安全configuration向导允许您根据angular色为当前服务器创buildxml的各种build议的安全设置。 有什么办法根据服务器上的实际当前设置生成这个XML?
我有一些小组中的用户来审查审计。 他们在我创build的小组中。 这个小组应该有权限查看安全审计。 他们可以看到他们,但说明丢失。 如果我以pipe理员身份login,看起来没问题。 所以这是一些types的权限问题。 我已经检查了HKLM\System\CurrentControlSet\Services\Eventlog\Security permissions ,它具有pipe理员的完全控制和SYSTEM的完全控制。 本地安全设置已设置,所以他们也可以pipe理和查看安全审核。 这些是独立的机器,还有像这样的其他机器可以正常工作。 唯一的区别是MSSQL安装在那些不工作的。 有任何想法吗? 我错过了什么吗?
我试图通过SSL连接到我的服务器。 服务器和客户端使用Openssl成为可能。 我只是为了学习目的而编写的代码。 我为客户端和服务器做了自签名证书,我正在使用openssl s_client来testing我的服务器。 一切正常,没有客户端证书。 但是,当我给客户端证书与s_client它给了我错误。 # openssl s_client -connect localhost:443 -ssl3 -cert client.crt -key client.key CONNECTED(00000003) depth=0 /C=XX/ST=XXXX/L=XXXX/O=XXXX/OU=XXX/CN=SERV OWNER/[email protected] verify error:num=18:self signed certificate verify return:1 depth=0 /C=XX/ST=XXXXX/L=XXXX/O=XXXXXX/OUXXXXXXXX/CN=SERVOWNER/[email protected] verify return:1 2804:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1102:SSL alert number 42 2804:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:539: 服务器同时提供以下错误 2803:error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned:s3_srvr.c:2619: I got a connection from (127.0.0.1 , […]
我今天想知道是否有办法强制非root用户拥有一个特定的authorized_keys文件(以及其他合理的文件)。 我想出了这个解决scheme。 在sshd_config禁用StrictModes (必须操纵文件所有权和东西, sshd与StrictModes活动是非常挑剔的) 防止用户使用粘滞位删除他自己在主目录下的文件: chown root:user /home/user chmod 1770 /home/user 不应该修改/删除的每个文件和目录应该经过这个: chown root:user file_or_folder chmod 0640 file_or_folder chmod g+x folder 到目前为止,这种方法似乎工作。 用户不能修改/删除文件,也不存在用户离开自己的主文件夹可读/可写的风险( 这似乎是StrictModes背后的原因 ),因为他不拥有自己的主目录。 问题是:我错过了什么? 这可以绕过吗? 有缺点吗?
嘿即时通讯有一些麻烦,允许远程连接到其他ec2实例postgres使用指定的安全组function的规则。 我已经将postgres.conf中的listens指令设置为“*”,并且已经允许pg_hba.conf文件中的所有ips host all all 0.0.0.0/0 md5 我有一个安全组试图连接被称为应用程序服务器和一个名为db的postgres实例。 数据库安全组允许来自任何具有appserver安全组的实例的5432的TCP连接 然而,这只是剂量工作。 我无法build立连接到远程postgres。 要validation事情正在与postgres一般工作,我允许0.0.0.0/0数据库安全组的端口5432,它的工作。 我真的不知道还有什么可以尝试的!
在ews ec2中,用户可以设置像防火墙一样工作的安全组 ,但通常情况下,防火墙在网关/ NAT服务器后工作,但是我发现EC2中的防火墙也工作在局域网中。 例如,用户有太多的实例, A: 10.108.33.13/26 B: 10.108.33.18/26 ,根据ip和netmask ,他们在同一个局域网,但是,如果我把这些实例放在不同的安全组并且规则阻止来自不同的sgs的访问),防火墙对它们起作用。 我的问题是,我认为防火墙只在Layer3 / 4,ip和端口是。 在局域网中,主机之间的stream量通过第二层(通过MAC地址)。 怎么可能在局域网中实现这样的防火墙? PS我检查了每台主机上的iptables,我确定它停止了。
我有一个作为一个网站的内容pipe理系统运行的ASP.NET Web应用程序。 它最初是在一个IIS6服务器上。 但是,该Web应用程序最近移到了II7服务器。 移动之后,我的CMS系统不再工作,因为我收到一条错误消息: 访问path“C:\ inetpub \ SITEFOLDER \ FILENAME”被拒绝。 每次我在我的CMS系统中保存页面时,我都需要写入服务器上的aspx文件以及更新服务器上的web.sitemap文件。 我比较了两台服务器之间的文件权限,并注意到旧的IIS6服务器对“networking服务”用户的inetpub文件夹具有写入/修改权限,该权限会传递给服务器上的所有站点文件。 新的服务器没有“networking服务”,在inetpub文件夹上设置了“写入/修改”权限。 这显然是我的CMS系统不能在新服务器上工作的原因。 当然,解决scheme是在新服务器上设置Inetpub文件夹的写入/修改权限,以便ASP.NET具有写入和修改站点内任何文件的适当权限。 我的问题是,这是一个生产Web服务器上的一个非常的解决scheme。 是否有任何安全漏洞通过允许networking服务对inetpub文件夹具有写入/修改权限而打开? 我知道在整个inetpub文件夹中给予IUSER写入/修改权限可能会导致安全问题,您必须小心哪些文件被授予了IUSER的写入权限,我只是不知道是否将相同的规则应用于“networking服务“用户。
除了我们刚刚拥有的新桌面外,我的办公室还为所有员工提供了笔记本电脑。 我被要求保护我们的svn server ,这是一个专门的服务器托pipe的地方与ubuntu运行的。 在这种情况下限制访问意味着只有高级开发人员才能访问他们笔记本电脑上的svn repositories 。 其余的开发人员团队只能访问新的桌面而不是他们的笔记本电脑 我们目前使用http/s:访问存储库http/s: 有什么办法可以实现吗?
是否可以显示某种types的访问日志,其中有权访问特定数据库(或多个访问者)的有效用户试图访问他们无权访问的数据库? 例如,如果我通过SMS将SQL Server帐户login到数据库服务器,然后尝试展开我的帐户无权访问的数据库,则会出现“数据库[DBName]不可访问”错误。 有没有任何types的日志显示用户试图这样做? 在同样的说明中,是否可以将SMS中显示的数据库列表限制为只有用户可以访问的数据库,甚至不能显示其他数据库?
我想使用Nginx的Symfony2网站和其他软件,如phpMyAdmin。 我已经阅读了关于设置Symfony2的nginx文档,并且遇到了这个问题: http : //www.webhostingtalk.com/showthread.php? p=6807475#post6807475 我可以只使用security.limit_extensions=php ,然后使用这样的安全吗? location \.php$ { … } 这个博客似乎表明这是一个解决安全问题的file upload: http : //kaiwangchen.com/blog/2012/10/understand-the-cgi-fix_pathinfo-security-issue/ 但是大多数带有用于设置nginx的教程的地方都推荐了将php限制到特定文件的旧解决scheme。 所以我不确定这是否真的避免了任意代码注入。 或者我应该使用try_files ?