我们在生产Microsoft Windows 2003 SP2服务器上安装了各种SDK,我想知道是否有充足的理由让它们在那里,或者是否存在安全风险。 用于.NET Framework 3.5.21022的Visual Studio 2008 Express工具的Microsoft Windows SDK 适用于Win32 6.1.5288.17011的Visual Studio 2008 Express工具的Microsoft Windows SDK Microsoft Windows SDK .NET Framework工具6.1 Microsoft Windows SDK .NET Framework工具7.1.30514 服务器托pipe一个至less有一个.NET组件的IIS网站。 任何关于这个问题的帮助或build议,将不胜感激。
使用公共DNS与我们或我们的合作伙伴控制的DNS相比,是否存在已知的风险? 我们的解决scheme涉及一些embedded式设备,所以使用Google DNS会给我们一定程度的可移植性,当我们在各种地方部署时,即只要我们有一个有效的互联网连接,那么我们通常可以打谷歌的DNS(并不总是如此但通常)。 鉴于我不是DNS如何工作的专家,我能想象的情况就是这样的 a)我们的路由器(或其他充当DHCP服务器的设备)通过专用networking分配地址,并向DNS发送新的logging。 b)其他人的“劫持”logging并将其指向我们私人西北部以外的其他地方。 c)下一次,我们的专用networking上的某些东西试图parsing专用networking上的一台机器的名称,它将被redirect到一个恶意服务器。 这种攻击甚至可能吗? DNS服务器如何确定来自我们域的更新确实来自我们的域名? 我知道有自己运行DNS服务器的最佳实践,但是有什么等效的最佳实践,您应该遵循客户端? 注意:我并不担心Google能够学到什么(他们不会学到太多东西,因为我们只能访问我们自己的服务,像Windows Update,Azure等)。 我更担心的是,通过使用公共服务,我们会使第三方恶意的东西。
启用ExecShield保护 – ExecShield是安全的Linux内核补丁,可避免蠕虫等问题。 添加到后 /etc/sysctl kernel.exec-shield = 1 得到这个错误sysctl:不能stat /proc/sys/kernel/exec-shield: No such file or directory 输出: root@ashishk:/home/ashish/MyScripts# sysctl -p sysctl: cannot stat /proc/sys/kernel/exec-shield: No such file or directory kernel.randomize_va_space = 1 net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 net.ipv4.icmp_echo_ignore_broadcasts = 1 net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 net.ipv4.tcp_syncookies = 1 […]
我将在两台Web服务器之间设置rsync。 我的目标是在secoundary备份来自主服务器的数据,以防主服务器崩溃。 我的问题涉及在主服务器上设置用于rsync用户帐户的目的。 出于显而易见的原因,我不想在这里使用我的“root”用户帐户。 因此,我的目标是build立另一个只用于rsync目的的帐户。 据我所知这个用户将需要读取权限,我将需要传输的所有文件(Apacheconfiguration,用户的Linux文件,万维网数据)。 如何最好地设置这样的权限? 我应该授予rsync用户root权限还是有更安全的方式来创build这样的备份用户?
我们有一个带有OpenSSL 0.9.8e-fips-rhel5的Apache 2.2.3服务器。 我正在VirtualHost中运行以下SSLconfiguration。 我找不到任何其他configuration文件与任何SSL指令。 SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder on SSLCipherSuite CDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS 但是,我仍然无法通过以下消息进行SslLabs扫描: 该服务器支持匿名(不安全)套件 为什么如果我只使用强密码并且无法在任何地方find任何压倒一切的configuration,它仍然失败?
这是我目前的nginxconfiguration: server { server_name mydomain.example; access_log /srv/www/mydomain.example/logs/access.log; error_log /srv/www/mydomain.example/logs/error.log; root /srv/www/mydomain.example/public_html; error_page 404 /404; location / { if ($request_uri ~ ^(.*)\.(php|html)$) { return 302 $1$is_args$args; } try_files $uri $uri/index.html $uri/index.htm @php; index index.html index.htm index.php; } location @php { include /etc/nginx/fastcgi_params; fastcgi_pass unix:/var/run/php-fpm/www.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; try_files $uri.php $uri/index.php =404; } location /support […]
我正在使用Apache 2.2.15,并将尽可能安全。 当我通过Qualys SSLtesting对我的一个网站进行扫描时。 https://www.ssllabs.com/ssltest/analyze.html 它列出了以下密码套装: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (eq. 3072 bits RSA) FS 256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (eq. 3072 bits RSA) FS 256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH secp256r1 (eq. 3072 bits RSA) FS 256 我总是想用_SHA去掉这条线,因为这个应该用_SHA来覆盖上面的线(2)。 我有以下的虚拟主机configuration: SSLProtocol ALL -SSLv2 -SSLv3 SSLHonorCipherOrder On SSLCipherSuite EECDH+AES256GCM:AES256+EECDH 我应该如何改变SSLCipherSuite以摆脱最后的_SHA线?
我们只想在我们的Ubuntu系统上执行重要的安全更新。 我们find了两种有效的升级安全系统的方法 一种是使用apt-get升级,然后使用grep来过滤安全软件包 root@vagrant-ubuntu-trusty-64:/etc/apt# sudo apt-get upgrade -s| grep -i security | wc -l 0 root@vagrant-ubuntu-trusty-64:/etc/apt# 另一种是使用无人值守的升级 root@vagrant-ubuntu-trusty-64:/home/vagrant# sudo unattended-upgrade –dry-run -d 2> /dev/null | grep 'Checking' | awk '{ print $2 }' | wc -l 32 root@vagrant-ubuntu-trusty-64:/home/vagrant# 正如你所看到的,两者都显示不同的软件包结果,更新安全软件包的正确方法是什么?
我想放弃所有的UDP通信(允许其他的一切),同时仍然允许出站UDP通信。 出站stream量主要来自游戏和voip呼叫。 由于ISP(ovh)不会过滤基于UDP的ddos攻击,因此UDPstream量需要被阻止。 他们只能过滤基于TCP的ddos攻击。 这是通过给他们短暂的电话确认的。 这就是说,我需要一种方法来阻止UDP,以避免使用UDP协议的DDOS攻击变得成功,同时仍允许出站stream量。 这将在运行VPN服务器的OVH(OpenVPN TCP端口443)上的VPS服务器上完成。 是否有一套我可以添加到iptables的规则来完成这个?
我注意到我的Ubuntu Xenial服务器上有一些奇怪的东西。 它在默认端口上有SSH,它有fail2ban。 Fail2ban正在检测服务器上的强制尝试,并相应地logging下来: 2017-01-12 10:58:19,927 fail2ban.filter [23119]: INFO [sshd] Found xxxx 2017-01-12 11:03:27,808 fail2ban.filter [23119]: INFO [sshd] Found xxxx 2017-01-12 11:08:37,936 fail2ban.filter [23119]: INFO [sshd] Found xxxx 2017-01-12 11:13:51,538 fail2ban.filter [23119]: INFO [sshd] Found xxxx 2017-01-12 11:18:57,939 fail2ban.filter [23119]: INFO [sshd] Found xxxx 2017-01-12 11:24:10,399 fail2ban.filter [23119]: INFO [sshd] Found xxxx 2017-01-12 11:29:23,161 fail2ban.filter […]