在netstat,我看到我的端口22连接122.225.97.99。 这是否意味着某人正在访问SSH ..或者它只是与Ubuntu相关的东西 user@ubuntu:~$ netstat -ntu Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 100.72.4.xxx:22 122.225.97.99:14202 ESTABLISHED tcp 0 0 100.72.4.xxx:22 122.225.97.99:3781 TIME_WAIT tcp 0 0 100.72.4.xxx:22 122.225.97.99:8581 TIME_WAIT tcp 0 0 100.72.4.xxx:22 122.225.97.99:5110 TIME_WAIT tcp 0 0 100.72.4.xxx:22 122.225.97.99:49039 TIME_WAIT tcp 0 0 100.72.4.xxx:22 122.225.97.99:53793 TIME_WAIT […]
只有OpenSSL 1.0.1f或更高版本才能解决心脏病漏洞。 那么Ubuntu 12.04LTS是否有修复? 我们需要使用12.04LTS的原因,我不会进入,我们不能升级。 根据这个页面,它使用OpenSSL“1.0.1”(在版本号末尾没有字母): http : //packages.ubuntu.com/precise/libssl-dev 它在右边有这个文件链接… [openssl_1.0.1.orig.tar.gz] 那.orig文件能告诉我们什么吗? 有谁知道是否真的有一个“1.0.1”版本的OpenSSL,或者如果有人刚刚删除了这封信?
目前,我正在使用Windows Server 2012 Active Directory的networking上的文件的权限,如下所示:我设置了一个域控制器,在域控制器上创build用户和组。 之后,我select一个文件夹共享,并在共享选项中添加读/写访问权限(我这样做,因为我被告知做不同的事情会产生问题)。 然后在子文件夹,限制访问我去的文件夹属性的安全选项卡,我添加组我想拒绝访问,并拒绝读/写权限。 这很好,但是,我发现这不是一个好方法。 事实上,如果群组不断添加,并且一个文件夹只能被一个群组访问,我总是需要添加新的文件夹并拒绝对它们的访问。 一个可能发生这种情况的现实生活场景如下:一个公司有项目文件夹,每个项目都有一定的员工子集。 因此,他们为每个项目创build一个组,然后在项目的文件夹中只有该特定项目的组才能访问。 如果添加了新项目,则需要在每个项目文件夹中添加新组,这可能很乏味。 那么怎样才能更有效地拒绝对文件和文件夹的访问,而无需在添加新组时添加安全选项呢?
我最近阅读了这个漂亮的Howto教程,介绍使用LUKS进行整个磁盘encryption的备份。 令人惊讶的是,本教程包含第3步的第一部分:用encryption二进制零覆盖新磁盘分区的命令: dd if=/dev/zero of=/dev/mapper/your_encrypted_disk_partition 显然,考虑到今天可用的巨大磁盘,这个命令将非常耗时。 所以诱惑跳过这个命令。 如果磁盘将被填满并且主要是被覆盖,因为在创build和安装encryption的磁盘设备之后,下一步将立即进行完整的系统备份,所以需要这样做是很难理解的。 离开这个命令有什么安全风险? 使用模式的泄露是否意味着有人抓住磁盘可能会发现我的encryption数据占用了多less磁盘空间? 或者可能一些机智的秘密机构能够发现更多的私人信息?
