我正在尝试使用本教程安装/configurationmod-sec, 该教程使用OWASP ModSecurity核心规则集 。 但是,当我去重新启动Apache,我得到以下错误: Syntax error on line 53 of /etc/modsecurity/base_rules/modsecurity_crs_20_protocol_violations.conf: Error parsing actions: Unknown action: ver Action 'configtest' failed. The Apache error log may have more information. …fail! 这是它遇到的代码块:(具体地说ver:'OWASP_CRS/2.2.9',\ ) SecRule REQUEST_LINE "!^(?i:(?:[az]{3,10}\s+(?:\w{3,7}?://[\w\-\./]*(?::\d+)?)?/[^?#]*(?:\?[^#\s]*)?(?:#[\S]*)?|connect (?:\d{1,3}\.){3}\d{1,3}\.?(?::\d+)?|options \*)\s+[\w\./]+|get /[^?#]*(?:\?[^#\s]*)?(?:#[\S]*)?)$"\ "msg:'Invalid HTTP Request Line',\ severity:'4',\ id:'960911',\ ver:'OWASP_CRS/2.2.9',\ rev:'2',\ maturity:'9',\ accuracy:'9',\ logdata:'%{request_line}',\ phase:1,\ block,\ t:none,\ tag:'OWASP_CRS/PROTOCOL_VIOLATION/INVALID_REQ',\ tag:'CAPEC-272',\ setvar:'tx.msg=%{rule.msg}',\ […]
好的,所以我要升级,我是一名软件工程师,试图做一个系统pipe理员的工作。 我问了一个关于重写密码策略的问题,并得到了一个正确的答案,但我不明白该怎么做。 基本上它告诉我在计算机上的某个级别上应用一个策略变更。 我从来不必应用任何一种政策。 有没有人愿意帮助一个新手一步一步的如何做到这一点。 (看到另一个问题 ,为什么我这样做的原因。)
我将在Amazon EC2实例中托pipe一个网站,这将是一个Linux实例。 我的Web应用程序将使用PHP,Apache和MySql开发。 由于我是Linux和Amazon EC2环境的新手,我应该考虑保护我的服务器的安全关键领域是什么? 这可能是非常非常普遍的问题,因为安全本身是一个广阔的领域。 但是我需要从最重要的angular度开始。 这样我就可以一个一个追踪所有这些地方。
我读过SSL是“点对点”安全性的一个很好的解决scheme,而不是“端到端”的安全性。 例如,在JavaWorld的这篇文章中,它说: SSL / TLS根本不是为这种情况devise的; SSL / TLS仅处理点对点安全性… SSL / TLS可以保护任何两个[媒介]之间的path,但不能从一端到另一端。 我正在构build一个Web服务来提供数据分离客户端,如本程序员.SE问题所述 。 我在这种情况下实现SSL的理解是,我可以为我的所有Web服务调用添加某种API密钥,并仅在服务上强制使用HTTPS,并且我的安全性与我所需要的一样(我没有通过任何用户特定的,除了在某些情况下由用户明确和发起的电子邮件地址)。 但是这个声明和这篇文章似乎有争议。 是否暗示SSL连接仍然可能发生中间人攻击? OAuth指南在这里陈述(第二段“超越基础”): HTTPS是防止中间人攻击(MITM) ,窃听和其他安全风险的推荐解决scheme。 这是如何和解?
好吧,我主要从我的Mac到我的Linux机器,但有时也从Linux机器到Mac,或从Mac到Mac。 我想实现一个安全的无密码的方式来SSH这些电脑之间,所以我不必input我的SSH密码一天50次。 我知道可以通过创build一组没有密码的SSH密钥来完成,但是我明白这不是一个安全的方法。
是否可以授予访问权限查看Windows 2008上的EventLog而不给pipe理员一个人? 如果这样怎么样?
在寻找更多保护Linux服务器的方法时,我发现了下面的/etc/sysctl.confconfiguration。 就这样,没有太多的解释。 在生产环境中使用它(使用Ubuntu 12.04 LTS)之前,我想知道它在Web服务器上的含义。 # Avoid a smurf attack net.ipv4.icmp_echo_ignore_broadcasts = 1 # Turn on protection for bad icmp error messages net.ipv4.icmp_ignore_bogus_error_responses = 1 # Turn on syncookies for SYN flood attack protection net.ipv4.tcp_syncookies = 1 # Turn on and log spoofed, source routed, and redirect packets net.ipv4.conf.all.log_martians = 1 net.ipv4.conf.default.log_martians = 1 # […]
我试图用NGiNX和PHP来保护我的服务器上的文件(多种types)。 基本上我希望人们必须login到网站,如果他们想访问像图像这样的静态文件。 DropBox做得非常好。 他们强迫你login访问你放在那里的任何静态文件服务器。 我虽然关于使用NGiNX Perl模块。 而且我会写一个perl脚本来检查会话,看看用户是否login来让他们访问一个静态文件。 我宁愿使用PHP,因为我所有的代码都是在PHP下运行的,我不知道如何检查由PERL创build的PHP会话。 所以基本上我的问题是:如何保护需要用户login的任何types的静态文件,并使用PHP脚本创build有效的会话?
我在哪里工作,我们有非常轻的安全政策,允许用户连接到他们的个人邮件帐户等。 每个用户都在自己的电脑上,没有集中的帐户pipe理。 这几乎就像在同一个局域网上的独立/个人电脑一样。 唯一的例外是系统pipe理员要求我们在/root/.ssh/authorized_keys放入一个密钥,以便他们可以备份我们的文件。 除了我有点偏执之外,还不够公平。 我没有反对强制备份(我甚至同意这是一件好事),但在某些情况下,我插入我个人密码的USB密钥,其中包含我的个人密码数据库(keepass),我想避免它的内容备份。 所以这是我的问题: 有没有办法让我自动卸载USB密钥卷,甚至更好:延迟从外部主机的根login,直到我的USB密钥卸载/插入? 什么是最简单/最安全的方法呢? 注意:我的雇主实际上同意这个设置。 注意#2:阅读评论,我会说我现在明白什么是错的问,以及如何看起来我试图欺骗我的系统pipe理员。 我当然不能责怪任何人不信任我,我真诚地想要道歉,如果在任何时候我听起来像我是“比系统pipe理员聪明”或任何东西。 这个问题预期纯粹是技术性的答案,但纯技术性的答案不是一个好的答案。 正如他们所说: “没有良知的科学只不过是灵魂的毁灭……”感谢大家的反馈意见。
通过电子邮件交换ftp / sftp凭证而不是通过电子邮件交换系统ssh-keys更安全? 如果一个人没有物理的ssh私钥文件,黑客是否能够通过知道公共的ssh-keystring来访问服务器?