我目前在RackSpace上为我的公司pipe理一台服务器,并计划在下个月左右切换到Linode,以便更好的服务器并节省一些资金。 在切换的过程中,我将重build我们的整个系统映像,以便包含更多的安全性,并且更加符合新用户,因为我们即将扩展,并且需要能够添加大量的人员服务器。 我目前正在为服务器编写一个脚本,为用户生成目录,设置他们的组,权限等。 我目前面临的是如何安全地设置SSH。 我当前的设置是不安全的,在默认端口上操作,使用纯文本系统密码,即使是root用户,我的帐户也是唯一一个带有pubkey的帐户。 我想在服务器上设置的安全性更高,因为所有用户都需要一个pub key来连接,但是我希望所有的pub pub key都有一个与它们相关的密码短语,所以如果key如果他们决定将其转移到多个系统,就会受到损害,但在密钥可以被replace之前,仍然会有一个微弱的防线。 有什么办法强制密码在RSA密钥encryption的安全密钥? 在服务器上生成pub / private密钥并将其分发给我的工作人员是不好的做法? 这里最好的安全手段是什么? 我将设置权限设置,以便每个用户只能在服务器上访问权限有限,但是我仍然希望尽可能保持安全,因为作为一家软件公司,受到威胁的pub key可能会导致未经授权的访问我们的git仓库,以及让我们保持业务的一切。 还是我只是偏执狂? 任何和所有的build议,不胜感激。
是否有Windows Server 2003的安全软件build议作为Web应用程序/网站服务器? 或者在使网站成为现场之前,我应该调整任何特定的设置。
我正在Amazon AWS中实施REST服务。 内部servlet监听8080和9000等多个端口,configuration为反向代理的Apache通过端口443上的https使用适当的URL模式为它们提供服务。 Apache服务器处理用户身份validation和SSL安全性,而内部端口服务于所有请求而无需身份validation。 当然,我想阻止这些内部servlet从外部获取stream量。 我已经安装了一个networkingACL,并使用亚马逊指南的允许版本进行configuration:返回stream量的端口80,443,22和49152-65535的入站stream量,以及所有端口允许的出站stream量。 例如,Jenkins服务器无法从端口22上的github上使用pip或克隆仓库获取软件包。当为入站stream量启用端口1024-65535时,问题得以解决,但是这些设置暴露了内部servlet。 为什么我的呼出电话被阻止? 使用单个VPC可以解决这个问题吗?
我有一个开发人员希望与SSRS服务器上的Web服务进行交互。 我理解的方式是,他们希望在文件夹中填充报告列表,以便用户可以select他们想要查看的报告。 我最初的想法是,这绕过了文件夹本身设置的任何types的安全性。 有没有人有这方面的经验,也许可以想一些我不考虑的东西?
直接射门的时刻… 在为MSSQLSERVER服务设置单独的非pipe理员权限时,我暂时将“服务器服务login”设置为“本地系统”帐户。 我后来记得: SQL Serverconfigurationpipe理器将执行其他configuration,例如在Windowsregistry中设置权限,以便新帐户可以读取SQL Server设置。 我希望我的本地系统回来。 (实际上刚刚恢复到原来的安全configuration文件) 有什么build议? 谢谢!
有谁知道是否有办法查看用户在Exchange 2007中的完整邮箱权限。还是有办法检查哪些命令是由谁发出的? 谢谢 ashln
我在Ubuntu 10.x上运行一个无头的服务器。 我正在运行Apache 2.2。 我正在编写一个fastcgi应用程序在服务器上进行部署。 我记得有一段时间(可能是错误的),在服务器上运行CGI(以及意味着fastcgi)可以为潜在的攻击者提供“后门”,或者至less在某些安全性测量不成功的情况下可能会危及服务器拍摄。 我的问题是: 什么是安全'我必须知道,如果我在我的Apache服务器上启用mod_fastcgi的疑难杂症是什么? 我想运行fastcgi作为一个特定的用户(限制访问)我该怎么做?
我无法find谷歌SQL-Server 2005 C2审计事件的列表! 任何build议?
我刚刚阅读了这篇关于文件权限的有用文章 ,并且即将在我们的web服务器上实现尽可能严格的文件权限策略。 我们的情况:我们的公司内部有不同的用户通过sftp访问networking服务器,我们有一般公众访问Apache – 有时通过PHP上传文件。 我通过使用它来区分文件夹和文件。 所以根据这个阅读,这是我的计划: 所有需要上传文件的人都会有不同的用户。 但所有这些用户将属于两个组: 上传者和networking服务器 。 Apache将属于组webserver 。 目录 许可:771 所有者:用户:上传者 说明:要访问文件夹中的文件,每个人都需要具有执行权限。 只有上传者将添加/删除文件,所以他们也获得r + w权限。 web-root中的文件 许可:664 所有者:用户:上传者 说明:它们将被不同的用户上传和更改,所有者和组都需要具有w + r权限。 Web服务器只需要读取文件,只有权限。 上传的目录 许可:771 所有者:user:webserver 说明:当需要上传文件时,Apache需要能够写入这个目录。 但是我认为将所有者更改为webroot是比较安全的,从而使Apache有足够的权限(并且所有的上传者也属于这个组,并具有相同的权限),同时防止“其他人”写入这个文件夹。 上传的文件 许可:664 所有者:user:webserver 说明:上传Apache后可能需要删除文件,但是这是没有问题的,因为他们拥有文件夹的w + r权限。 所以没有必要让这个文件更容易访问组访问。 由于不是档案权限方面的专家,我的问题是这是否是对我们的情况最好的政策? 欢迎任何build议。
我正在devise一个将在SQL Server 2008 R2上运行的应用程序。 有一个要求审核客户表的任何更新。 作为SQL Server 2008一部分发布的新的审计服务似乎非常适合。 不幸的是,尽pipe我已经能够设置数据库审计规范,以便logging任何更新的细节 – 它不会将参数logging到更新中。 例如,我运行以下查询: update Sales.Customer set CustomerType = 's' where CustomerID = 1 日志只logging下列内容: Statement UPDATE [Sales].[Customer] set [CustomerType] = @1 WHERE [CustomerID]=@2 我会认为通过审计服务可以logging已经发生了什么变化的能力? 没有这种能力,审计服务的好处似乎有限。 我错过了什么吗? 谢谢 抢。