我使用centOS 5和WHM / cPanel运行我自己的专用服务器。 我想configuration我的服务器来满足我的需求,但我需要一点帮助。 这将只是我自己的网站在这台服务器上运行。 在服务器pipe理方面,我还是有一点点绿色,所以请原谅我的无知。 我想要什么: 我需要一些公共目录是可写的(对于用户图像上传和类似的东西),但我不希望这些目录有777的权限。 我需要个人帐户有能力为自己的帐户设置自定义PHP设置,而不会影响其他帐户,无论是通过php.ini文件或通过.htaccess或任何其他方法。 我希望事情尽可能快地运行,无论是使用php优化器还是cacher,比如eaccelerator或者xcache或者其他的东西。 我需要事情尽可能安全。 这是我的问题 我应该为我的PHP处理程序使用什么? DSO? CGI? FastCGI的? suPHP? 其他? 我应该使用suEXEC吗? 这有什么好处或缺点? 什么php优化器/ cacher最好用? 有什么其他的安全提示,我需要知道所有这一切? 我会很感激任何可以提供的build议或方向。 谢谢!
我有一个在Windows2008服务器上运行的应用程序。 自动部署过程将压缩包放到一个文件夹中,然后另一个脚本解压缩并复制可执行文件。 问题是,可执行文件被阻止运行,我必须明确解锁它们。 有什么可以阻止这种情况发生的服务器上的设置? 我想让服务器允许解压缩的可执行文件自动运行。
我有大量的SQL 2005服务器,有大量的数据库和大量的Windows用户需要访问所有的服务器,但只有一些数据库,最后一部分定期更改。 分开pipe理这些是很麻烦的。 我想要做什么: 将我所有相关的Windows用户添加到名为“DB_ACCESS”的Active Directory组 为MYDOMAIN \ DB_ACCESS添加一个组login到我的所有SQL服务器 在需要时,将该组的个人成员授予个人数据库 我testing了最明显的configuration(将用户添加到DB_ACCESS中,将DB_ACCESS添加到服务器的默认angular色为public的login列表中,将单个用户添加到数据库中),用户可以login到服务器,但不能访问数据库。 这可能吗? 我只是缺less一个关键的configuration项目?
在我们的DMZ中,我们目前有一个外观或代理网页(asp.net webform),它将请求转发到我们的Intranet中的Web服务(asp.net web服务),然后将Web服务响应中继给调用者。 客户端软件在URL中使用用户名和密码将数据发布到网页上。 网页根据用户名和密码url参数创build基本authentication凭证并调用interal web服务,然后通过web页面响应内容将web服务响应中继给调用者。 我正在研究使用IIS 7的反向代理function而不是使用代理Web页面的可能性。 我们Intranet中的Web服务仍然需要基本身份validation,那么是否可以使用用户名/密码url参数来创buildIIS 7的反向代理function的基本身份validation信用卡?
我正在构build一个应用程序,使用户能够从浏览器编写代码。 一旦代码被写入,我将内容保存到我的networking服务器上的用户特定的文件夹中。 我也想添加一个function,用户可以用自己select的语言来运行代码:ruby,python等… 很明显,我不想只是运行代码,因为用户可能有危险的代码,可能会从networking服务器中删除敏感文件。 我怎样才能构build一个安全的系统,每个用户都有自己的定制环境来运行他们所写的代码,用他们的偏好语言呢?
运行Ubuntu的服务器10.04。 这个盒子既是web(apache2),也是vpn(openvpn)服务器。 这是networking当前的configuration方式。 router 192.168.1.1 | | LAN | | ubuntu server 192.168.1.2 NAS file serverA 192.168.1.3 NAS file serverB 192.168.1.4 20 workstations 192.168.1.50/70 基本configuration,所有工作站和ubuntu服务器都在路由器防火墙后面。 Web服务器的80端口和VPN服务器的1200端口从路由器转发到Ubuntu服务器。 我已经读过将Web服务器放在DMZ中是明智的,所以如果被黑客入侵,你可以限制附带的破坏,隔离你的局域网免受攻击。 但是,您将如何在多用途服务器上执行此操作? 有了多个NIC和2个路由器,你可以做这样的事情吗? router 192.168.1.1 | | LAN | |—WAN port—-router 192.168.2.1 | | | LAN | | | ubuntu server (apache2 nic) 192.168.2.2 | ubuntu server (vpn nic) […]
