所以我最近设置了一个个人的GitLab服务器,我正在使用完整SSL的以下configuration。 我尽我所能,但还有什么可以做得更好? 我大部分时间都是通过闲暇时间了解我对networking服务器的了解,所以我没有真正遵循任何规范。 请让我知道任何意见和疑虑。 server_tokens off; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block"; add_header Content-Security-Policy "default-src 'self'; script-src 'self''unsafe-inline' 'unsafe-eval' https://ssl.google-analytics.com h https://assets.zendesk.com https://connect.facebook.net; img-src 'self' https://ssl.google-analytics.com https://s-static.ak.facebook.com https://assets.zendesk.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com https://assets.zendesk.com; font-src 'self' https://themes.googleusercontent.com; frame-src https://assets.zendesk.com https://www.facebook.com https://s-static.ak.facebook.com https://tautt.zendesk.com; object-src 'none'"; server { listen 80; listen 443 default ssl […]
有没有什么办法可以保护任何两个应用程序之间的networking通信,即使两个应用程序都不支持SSL模式? 图: (主机X(应用A))——–不安全的连接—–(主机Y(应用B)) (主机X(应用程序C(应用程序A)))—–安全连接——-(主机Y(应用程序C(应用程序B)))
我想通过安全的点到点隧道连接两个远程站点。 我一直在使用OpenVPN,但它有点小巧,看起来更像是连接大量用户,而不是点对点链接。 Redhat似乎有一些很好的构build点对点IPSEC隧道的脚本,但是在Ubuntu中我没有find类似的东西。 任何指导什么在这里使用,以及如何做到这一点? 我想保持尽可能简单,但仍然有基本的PSK安全。
在我们的Windows 2003独立服务器上,我们通常会创build一个新的pipe理员帐户(通过使帐户成为pipe理员组的成员)并禁用内置的帐户。 但是,在Windows 2008上执行此操作时,我们发现这个新的pipe理员帐户需要“以pipe理员身份运行”,否则将执行UAC提示访问内置pipe理员帐户不执行的某些文件夹。 有没有办法解决这个问题(不要篡改本地安全策略中的UAC设置)?
我想在几台服务器之间运行DFS复制。 我的理解是服务器需要成为这个领域的一部分。 能够给所有服务器上的用户名和密码也是有用的,所以我可以lockingpipe理员密码。 所有的机器都将运行Windows 2008 R2,他们都将运行Windows防火墙,所以我需要能够让其他机器连接到这台服务器,但locking其他人。 所以我的问题是:什么端口,我需要让机器连接到域控制器了?
他们在这里说: 我们发现我们必须禁用UAC,重新启动,然后我们才能够应用权限。“ 我已经运行msconfig但我看不到在哪里可以禁用UAC。
是否有可能允许任何IP使用MySQL连接到Amazon RDS实例? 根据评论中的要求解释我的情况: 默认情况下,Amazon RDS将阻止传入IP未在AWS安全组“白名单”中列出的所有传入连接。 但是我在我的工作站上使用3G连接,所以我的IP地址总是在变化。 我不想每次使用新IP连接到3G时更新安全组“白名单”,以便能够连接到我的RDS实例。
我们正在考虑改变的一个安全stream程是我们允许用户访问我们的服务器的方式。 我们有大约20台Web服务器,其中唯一的访问是SSH,而目前我们使用密码authentication。 使用基于密钥的身份validation更安全,我必须考虑如何最好地pipe理这个过程。 如果我们有8个使用不同机器的远程用户,我们如何控制密钥authentication,因为每台机器都需要密钥到服务器。 pipe理是在客户端还是服务器端完成的? 当用户更换笔记本电脑或尝试从不同的机器/位置远程login时会发生什么? 除了这个,我们正在看: 更改SSH端口我们已经禁止了root用户使用PAM白名单IP来访问google-authenticator服务器? 安全的服务器跳转SSH服务器? 还有什么错过了?
免责声明:我不是DBA。 我是一个数据库开发人员。 DBA刚刚向我们的数据pipe理员发送了一个报告,并计划从一堆服务器上的sysadminangular色中删除NT AUTHORITY \ SYSTEM帐户。 (可能违反了他们收到的一些审计报告)。 我看到一个MSKB文章说,不要这样做。 从我可以告诉读取networking上各种不同的信息,甚至当SQL Server和代理服务等都运行时,一些特殊的服务/操作(卷拷贝,全文索引,MOM,Windows Update)也使用这个帐户专用帐户下。
目前,我们正在通过运行CentOS的服务器上进行PCI合规性评估。 我们正在build议的修复中遇到很多“严重”的问题。 纠正这些问题的build议主要是将软件包更新到最新版本。 好的build议我想,直到我运行“sudo yum update”,然后再次运行扫描,令人沮丧的问题没有消失。 我与我们的托pipe服务提供商(这是一个专用的服务器)交谈,他们说,尽pipe版本是最新的,它会有各种补丁修复已知的安全问题。 他们build议为软件包运行changelog命令,然后提出扫描中标记的每个严重问题。 所以我就为第一个问题创build了一个呼吁,并要求提供包的版本,补丁级别和我觉得我们免除的原因。 那么,在CentOS中,显示每个安装包的版本号和补丁级别的最简单的方法是什么?