我有我的Apache安装在Nginx后面。 所以每一个进来的请求都是由Nginx首先处理的。 如果有需要的dynamic内容请求被发送到在端口8080监听的Apache。 很基本的反向代理设置。 现在使用这个设置,第一个入口点是Nginx。 是否仍然需要安装ModSecurity来保护Apache免受不必要的请求。 或者我应该专注于保护Nginx,因为这是第一个入口点。 所有的build议都欢迎。
我正在处理的项目上的SQL开发人员询问是否可以在生产数据库上启用xp_cmdshell,因为使用xp_cmdshell导出CSV文件比编写SSIS包更容易。 启用xp_cmdshell听起来像是一场安全噩梦,而且绝对不应该这样做。 围绕这个的build议/最佳实践是什么?
我们即将为我们的用户发布一个Web应用程序,并试图弄清楚是否有人将他们的服务器放在DMZ中,或者只是将其保留在防火墙后面的域中,并通过防火墙规则大大限制访问? 有没有人在这里发现任何缺点,只是通过防火墙规则和操作系统的权限限制访问? 请注意,这个站点是一个带有SQL Server后端的ASP.NET MVC前端。 另外 – 这是一个人力资源/财务应用程序,数据库后端包含我们最有价值的数据。 从安全angular度来看,我宁愿让世界根访问内联网,而不是访问数据库服务器。 结果,我原来的计划是跳过使用DMZ,只打开防火墙上的端口443到networking服务器…这似乎并没有比数据库服务器上的DMZ与networking服务器。
我们在Ubuntu 12.04和Apache 2.2.2版本。 我们在我们的网站上进行了PCI扫描,出现了两个漏洞,我们无法控制。 首先是BEAST攻击和其他一个SSL RC4密码套件的支持。 到目前为止,我已经尝试以下看起来很有前景 在寻求帮助之后,我尝试了更多更改,但是这些更改反过来开始破坏浏览器并被丢弃。 SSLProtocol -SSLv2 -TLSv1 +SSLv3 SSLHonorCipherOrder On SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-RC4-SHA:ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:RC4-SHA:!MD5:!aNULL:!EDH SSLCompression off 要么 SSLProtocol ALL -SSLv2 SSLHonorCipherOrder On SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS SSLCompression off 基于ssllabs上的扫描结果,我能够得到只有一个减轻的漏洞。 我需要做哪些修改,以解决这两个漏洞,并支持当前版本的浏览器?
来自Linux背景,现在不得不pipe理一些Windows服务器(2008R2&2012R2),我想知道哪些服务是安全的,直接通过互联网运行。 这些服务器都是面向互联网的,无需额外的硬件防火墙或内部VPNpipe理networking。 有疑问的服务是: RDP(在标准configuration中)? MSSQL(2012)? 活动目录? WSUS(没有域,如果3.是不安全的)? 经过一番研究,我知道在早期的Windows版本(2003)中,RDP至less是不安全的,AD似乎一般被认为是不安全的。 通过SSH隧道RDP(服务器都运行cygwin)是一个明智的想法吗? 谢谢你的build议!
我对安全性有一些担忧,想知道AWS将如何存储部署到ELB的SSL证书。 我有一个通配的SSL证书,用于我的域名,我想确保它不会在任何我不知道采取措施来保护它的地方持续存在。 我正在尝试在AWS上设置一个非常简单的映像服务器,它通过HTTPS提供服务。 我所做的就是在T2-micro上创build一个nginx服务器,它代表一个带有我的镜像的S3存储桶,放在ELB后面。 如果我把这个证书放在ELB上,那么证书最终会持续到哪里呢? 作为一个旁注,AWS实际上是否支持SSL卸载到ELB指向的实例? 我发现这个提示在一些文档中是可能的,但是找不到任何提示。
我使用Apache的mod_info来显示有关我的服务器设置的详细信息。 的httpd-vhosts.conf # Set path below to be handled by mod_info. It will show server info. # For this to work, this module must be loaded (uncommented in httpd.conf) <Location /special/path> SetHandler server-info Order allow,deny Allow from 127.0.0.1 </Location> Allow from本机设置,因为这是在我的开发机器上。 这个模块允许我通过导航到/special/path来看到大量的信息。 我想在我的公共服务器上使用它,但需要以某种方式保护它,以便其他人无法加载该path。 该文档讨论的IP地址白名单,但我有一个组织的IP,由许多人共享。 保护这条道路最实际的方法是什么? Apache 2.4.16
使用Mac OSX 10.6.4。 我正在尝试使用同一台计算机。 我的电脑名字就是MacBookPro。 简短的版本是,当我使用其IP地址ssh到我的机器,它暂停大约40秒,然后让我进来。 我使用以下方法创build了一个ssh密钥: ssh-keygen -t dsa -P '' -f ~/.ssh/id_dsa cat ~/.ssh/id_dsa.pub >> ~/.ssh/authorized_keys 通过ssh localhost或ssh MacBookPro.local ssh'ing到我的机器工作得很好。 这是当我尝试使用IP地址ssh到我的机器,我收到暂停。 MacBookPro:~ nkodner$ ssh -v -v -v 192.168.1.118 OpenSSH_5.2p1, OpenSSL 0.9.8l 5 Nov 2009 debug1: Reading configuration data /etc/ssh_config debug2: ssh_connect: needpriv 0 debug1: Connecting to 192.168.1.118 [192.168.1.118] port 22. debug1: Connection established. […]
如果我通过安全组阻止stream量,那么我认为我不必为此付费。 但是,如果我阻止通过安装在我的服务器上的iptables的stream量,那么我认为这将是我支付我阻止任何传入的stream量。 有没有什么iptables可以做一个安全组不能? 我在问,因为我正在寻求减轻我的Web服务器上的DDoS攻击。 谢谢。
使用SSH连接到Linux VM是否安全? (由http://linuxzoo.net/托pipe) 通过使用PuTTY进入SSH,我是否将我的机器暴露给互联网/主机? 我应该担心什么安全问题?