我想用源代码中最新版本的openssh构build一个deb包。 然后我想把它安装在我的机器上。 我在跑步: Linux Ubuntu-1110-oneiric-64-minimal 3.0.0-12-server #20-Ubuntu SMP Fri Oct 7 16:36:30 UTC 2011 x86_64 x86_64 x86_64 GNU/Linux 为了实现我的目标,我做到了: wget ftp://ftp.openbsd.com/pub/OpenBSD/OpenSSH/portable/openssh-5.9p1.tar.gz wget ftp://ftp.openbsd.com/pub/OpenBSD/OpenSSH/portable/openssh-5.9p1.tar.gz.asc gpg openssh-5.9p1.tar.gz.asc apt-get build-dep openssh-server openssh-client apt-get source openssh-server cd openssh-5.8p1/ uupdate -v 5.9p1 /root/packages/openssh/openssh-5.9p1.tar.gz cd ../openssh-5.9p1 dpkg-buildpackage -us -uc -nc 但是我得到一个错误: make[1]: Entering directory `/root/packages/openssh/openssh-5.9p1' rm -f debian/tmp/etc/ssh/sshd_config dh_install -Nopenssh-client-udeb -Nopenssh-server-udeb […]
在编译策略模块并重新编译我的核心软件包(Gentoo 32bit)后,我想重新标记文件系统(通过rlpkg -a -r )和软件包,但是我得到了这些错误消息: 重新标记文件系统types:btrfs ext2 ext3 ext4 jfs xfs / usr / sbin / setfiles set context / – > system_u:object_r:root_t失败:'Operation not supported' / usr / sbin / setfiles set context / boot-> system_u:object_r:boot_t失败:'Operation not supported' / usr / sbin / setfiles set context / home-> system_u:object_r:home_root_t失败:'Operation not supported' / usr / sbin […]
我正在与一组工程师进行.NET 4 / MVC 3开发,在本地使用Windows 7 Enterprise和IIS 7.5,并连接到MSSQL 2008+开发/testing数据库。 这些数据库是远程的,但仍在相同的Active Directory环境中。 我们当前的设置需要我们的本地开发环境作为我们的个人帐户(例如DOMAIN\Paul )连接到SQL,我们通过将应用程序池的凭据设置为与我们用来login到工作站的凭据相同。 在数据库服务器上,我们已经configuration了一个组(例如DOMAIN\EngineerGroup ),它具有对我们的开发/testing数据库的适当访问。 这似乎工作得很好,除了每次更改我们的密码时不得不在IIS中更新我们的凭据带来的不便之处。 (我们的企业/团体政策强制要求我们定期更改密码。) 我想知道是否有任何安全风险或与使用内置的ApplicationPoolIdentity帐户相关的其他问题。 我已经通过创build与DOMAIN\MYMACHINE$相对应的新SQLlogin并授予它与DOMAIN\EngineerGroup相同的访问权限,从而在独立环境中工作。 我的build议是创build一个新的Active Directory组,例如DOMAIN\EngineerWorkstationGroup ,其成员是每个工程师的工作站(而不是每个工程师的用户帐户),并授予对新组的相同访问权限。 理想情况下,我正在寻找一些合理的权威文章或文档(大概来自微软),详细说明了这些MACHINENAME$账户如何获得保护,它们可能与用户帐户有什么不同,以及它们使用会给我们带来什么(如果有的话) 。 到目前为止,我发现的最好的资源是关于iis.net的文章。 我已经尝试了许多search,并没有真正发现任何其他讨论使用不同的AD帐户types的权衡。 提前致谢! PS我们也考虑过使用一个中央域帐户(例如,创build一个像DOMAIN\EngineerAppPool这样的帐户,并且每个人都从该帐户的IIS连接到SQL),但是我认为这使得审计和分析更加困难。
我们在生产Windows 2003 R2 SP2服务器上出现了一个奇怪的问题,该服务器已经定义了大约50个本地服务器(服务器位于2000 AD域,但是这些帐户本地服务器)。 在所有本地帐户上,“用户必须在下次login时更改密码”被激活,没有任何理由。 “用户不能更改密码”和“密码永不过期”的帐户同时清除了这些字段。 在发生这种情况之后,系统事件日志中出现了太多的FTPlogin错误(服务器是FTP服务器,客户端使用自动化进程连接),当我查看它时,事件并没有回到足够的程度。 在安全性和应用程序事件日志中似乎没有任何相关的东西,这些日志已经足够回溯了。 我很感激听到任何有类似经历的人以及任何进一步调查的build议。 我现在有两个猜测: 1)本地SAM数据库文件被损坏,然后通过类似SAM服务的某种自动修复/一致性检查程序进行修复。 修复过程如上所述重置所有帐户。 [是否有维护/修理SAM的东西,我认为是可能的?] 2)在帐户全部重置前大约三天半,我使用Winzero的第三方工具Server Migrator来为相关服务器准备replace服务器。 它肯定会访问SAM,以便拉取帐户和密码,并将其复制到目标服务器。 这个解释的最大问题是使用这个工具和事件之间的时间(客户在这段时间内使用系统)。 任何可能发生的想法都将会被赞赏,因为我们有来自客户的压力来解释所导致的中断。 谢谢