我正在尝试设置knockd ,一个可用于Ubuntu发行版的端口敲入守护进程。 在设置我的端口敲击序列之前,我决定给默认敲击序列一个镜头,因为它应该打开SSH到我的IP地址。 但是,当我第一次启动服务sudo service knockd start ,它失败,没有错误信息和位于/var/log/knockd.log服务日志是空的。 * Starting Port-knock daemon knockd [fail] 没有对configuration进行任何更改,除了/etc/default/knock ,我们必须将START_KNOCKD从0更改为1 。 由于日志文件字面上是空的,所以我对此感到非常困惑。 任何帮助表示赞赏,谢谢。
我在Ubuntu 14.04的股票安装上安装了Apache Web服务器,我试图使用fail2ban来阻止检查漏洞的请求。 我把/etc/fail2ban/jail.local放在了下面: [apache-vulnerability-scan] enabled = true port = http,https filter = apache-vulnerability-scan logpath = /var/log/apache*/*access.log maxretry = 1 规则的定义在/etc/fail2ban/filter.d/apache-vulnerability-scan.conf : [Definition] failregex = ^<HOST> -.*"\(\)\s*\{[^;"]+[^}"]+}\s*;.*$ ignoreregex = 对于那些可能不熟悉Ubuntu的fail2ban默认规则的人来说,一些主要规则如下所示: ignoreip = 127.0.0.1/8 bantime = 600 findtime = 600 maxretry = 3 backend = auto usedns = warn protocol = tcp chain = INPUT 但是,即使maxretry设置为1 […]
我有一个Windows Server 2003虚拟机,我需要为本地用户禁用密码复杂性策略。 我仍然希望Active Directory用户使用域密码复杂性策略。 有没有办法做到这一点? 对于那些很好奇的人来说,更多的背景信息:我将使用服务器上的用户作为第三方工具的authentication部分。 本地用户在机器上没有权限。 他们只是需要存在的authentication反对。 由于第三方工具是用于移动设备的,因此我不希望我的用户input复杂的密码。 (这在移动设备上很快就会变得乏味)。]
什么是最常见的定期活动,以确保中等到大型活动目录实施顺利和安全地执行。
我正在使用suexec来确保PHP脚本(以及其他CGI / FastCGI应用程序)作为与相关虚拟主机关联的帐户持有者运行。 这允许保护每个用户的脚本不被其他用户读/写。 但是,我发现这样做会带来不同的安全漏洞。 以前,Web服务器作为非特权用户运行,对用户文件具有只读权限(除非用户由于某种原因更改了文件权限)。 现在,Web服务器也可以写入用户的文件。 因此,虽然我阻止了不同的用户利用对方的脚本,但是我已经做到这样,如果某些应用程序存在远程代码注入漏洞,现在它不仅具有读取权限,而且还具有对所有用户脚本和网站。 我该如何处理? 我有一个想法是为系统中的每个用户帐户创build第二个用户帐户,以便每个用户都有自己的用户帐户,并且他们的所有脚本都在另一个用户帐户下运行。 但是这似乎很麻烦。
如何禁用Windows Server 2003中的命令行net命令? 出于安全目的,这样做可能会很好。
我在VPS上安装了MySQL,我将使用它来为客户托pipe多个数据库,他们将从前端使用它们。 我已经强制所有的通信到每个数据库是通过SSL,我会为每个不同的客户生成一套单独的客户端SSL证书/密钥。 我的问题是:MySQL服务器deamon使用相同的SSL服务器证书/密钥与每个不同的客户进行通信。 每个拥有不同客户端证书的客户是否足以确保他们不能窃听彼此与数据库服务器的通信?
我读了一本关于web服务器安全的书,我发现这个: 如果您的Web服务器有能力写入您的WordPress目录中的文件,那么自动升级function就可以工作。 如果没有,WordPress会提示input您的FTP凭据来为您更新文件。 这两种情况都与我们有关。 一般来说, 您的networking用户不应该有整个Web根目录的写权限 。 这只是要求麻烦,特别是在共享主机平台上; 当然,实现某些目录(例如uploads文件夹)必须是Web用户可写的才能起作用。 哈尔斯特恩专业WordPress的 我想问的是谁是我的服务器的networking用户? 我正在使用Nginx和PHP5-FPM。 我的服务器的web根文件夹由raymond:raymond拥有。 Nginx以nginx运行:nginx和PHP5-FPM的listen.owner设置为raymond , listen.group也设置为raymond web根目录权限是drwxr-xrx,我的public_html也是这样设置的。 那么如何知道我是否遇到了这个设置? 顺便说一句,我用我的主机Linode! 我不在共享的宿主环境。 谢谢!
有没有一种方法来configurationApache以减缓尝试失败login? 它看起来不是这里已经讨论过的默认设置。 另一方面,似乎也可能没有将其添加到自己的应用程序逻辑,在普通的Apache,看到这里 ,但我没有发现任何文档和讨论?
我现在一直在寻找,但找不到任何答案。 我正在使用httpd 2.2.15和Centos 6.2。 我已经configuration了大量虚拟主机的Apache。 即: UseCanonicalName off VirtualDocumentRoot /var/www/html/%0 我将有相同的“主”域与不同的子域指向虚拟主机。 我创build了一个自签名的证书,用于通用名称* .mydomain.com的testing目的。 整个服务器有一个IP。 我怎样才能configurationApache为我的虚拟主机使用SSL? 如果可能,添加到上面我也想实现这一点: 我可以定义一个目录,或更好的一些文件(如login页面),应该从ssl中排除? 所有的虚拟主机都是同一个应用程序的基本不同的实例(除了我在下面的2中提到的那些)。 我可以定义一些不应该使用ssl的虚拟主机(我完全控制这些虚拟主机的子域名)。 这将是两个应用程序,我的主页(www)和一些pipe理应用程序。 如果不能做出例外,我想我会把它们放在另一台服务器上。 除了我在上面提到的2以外,所有的虚拟主机都会根据用户请求自动创build。 基于@Shanes评论,我更新 :如果用户使用https://时,他们不应该,这是很好的,如果他们被redirect到http://。 如果这是不可能的,我想这是可以的,如果他们得到一个错误消息。 当然,如果http和https都起作用,只要http能够用于不受保护的文件(实际上这可能是首选)。 我可以find如何使用mod-rewrite来做这个例子,除了它不适用于大众域(即使用<VirtualHost>)。 有什么诀窍实现这一目标? 如果不可能的话,我会很高兴得到一些关于如何做到这一点的提示。