一个初学者的问题,但我已经浏览了这个网站上的许多问题,并没有find一个简单,直接的答案: 我正在build立一个运行Ubuntu的Linux服务器来存储一个MySQL数据库。 尽可能的保证服务器的安全是非常重要的,据我所知,我的主要担忧应该是传入的DoS / DDoS攻击和未经授权的访问服务器本身。 数据库服务器只接收来自特定IP(101.432.XX.XX)的端口3000的input数据。我只希望该服务器能够接收来自此IP的传入请求,并防止服务器发出任何传出请求。 我想知道: 什么是防止我的数据库服务器发出传出的请求和接收来自101.432.XX.XX的传入请求的最佳方法? closures所有的端口 3000有助于实现这一目标? 是否有任何其他的Linux环境,可以提高安全性? 我已经采取了非常基本的步骤来保护我的phpmyadmin门户网站(链接到MySQL数据库),例如限制只能访问我的个人IP地址。 要访问数据库服务器,需要使用SSH密钥(本身受密码保护)。
我试图在networking卡(Wifi和各种以太网)位于不同虚拟机的环境中在虚拟机中设置防火墙,以便防火墙虚拟机位于NetVM和我的主机系统之间。 问题是进入防火墙的数据包以NetVM IP为源地址,所以我不能使用iptables 白名单从恶意恶意源丢弃数据包。 我build议使用端口镜像来复制数据包,但我想直接转发数据包,并且没有NetVM中的内核来处理它们。 我必须在这两个select之间做出决定: 在每台计算机上使用“iptables”规则来过滤传入stream量,并使用防火墙来处理内部scheme,因为我无法控制和维护所有连接的计算机 过滤防火墙虚拟机中的所有stream量。 如果我必须build立iptables并在每台NetVM上安装Psad,Snort和其他工具,防火墙就会失去意义。 如果数据包在内核处理它们之前被转发,如果堆栈代码中的Bug被利用,唯一被攻破的机器是防火墙,它与系统保持“隔离”,并且我只需要检查一个系统,大多数备份/维护/重新安装只有一个虚拟机在错误的情况下, NetVMs和防火墙虚拟机可以使用一个最小的内核为他们的特定范围。 这也与我无法控制一台或多台NetVM的情况有关,我不能指望这台机器是干净的,或者做了适当的过滤。 硬件设备如何处理这种情况?
我正在按照这里的说明encryptionMariaDB中的数据库: https : //mariadb.com/kb/en/mariadb/data-at-rest-encryption/ 显然,它要求我们生成一个将用于encryption数据库的密钥。 我们可以简单地提供它的密钥,但它也允许我们进一步用这样的密码encryption密钥: openssl enc -aes-256-cbc -md sha1 -k secret -in keys.txt -out keys.enc my.cnf [mysqld] file_key_management_encryption_algorithm=aes_cbc file_key_management_filename = /home/mdb/keys.enc file_key_management_filekey = secret 但如何encryption密钥进一步提高安全级别? 设想一下硬盘被盗的情况,如何encryption密钥使得攻击者更难解密数据库数据?
有没有办法configuration一个OpenVPN服务器,以便限制通过操作系统连接到它的客户端? 我们目前使用OpenVPN服务器将我们的笔记本电脑连接到AWS上的服务器(在VPC中运行)。 我们的客户要求我们禁止从移动设备进行VPN访问,因此我们希望阻止Android,iOS和Windows Phone客户端。
如何避免RFC1918 Alogging泄漏到外部networking? 我可以用视图来达到我的要求,但是当dnslogging越来越多的时候,在pipe理上就会变得非常麻烦。 我想知道是否有一个更简单的方法。 提前致谢。
到目前为止,我的服务器是一个开发环境。 因此,MongoDb中的身份validationfunction已closures。 现在是时候进入生产了。 我查了一下如何做authentication。 但是,鉴于以下情况: 不允许远程连接。 我使用隧道来pipe理它。 将有4个应用程序正在运行,全部由我们控制 我们有一些自动的数据库脚本,用于部署 这是我们自己的服务器 除了对pipe理好看之外,它是否真的转向安全? 特别是考虑到: 我们将为每个应用创build一个用户 每个服务器都需要源代码中的密码才能连接到数据库 一些pipe理脚本是自动运行的。 所以,这些脚本也会包含密码 我想不得不绕过钓鱼DB密码可能会使入侵者的生活变得困难一些(他们需要弄清楚应用程序的位置,这可能需要10分钟左右,而不是只是倾销mongo的DB)。 但这真的是唯一真正的原因吗?
我有一个稍微奇怪的情况。 我帮助运行一个聊天networking,允许人们在公共团体和私人信息中聊天。 人们对login公共聊天感到满意,但感觉logging私人聊天会是一个巨大的隐私侵犯。 这个networking专门针对年轻人,所以我们中的一些人真的想logging私人聊天,因为我们认为如果提出指控,这将是一个不好的位置,我们说,我们没有任何私人logging,因为我们志愿者担心他们的隐私。 所以,我想知道是否可以实现某种机制,至less有两个人必须批准读取日志文件。 我知道原则上我们可以做到这一点,例如使用两个人的密钥对文件进行encryption,但是这不会扩展到让6个人访问日志文件位置。 我们还需要说明访问消失或死亡的一个人 – 我们需要来自这个六人组的其他两个可信人员能够访问该文件。 另外,还有其他一些关于如何让人们放松自己的想法,而不是花费你的空闲时间(这是什么?)窥探人们的谈话? 访问警报等?
我的服务器有一个Realtek网卡,所以我从Debian非免费安装了realtek-firmware软件包。 我的问题是:什么是可能的(偏执)攻击/后门情况来与它的专有(例如,它可以发送所有数据包的重复到另一个IP)?
根据我阅读文献的方式,带有脱机根CA的双层PKI提供冗余和额外的安全层,以防下属CA的私钥遭到破坏。 但是这是如何工作的? 假设我有一个脱机根CA,并使用它来签署从属CA,然后使用从属CA签署一个内部Web服务器。 现在让我们说从属CA的密钥被攻破。 根据文献没有问题。 你只需要焚烧你的下属,build立一个新的。 然后,你启动根CA,并签署新的下属,你又回来了。 问题在于Web服务器使用现在无效的从属CA证书进行签名,信任链被破坏。 那么我是否还需要用新的下属的密钥重新签署Web服务器? 如果我必须与新的下属重新签署所有协议,那么将脱机根CA放在第一位的目的是什么? 显然我不是在这里理解的东西。
我想发送密码到rdesktop,以便它不会显示在ps中。 有没有任何安全的select传递命令行参数? 如果有帮助,我甚至可以开发一个应用程序。 任何想法将不胜感激。 谢谢