服务器 Gind.cn

Articles of 安全

我如何保护我的SSH访问?

我是那些爬上梯子跳高跳的人,然后意识到他不知道如何游泳。 所以我有一个VPS,我不知道如何pipe理它。 我知道要做的第一件事就是确保它的安全,到目前为止我所发现的这个方向的第一个具体步骤是在穆斯林的评论中 : 此外,你应该尽快保证你的SSH访问。 我build议更改默认端口,使用基于密钥的身份validation和禁用密码身份validation和rootlogin(基本上创build一个标准的用户帐户供您login) 到目前为止,我所知道的只是使用我的VPS提供商的Web界面来打开一个具有root权限的控制台。 那么我应该如何遵循穆斯林的build议呢?

以非root用户身份运行进程时的安全性最佳实践

所以我试图运行Supervisor( http://supervisord.org/ )作为非root用户。 但是,该进程会将日志输出到由root拥有的/var/log目录,并拥有755个权限。 因此,以非root用户身份启动该进程将引发权限被拒绝错误。 解决这个问题的最佳做法是什么? 我有一个想法是recursion地将/var目录的组更改为正在启动监督进程的用户的组,并给予/var目录775权限。 从安全的angular度来看,这是可以接受的吗?

从互联网连接的PC安全地传输文件到LAN,而不允许任何其他forms的通信

在我工作的公司中,有连接到互联网的计算机和连接到局域网的计算机。 局域网被认为是一个“安全区域”,不应该将驻留在那里的文件复制/移动到具有互联网访问权限的计算机上。 因此,现在,如果我们想要下载应用程序的安装程序,我们将其下载到具有Internet访问权限的PC中,然后使用“安全USB存储棒”将其移动到局域网。 有没有办法在有networking连接的计算机和局域网的计算机之间build立一个“安全的,单向的连接”? 这实际上意味着只有来自具有互联网访问的计算机的文件才能被复制/移动到局域网。 除此之外,如果你想传输文件,你将不得不为networking提供安全凭证(所以只有具有适当访问级别的用户才能够传输文件)。 是否有可能创build类似的东西,并使其完全安全(或者至less与我们目前使用的USB方法“同样安全”),或者具有Internet访问权限的计算机通过连接到局域网的电脑是安全的风险本身? 注:局域网设置涉及2个Windows 2003服务器,包含Active Directory,Web服务器以及您期望在Windowsnetworking中find的几乎所有服务。

如果我使用基于IP的KVM,数据中心可以读取我的密码吗?

数据中心是否可以通过IP接口通过KVN读取我的密码,当我要求它们连接时,我强制进入ssh pass / encryption pass(OS安装等)? 我将数据中心上的服务器置于同一地点,以确保系统pipe理员无法像访问VPS一样访问我的密码/数据,我不需要知道我在安全的方面:)

从Apache日志中检索恶意IP地址并使用iptables阻止它们

我试图阻止一些攻击者试图从我的网站利用XSS漏洞,我发现大多数恶意尝试都是从经典的“alert(document.cookie);”testing开始的。 该网站不容易受到XSS的影响,但是我想在发现真正的漏洞之前先阻止违规的IP地址,同时保持日志清洁。 我的第一个想法是有一个脚本不断检查在Apachelogging所有的IP地址,以探针开始,并发送这些地址到一个iptables的下降规则。 有了这样的事情: cat / var / log / httpd / -access_log | grep“alert(document.cookie);” | awk'{print $ 1}'| uniq的 为什么将这个命令的输出发送到iptables是一种有效的方法? 预先感谢您的任何意见!

有用的Linux命令做一些在受损的Linuxnetworking服务器取证

什么是有用的Linux命令做一些在受损的Linuxnetworking服务器取证,以提供信息/证据/回溯? 例如检查日志,检查最后的文件编辑,可疑的开放端口和其他有用的自动命令取证?

全部的股份是一个坏主意吗?

假设一个组织有一个有10-15个用户的部门,他们有时需要在彼此之间共享文件。 他们目前有一个开放的分享,任何人读取读/写的份额。 如果这样的份额已经到位,这是否会成为恶意软件或蠕虫在机器之间快速传播的载体? 将AV扫描器在每次写入共享时运行一次“最佳实践”,或者类似的东西?

在生产服务器上启用PowerShell的安全问题

我在ISV的软件开发方面工作。 我们正在考虑在核心应用程序(本身就是ASP.NET)中和周围使用PowerShell。 我的一位同事对我说,大多数认真的客户会认为PowerShell在生产环境中是一个完整的禁忌,并且会拒绝这一点。 他是对的吗?

我应该使用哪个IP地址作为我想中断networking访问的设备?

我有一个超级微型主板上的IPMI服务器,我无法禁用。 甚至没有跳线来禁用这个。 在看到他们提供的IPMI服务器的所有安全问题后,我只是决定我不想和它做任何事情。 我有一个想法打破这个networking。 您可以selectDHCP或静态IP地址。 我的想法是把地址设置成永远不会工作的东西。 IP:0.0.0.0子网:0.0.0.0网关:0.0.0.0 第二个想法:IP:192.168.0.0子网:255.255.255.255网关:0.0.0.0 这两个工作是否会? 我担心如果我select一个像192.168.0.0这样的IP地址,如果有人直接连接到端口并发送数据包到networking地址,那么可能会导致一个问题。 有没有更好的IP可以用来打破任何人连接到我的IPMI服务器的能力?

一个class轮来检查特定的港口是否开放

Redis快速入门指出: 确保Redis用来侦听连接的端口(默认情况下为6379,如果在集群模式下运行Redis,则为16379,加上Sentinel的26379端口)会受到防火墙限制,因此无法与外部世界联系Redis。 有一个简短的命令来检查端口是否被防火墙 ? 通常情况下,我已经安装在主机上(几乎总是Ubuntu),而不是nmap。
Intereting Posts
使用智能主机进行Exchange 2003到2010迁移 将VMware ESXi VM移至新的数据存储 – 保留精简configuration 如何“监禁”其主目录(proftpd)内的FTP用户? udev规则不适用于挂载磁盘的引导 虚拟(ESXi4)Win 2k8 R2服务器在添加angular色时挂起 问题重新连接邮箱交换 Windows Server 2003与2008年的performance 为什么我无法在没有主机条目的情况下从Windows 7连接到SQL 2008? JBoss AS 6是否容易受到Heartbleed? 使用vhosts_ssl.conf为每个域禁用SSL2 我听说过虚拟Windows服务器,Linux是最好的主机,目前推荐使用哪种软件? 与虚拟服务器一起使用COM端口 不能使用域凭据,但服务器是域的一部分 在Ubuntu上全局应用ulimit 信任一个不可信的CA–我能限制系统如何信任它吗?