这是我的iptables-save命令的输出。 最后一条规则和默认策略是丢弃任何不匹配的数据包。 Generated by iptables-save v1.4.9 on Wed Aug 3 21:00:05 2011 *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [76:6239] -A INPUT -p -m tcp –dport 8080 -j ACCEPT -A INPUT -p -m tcp –dport 2222 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -j DROP 但令人惊讶的是,DHCP和所有其他stream量正在通过…请告知如何只允许端口8080和端口2222连接,并放弃其他一切。 iptables规则正在FedoraRouter机器上设置。 而这个FedoraRouter机器分别在端口8080和2222上运行Apache和SSH。 客户端FedoraClient和WinXP-Client需要访问这些服务。 我不能通过IP阻止他们,因为我将来会添加更多的计算机,除了HTTP和SSH通信之外,其他任何东西都需要被删除。 […]
我想build立一个中央日志服务器。 日志服务器在debian 6.0.6下运行,审计守护进程在1.7.13-1版本中安装。 客户端使用Red Hat 5.5运行,并通过audispd连接到日志服务器。 连接工作正常,我得到每个节点的所有消息。 我的问题是:日志服务器的auditd守护进程是否有可能将来自每个节点的消息写入单独的文件? 我尝试通过syslog守护进程传输消息,这工作,但我不能使用像ausearch这样的工具来分析这些日志文件。
我有一个运行多个服务的debian-machine,例如带有http和https的Apache,jabber和一个用于pipe理的openssh服务器。 ssh服务器没有在端口22上运行。它的端口类似于端口62111.我使用fail2ban来保护openssh。 因此,无论何时攻击者试图连接到端口62111上的ssh,在端口62111上被fail2ban禁止了两天之前,他有两次尝试。 我想在端口22上启动一个(假的)SSH服务器,每当有人试图连接到这个端口时,他将被iptables永久禁止在所有端口上,或者至less在我放弃iptables规则之前。 任何合法的SSH连接都不会尝试ssh到端口22,因为每个pipe理员都知道正确的SSH端口。 这个想法是攻击者会先尝试攻击22号端口。 所以他甚至没有机会尝试SSH到港口62111.我不在乎那些cookies看到我的网站。 所以在任何端口上(包括80和443)都可以阻止它们。 任何build议如何做到这一点?
我的StartSSL证书有问题。 当我尝试使用它来激活Dovecot上的SSLencryption时,当客户端尝试连接到imap服务器时,我的日志中出现以下错误: dovecot: imap-login: Fatal: Couldn't parse private ssl_key: error:0906D06C:PEM routines:PEM_read_bio:no start line: Expecting: ANY PRIVATE KEY dovecot: master: Error: service(imap-login): command startup failed, throttling for 16 secs 不过,我已经按照这个教程: SSL如何:在Dovecot IMAP serer |上安装ssl ErlyCoder和我的私钥(没有密码)和证书都存在,所以我不明白为什么它不起作用 在我的dovecot.conf文件中: ssl_key = /home/mail/ssl/****.key ssl_cert = /home/mail/ssl/****.pem 证书文件按以下顺序包含: 我的证书 StartSSL的sub.class1.server.ca.pem内容 来自StartSSL的ca.pem内容 操作系统:Debian 8 谢谢
我需要更改域成员服务器(不是域控制器)的本地安全策略。 诸如“密码必须满足复杂性要求”等设置是灰显的。 如果我以域pipe理员或本地计算机pipe理员的身份login,它们将显示为灰色。 域控制器和成员服务器都是Windows Server2003。 如何找出为什么select是灰色的?
许多PHP应用程序都进行自我configuration和自我更新。 这需要Apache有写入权限的PHP文件。 尽pipechgrp它们全部转换为www数据似乎是避免使它们成为可写的好习惯,但我也希望允许用户创build新文件并编辑现有文件。 在Debian上添加用户到组www-data safe? 例如: 775 root www-data /var/www 644 john www-data /var/www/johns_php_application.php 660 john www-data /var/www/johns_php_applications_configuration_file
我正在Apache服务器上实现mod_security 。 为了testing保护的有效性,我正在寻找一个可以生成一组预定义的恶意HTTP请求的客户端。 我将testing启用和未启用mod_security的请求,并根据日志查看恶意请求被阻止的百分比。 你知道任何好的工具来生成一组预定义的恶意HTTP请求吗?
另外,双因素身份validation通常不太安全,如果是这样,为什么呢?
我可以使用secedit.exe从本地安全策略中导出“安全选项”,然后将它们导入到另一台计算机上? 我正在尝试在Windows Server 2008上执行此操作。 更新 我只是试着用: secedit /export /db C:\andy.db /cfg C:\andy.inf /areas SECURITYPOLICY /log C:\andy.log 但它没有与错误工作: Warning 2: The system cannot find the file specified. Error opening C:\andy.db. 我从哪里得到数据库文件?
我们正在使用运行Linux的Amazon EC2实例构build一个Web应用程序。 所有到客户端浏览器的stream量均使用SSL进行encryption。 什么应该用来encryption实例之间的stream量。 stream量将包括从Tomcat连接到MySQL数据库以及文件传输。 如果失败,它需要可靠并重新configuration。