定期更新,因为这些箱子回家。 有没有办法让一台机器可以获取每个发行版的更新日志? 或者我需要一台Ubuntu机器来获取Ubuntu更新日志,一个CentOS来调用yum changelog等? 谢谢!