Articles of 安全性

这似乎很基本，但我找不到答案已经…我们正在寻找部署一个网站到IIS服务器，数据库到一个单独的服务器。 我们不确定如何最好地保护内部用户和互联网的访问。 IIS服务器没有连接到域，目前也没有数据库。 应该是吗？ 另外，如果我们使用SQL Server身份validation而不是Windows身份validation，那么我们是否应该将用户/密码硬编码到我们的内部应用程序中？

我们正在build立一个SharePoint 2010网站。 别担心，这不是一个Sharepoint问题，只是将其添加到上下文中。 大多数网站将是匿名的，但是一些用户能够authentication和编辑内容。 他们使用NTLM（用户存在于AD中）。 是否有任何关于暴露NTLMlogin的用户可以通过http修改通过互联网的内容或只应通过https公开？

我在我的apache服务器上有一个文件，我不想让公众访问。 我有几个IP地址将需要该文件，因此我想授予他们访问该文件。 我怎么能去呢？ 谢谢

我在EC2上运行一些Ubuntu Server实例，并且总是安装最新的安全更新。 我只想到AMI有一个固定的AKI（内核ID）/ Amazon只有一个允许的内核启动。 那么，即使在安装最新的内核更新之后，EC2实例也会始终引导到同一个内核中？ 这是否意味着每当有新的内核更新时，我都需要从Ubuntu EC2团队中查找最新的AKI，然后在我的所有实例上运行ec2-modify-instance-attribute –kernel NEWAKI （并重新注册我的AMI与NEWAKI），否则我会引导到一个旧的/不安全的内核？

是否有一个应用程序通过nginx日志并阻止提出常见webapp漏洞请求的IP？ 我有一个只提供静态内容的nginx web服务器。 我经常得到GET /db/websql/main.php或GET /db/phpMyAdmin2/main.php请求。 这些是有人扫描漏洞的明显迹象。 是否有一个应用程序可以通过nginx日志，认识到这些尝试利用常见的漏洞，并阻止有问题的IP？ 我的想法是，即使我不容易受到这些攻击，相同的IP也可能在我的networking上的同一个盒子或其他盒子上进行其他types的攻击：SMTP，SSH，其他带有Web应用程序的Web服务器。 在cookiesjar子里用手抓住它们看起来是一个很好的方法。 Fail2ban为SSH和HTTPauthentication尝试做类似的事情。 也许它可以与configuration一起使用，其中包括用于漏洞的众所周知的地址列表。 有没有这样的configuration可用？

这个PHP-CGI安全性问题 （CVE-2012-1823）是否影响PHP运行在mod_fcgid的个人常规用户帐户下？ 我一直使用的包装.fcgi脚本是： #!/bin/bash PHPRC=$PWD/../etc/php5 export PHPRC umask 022 export PHP_FCGI_CHILDREN SCRIPT_FILENAME=$PATH_TRANSLATED export SCRIPT_FILENAME exec /usr/bin/php-cgi

我已经安装了HTTP-Enforcer Chrome扩展。 现在，如果我打开一个terminal并键入ping google.com我看到： $ ping google.com PING google.com.home (67.215.65.132) 56(84) bytes of data. 64 bytes from kcherenkov.github.com.home (67.215.65.132): icmp_req=1 ttl=51 time=293 ms kcherenkov是创作该扩展的github用户。 我应该担心Chrome扩展会影响terminal的networkingstream量吗？ 我也应该关心这个设置的任何隐私问题吗？ /etc/resolv.conf ： # Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8) # DO NOT EDIT THIS FILE BY HAND — YOUR CHANGES WILL BE OVERWRITTEN nameserver 127.0.0.1 search […]

我做testing驱动的开发，所有的API都用一批testing来testing。 最初，我在selinux中以“宽容”模式运行testing。 所以，我决定启用selinux来“执行”模式。 很明显，我开始在audit.log中获得AVC否认，一半的testing失败了。 所以，我使用audit2allow为audit.log中的所有失败的东西（很多拒绝）创build一个模块，并且使用semodule -i将新模块合并到内核中。 然而，有一些testing在许可模式下仍然失败，但是它不会写出audit.log或messages文件有什么问题，所以我无法解决这个问题。 当我将服务器置于“宽容”模式时，“强制执行”模式下失败的testing现在完美无缺。 我如何去解决这个问题？

我刚刚创build了一个自定义策略，并做了semodule -i test.te. 几天后我重新开始了所有的testing，我注意到audit.log中还有另外的AVC拒绝。 我想添加新的东西到我现有的test.te文件，这样我就不会有多个策略。 我只想有一个政策，只是不断增加，这是可能的，如何？ 提前致谢。

我需要匹配运行/加载的selinux规则/ transitions / labels / etc到定义它们的selinux策略模块（semodules -l）。 我需要这个，因为我想在上下文中学习一些selinux策略模块，我需要知道应该检查哪些模块。 有没有更简单的方法来做到这一点比下载所有selinux相关的“src”包，筛选出未使用的模块，并grep结果文件的信息？