背景 :我将OTP令牌authentication添加到我的Web服务器。 我使用ForceCommand /token/script命令修改了/etc/ssh/sshd_config文件。 问题 :我有一个本地Jenkins实例连接到Web服务器进行部署; jenkins不能input令牌信息或回复电话(尽pipe谁知道,我打赌甚至有一个插件!)。 可能的解决scheme :使用~/user/authorized_keys命令参数强制除了jenkins使用的密钥之外的所有密钥上的令牌脚本。 问题 :authorized_keys方法的全局sshd_config方法的安全性如何? 你会认为这是一个可以接受的权衡? 有没有更好的解决scheme(允许jenkins做奴隶部署,同时让其他人locking令牌authentication?)。 我已经尝试了两种方法,都像魅力一样工作。 第二种方法我觉得在部署方面比较实用,但是却为我提供了一些内部的红旗。 我不知道我是不是在追着鬼(红旗)。 讨论!
我们现场有一堆Windows 7笔记本电脑。 他们不在一个域中。 我们想build立一个脚本/batch file,我们可以发送到每台机器,运行时,configuration屏幕保护locking,超时等。我相信我们希望通过本地安全策略来做到这一点,但我可以select。 推动和运行脚本不是一个问题 – 我们有一个RMM工具,将处理就好了。 只是不确定脚本会是什么样子。 任何指导?
如果在一个子域上设置一个全面的电子邮件地址(未发布/在任何地方公开列出),与将每个电子邮件转发器设置为相同的地址(根据需要)相比,MTA和电子邮件客户端会面临哪些额外的安全问题)。 利益相关者是MTA和电子邮件用户的pipe理员。
我刚刚清理了我的黑客CentOS服务器(由于从版本5.3以来没有更新)。 但“chkrootkit”仍然这样说: Possible t0rn v8 \(or variation\) rootkit installed /usr/lib/.libfipscheck.so.1.1.0.hmac /usr/lib/.libgcrypt.so.11.hmac /usr/lib/.libfipscheck.so.1.hmac /lib/.libcrypto.so.0.9.8e.hmac /lib/.libssl.so.0.9.8e.hmac /lib/.libssl.so.6.hmac /lib/.libcrypto.so.6.hmac /usr/lib/perl5/site_perl/5.8.8/i386-linux-thread-multi/auto/Text/Iconv/.packlist /usr/lib/perl5/5.8.8/i386-linux-thread-multi/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/HTML-Tree/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/Font/AFM/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/MLDBM/Sync/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/MLDBM/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/FreezeThaw/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/Apache/ASP/.packlist /usr/lib/perl5/vendor_perl/5.8.8/i386-linux-thread-multi/auto/HTML-Format/.packlist /usr/lib/gtk-2.0/immodules/.relocation-tag /usr/lib/python2.4/plat-linux2/.relocation-tag /usr/lib/python2.4/distutils/.relocation-tag /usr/lib/python2.4/config/.relocation-tag 难道“chkrootkit”只是不喜欢.mac,.packlist和.relocation-tag文件吗? 这些真的仍然感染?
所以我读了十几篇关于Hyper-V和iSCSI的文章(使用软件的主机或者虚拟机),他们都有优点/缺点。 但是,基于主机的性能更好。 所以,现在我决定在主机上使用iSCSI,因为Drobo不支持核心安装,所以我坚持使用GUI而不是Windows Server 2008 R2的核心。 由于其资源密集程度更高,攻击的可能性更高,我可以做些什么来保护服务器呢? 以下“足够”? 使用Microsoft更新保持服务器更新。 安装防病毒/安全软件 启用防火墙并阻止未使用的端口 让主机不join域
我想要有一个灵活的设置(需要运行Redis,Celery和uWSGI),但是我想知道是否以超级用户身份运行Supervisor(缺省设置),如果是的话,为什么它不好。
我想知道我的架构是否构成安全风险。 细节: 整个网站不是ROOT所有,但仍然使用的APACHE用户有一些相当先进的权限。 我有一个文件夹“user_files”,可以容纳任何种类的用户文件。 例如,一个ksh unix文件。 我的php.ini禁用了exec phpfunction(以及其他一些敏感function) 我的问题很简单,但有两个方面: 有人可以执行上传的脚本? 风险的大小是多less? 如果这个脚本是由apache执行的,我猜它可以做的最大限度是删除服务器的所有apache拥有的文件,对吧?
可能重复: 数百个失败的sshlogin 最近,我花了更多的时间在我的生产服务器上努力伪装几个configuration,而我偶然发出了一个find /var/log -mmin1 ,它返回了/var/log/secure文件等等。 对最近被logging到这个特定文件的活动感到好奇,我开始跟踪它,并logging了其中的一些条目: Jan 9 22:15:59 myhost sshd[22916]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.213.48.82 user=apache Jan 9 22:16:01 myhost sshd[22916]: Failed password for apache from 58.213.48.82 port 36464 ssh2 Jan 9 22:16:01 myhost sshd[22917]: Received disconnect from 58.213.48.82: 11: Bye Bye Jan 9 22:16:03 myhost unix_chkpwd[22922]: password check […]
我们有一个MP3播放器,通过一个iFrame运行,而不是我们的select,但多数民众赞成我们如何坚持下去。 我们希望阻止其他人在他们的网站上embeddediframe。 什么是最好的方法来做到这一点? 我们正在运行nginx,所以没有.htaccess。 MP3播放器是由PHP文件组成,我们需要继续在iframe中运行它。 反正有locking特定的MP3播放器的PHP文件(在这种情况下html5player.php)只能够在我们的服务器或域名执行? 在nginx中肯定有办法做到这一点? 但是,当然,如果他们embedded的iFrame它会认为它是在我们的服务器运行不pipe呢? 我想到的所有解决scheme都在某个地方跌倒了,所以非常感激。
我有一个程序,在某个时候,创build/销毁tun / tap虚拟适配器。 显然,对于这些特定的操作,这个程序需要root权限。 根据程序规范,一旦不再需要root权限,就立即删除root权限(我假设在tap适配器创build后)。 但是,我想更安全一些,首先将它作为非root用户运行。 有没有一种方法允许特定用户创build和销毁tun / tap适配器,并将所有其他特定权限保留为默认值?