有人已经build立了一个CDN服务器,将stream量引导到我的服务器,并设置HOST头匹配我的一个真实域。 因此,Apache将虚拟主机用于我的真实域名,而不是CDN域的主机名。 例如,该URL是: http://cdn.example.com/pictures/www.mydomain.com/images/product/6a/229326.jpg 看来这个CDN是覆盖HOST头的代理。 Apache将主机视为www.mydomain.com而不是cdn.example.com。 我想阻止这个stream量,但是我不能通过主机或IP阻止(因为它改变了)。 有一个主机头: HTTP_X_FORWARDED_HOST=cdn.example.com 可能? 编辑:没有安装mod_security
我只是想通过一些聪明的人来运行这个想法,以确保我不会忽略一些明显的东西: 我想使用允许自动修剪备份的许多备份脚本之一将我的Linux服务器备份到S3。 所以我的S3 IAM策略显然必须给那个用户GET,PUT和DELETE权限。 但是由于DELETE权限将会在那里,所以我需要计划一个黑客获得对我的服务器root权限的最坏情况,并使用存储的凭证删除S3上的备份。 为了消除这种可能性,我正在考虑以下configuration: 在存储桶上启用了版本控制(黑客可以删除这些文件,但它们只被标记为在S3上被删除并且可以被我恢复) 在存储桶上启用生命周期策略以自动删除旧版本(最终删除文件的所有版本以最小化存储成本) 然后,唯一拥有存储桶删除权限或版本删除权限的用户将成为我的主Amazon账户用户,我将使用MFA进行configuration。 我在这里错过了什么? 我确实发现这声称… 您可以使用[…]上的对象过期function,但不能将其与S3版本控制一起使用 …我认为这是过时的信息? 在我的快速非正式实验中,似乎可以使用Object Expiration进行版本控制。 非常感谢!
我意识到有数千次尝试通过SSHlogin到我们的服务器之一,我刚刚安装了fail2ban。 在安装fail2ban之后,日志膨胀停止了,但我仍然想检查日志文件,看看是否有任何尝试成功 – 并且注意到一些奇怪的事情:如果我试图滚动浏览文件或者使用cat,我的整个控制台被打破显示一系列无法识别的字符 – 例如: K | yj ] t] f\| JkW.b +t v u l v- % ]K ׂ+ Ye G 2W kׂ [s6ǵ1{Ë Ïf~ׂ+ 9 E,pŮ & 5 p"D P} \ _ vb+ *NW PZ 5 p D yM } Z I9 kcN5p " jc q ? 5 5\a'f : r […]
我有一台由亚马逊运行的服务器,它为用户提供通知function(推送通知)。 我有代码都工作,毫无疑问。 为了使推送工作,我必须打开出站端口2195。 问题是我的目标设置为0.0.0.0/0(无处不在),使其工作。 无论如何,亚马逊的安全组织或者Linux本身(我使用Ubuntu 14.04 LTS)来进一步限制目的地?
我想知道是否有我的服务器上的安全漏洞。 我正在预览/ var / log / messages文件,我一直在收到很多日志,然后发送一些关于“networking不可达解决”的消息。 这是我在消息文件中的最后一个条目的示例。 我正在运行Centos 5.1。 Sep 24 10:03:23 ip-184-168-116-73 pure-ftpd: ([email protected]) [INFO] New connection from 127.0.0.1 Sep 24 10:03:23 ip-184-168-116-73 pure-ftpd: ([email protected]) [INFO] __cpanel__service__auth__ftpd__mYPM6aAnC9051nEC0nS9vPMkaMz34VyA0HXbDApw_0Xan5OW3K9uqnlSAk98PzAq is now logged in Sep 24 10:03:23 ip-184-168-116-73 pure-ftpd: (__cpanel__service__auth__ftpd__mYPM6aAnC9051nEC0nS9vPMkaMz34VyA0HXbDApw_0Xan5OW3K9uqnlSAk98PzAq@127.0.0.1) [INFO] Logout. Sep 24 10:08:23 ip-184-168-116-73 pure-ftpd: ([email protected]) [INFO] New connection from 127.0.0.1 Sep 24 10:08:24 […]
我们经常在Google Compute Engine上放置和重新创build计算机,以便testing和testing环境,执行故障转移testing等。 问题是,GCE总是重新创build从图像或快照创build的每个新实例上的SSH服务器密钥。 在执行scp或ssh操作时,有哪些容易在计算机上接受静态SSH密钥或SSH密钥的简单方法?