金融服务行业的客户坚持认为,像亚马逊这样的公共云托pipe的SaaS不如私有数据中心的托pipe安全。 但是,我无法find这些安全缺陷可能的具体细节。 我只能想到两点不同: 机器的物理访问和安全性。 思科等人的安全硬件(包检测,入侵检测) 对于(1)AWS已经过审计,以确保硬件的物理安全性。 我可以encryption所有静止数据(硬盘驱动器和数据库)和内部networking(VPC)上的所有数据。 对于(2)思科和梭子鱼提供在AWS中运行的虚拟安全设备。 我可以在Web服务器前面的一层中运行这些。 银行可以使用自己的数据中心的某些安全function,但无法在AWS上进行复制? 谢谢。
在学校里,我们有一台只供学生login并进行计算机科学相关活动的计算机,比如为class级编写C和C ++程序。 在我接手之前,这已经有很多年的时间了。 我最近安装了Ubuntu Server,使其更易于维护和安全。 目前我们根据需要设置用户帐户。 学生sshlogin并完成课堂作业,每个用户存储他们的作品并在他们的主文件夹中播放。 教师将让学生离开他们的工作在一个特定的文件夹提交或类似的东西。 我担心的是一个用户过于探索和探索,或者有人恶意破坏它,破坏了某些东西,从而导致没有其他人能够完成任何工作,导致教员抱怨我,使我看起来像一个坏系统pipe理员因为没有阻止这一点。 (我仍然是一名本科生和他们的怜悯) 学生目前在自己的小组,只能看到自己的家庭文件夹/不能浏览其他学生的文件夹。 教师拥有更高级的帐户,但不是pipe理员帐户。 我不愿意开始改变重要的系统文件夹的权限,担心我可能会破坏一些东西(就像我之前做的那样)。 我可以采取哪些安全措施来确保系统的function,同时确保系统的安全,这样每个人都可以享用和使用它?
在这个问题上会有很多的无知,请耐心等待: 我对标准浏览器 – 客户端到服务器SSL连接的理解包括: 浏览器通过HTTPS连接到服务器 浏览器请求服务器SSL证书 浏览器根据颁发该证书的第三方CA(证书颁发机构)validation证书。 浏览器和服务器通过一个开放的SSL连接进行通话,并且在build立新的连接(即下一个回传)之前不再需要/下载证书。 如果我已经弄坏了它,那么纠正我到目前为止,但现在我试图包围我的头,当SSL连接是从一个服务器作为客户端到另一个服务器充当服务器,而PHP是打电话。 它基本上是一样的过程吗? 客户端服务器是否经历了与浏览器客户端相同的步骤? 在apache环境下,客户端服务器是否需要以某种方式设置?
我有Windows域需要密码策略。 现在没有一个。 任何人都有一个很好的平衡,弱密码和用户密码如此强大,他们只是把它们写下来的反馈? 由于没有人有过期的密码,我想我可以通过从用户帐户中删除“密码永不过期”属性来分阶段进入用户。 这样,我(和帮助台)就不会因为问题/密码重置而受到如此的抨击。 任何反馈?
如果我在客户端validation自签名SSL证书的指纹,是否仍然会发生中间人攻击?
在SQL Server 2005/2008上设置安全性时更安全的选项是什么? 仅限Windows身份validation模式 混合authentication 如果服务器将被许多桌面客户端(胖客户端)访问,或者一些Web服务器将访问它,这有什么关系? 编辑 为什么它更安全? 使用Windows身份validation意味着我们可以避免将连接string放在configuration文件中。 Windows身份validation还允许我们根据他们的NT凭据来控制谁可以访问,当客户端直接连接到服务器时,我认为这是理想的。 有一件事我总是想知道,当所有的客户端都通过代理(如Web服务)时,NT身份validation是多么有用。
我们有越来越多的物理和虚拟服务器,我们需要login。 login通常使用SSH,使用RSA密钥对而不是密码(在SSH设置中closures)。 现在,我们正在设置密码,并随着时间的推移将密钥上传到每台计算机,但这很容易发生。 我们可能很容易错过一个设置,最终导致其中一个团队无法login,或者在没有意识到的情况下打开密码访问权限。 所以我们想集中pipe理这些证书。 它应该设置密码,上传公钥,确保SSH具有正确的设置,并且可以方便地添加新用户或者删除已经离开的用户。 我想一个脚本可以将正确的文件复制到正确的位置,但是当它们散布在整个系统中时似乎很麻烦。 你如何build议我们pipe理这样的证书? 这应该是在每台机器上实现的最低工作。
我经常发现我的IP地址(Google是什么IP)发生了变化,因此SSH接入我的EC2失败,因为它接受来自我的IP地址的SSH。 我有什么select? 1)问我的ISP一个静态IP地址? 2)打开EC2接受来自0.0.0.0/0的SSH – 仅在私钥key.pem文件中继? 3)不断更改我的IP地址在AWS安全组以及我的MongoDB的其他托pipe公司。 还有其他build议吗?
我不是一个DBA,所以不知道任何有关SQL 2005安全设置等。我试图通过从SQL Management Studio生成的脚本生成完整的数据库来设置我们的数据库的空副本。 不幸的是,我不知道有多less选项可以做,而且这个过程的MSFT文档也不是很好。 可以为Schema,Tables,Views和Users生成脚本。 这是我感到困惑的用户,因为我不明白他们如何影响数据库的使用。 我们在团队中有一些开发人员在这个列表中,有些不是,但是每个人都可以在数据库上做任何事情,至less当他们在自己的机器上托pipe时。 我是否需要将这些用户保留在新生成的数据库中?他们做了什么? 我们也有一个dbo用户,他是db_owner,拥有我们的许多模式。 这个dbo用户是什么? 用户拥有模式的意义是什么? 我们使用Schema作为“名称空间”来对我们的数据库中逻辑相关的表进行分组,但是我认为它们比这个更重要吗? 还有一个用户名绑定到这个dbo用户,它是我们的开发人员的Windows NTlogin,但他没有他自己的用户对象在列表中…是否有任何意义呢? 这是坏事吗? 其他用户是guest,INFORMATION_SCHEMA和sys,但我认为这些都是默认值? 对不起,但我是一个SQLpipe理无知,通常把这些东西留在我以前的工作DBA! 谢谢你的帮助。
我禁用SSLv2和SSLv3。 但是我无法连接到失败的远程服务器 客户端和服务器不能通信,因为它们不具有通用的algorithm 在远程服务器和我们的服务器上进行SSL检查( http://www.serversniff.net/sslcheck.php ),并且注意到我们的服务器上没有他们接受的密码。 这怎么configuration? (Windows Web Server 2008) 远程服务器接受的SSL密码: DHE-RSA-AES256-SHA AES256-SHA EDH-RSA-DES-CBC3-SHA DES-CBC3-SHA DHE-RSA-AES128-SHA AES128-SHA 我们的服务器默认接受: DES-CBC3-SHA RC4-SHA RC4-MD5