使用ESXi v5.1和vSphere,我的networking设置如下: 一个标准的交换机:vSwitch0 vSwitch0具有一个上行链路物理适配器(连接到Internet) vSwitch0 VMnetworking有3个虚拟机(Web可访问) 我想添加几个“内部”虚拟机,只能访问3个面向vSwitch0的公共虚拟机。 我应该怎么做? 我知道我可以添加一个没有绑定到物理上行链路上的另一个“内部”vSwitch,然后使用双归属的“网关”虚拟机,但似乎应该有一个更简单的方法。 我可以通过networking设置严格执行吗? 如果是这样,怎么样? (请随时使用你需要的任何IPscheme来说明你的答案) 非常感谢!
寻找一些(* nix)软件,它将在服务器上build立一个“感兴趣的”文件的索引,并在某些文件内容被修改或者出现新文件时通知它们。 与rkhunter等人类似,但较less关注系统二进制文件,更多关注通过web提供的可执行文件。 任何build议?
我想限制Fedora机器上的失败重试次数为5.我想我可以用PAM来完成。 但是无法做到这一点。 我已经提到这篇文章来做到这一点 http://www.puschitz.com/SecuringLinux.shtml 请提供build议
我有一个Win2k8R2服务器configuration为PDC和terminal服务(是的,我知道。)。 我的经理希望用户能够使用开始菜单 – > Windows安全 – >更改密码来重置自己的密码。 原则上我不这样认为。 他试图改变自己的密码,只能遇到“你的密码不符合复杂性规则”的消息。 我已经从另一个帐户testing相同的方式,也不能更改无特权用户的密码。 我可以通过使用Active Directory用户和计算机作为我的帐户(pipe理员,以及企业和域pipe理员)login,然后重置其密码来更改用户的密码。 如果他们想重新设置密码,我很高兴他们来这样做,我们是一个8人左右的小团队,这不是一个大任务。 但是,即使通过编辑组策略禁用密码复杂性,用户仍然不能更改自己的密码。 问题: 我错过了什么魔法设置来允许他们更改自己的密码? 这是正常的用户必须访问pipe理员密码重置? (这是在我工作过的其他几家公司工作过的) 有一个更好的方法吗? 我不喜欢有不安全的密码。
我一直在build立规则集来检测和阻止DNS放大攻击。 我卡住了,希望能在这里find帮助。 我会在这里发布我所拥有的(bash脚本,涉及DNS的部分): IPTABLES='/sbin/iptables -v' SERVERIP=abcd echo '################ Previously initiated and accepted exchanges bypass rule checking #' $IPTABLES –append INPUT -m state –state ESTABLISHED,RELATED –jump ACCEPT echo '################################################ Allow unlimited outbound traffic #' $IPTABLES –append OUTPUT -m state –state NEW,ESTABLISHED,RELATED –jump ACCEPT echo '################################################################## Rules for DNS #' # DIG ANY ISC.ORG attack preventer. # […]
问题: 我们有许多dev / qa / prod RH / Solaris服务器,它们之间有多个拥有ssh信任的帐户,包括不同环境中的服务器(prod-> prod,还有qa-> prod)。 我知道这是一个不好的做法,我试图解决它的第一步是要了解哪些帐户可以ssh到哪些其他帐户没有密码框。 我的方法是login到指定服务器列表的shell脚本, sudo通过/ etc / passwd文件获取所有帐户和主目录的列表,查看后者是否存在.ssh和id_rsa.pub和/或id_dsa.pub和authorized_keys并将每个帐户每个帐户的这些信息输出到运行脚本的机器上的stdout 。 用户可以指定一个密钥供ssh使用,这不是默认的事实是一个公认的限制。 (我假设情况并非如此) 然后使用输出创build一个HTML页面,其中包含从上面的输出创build的JavaScript对象{username,machine_name,rsa_key,dsa_key,authorized_keys []},并使用JQuery(或类似的)显示层次结构(tbd如何)。 我的问题是,解决这类问题是否已经存在? 如果没有,我的方法的任何意见将是受欢迎的。
我目前使用没有密码短语的服务器SSL证书来允许Apache无人值守启动。 有客户的迹象要求我们更安全地保护SSL证书。 我不确定他们的目标是什么,但现在我想他们不希望在磁盘上存在不受保护的SSL证书。 我想我不能避免在Apache内存中明确表示,但让我们假设这是可以接受的。 我想出了一个精心devise的系统,在内部服务器上(即不在一线networking服务器上)保存进程内存的口令,并使用Apache SSLPassPhraseDialog( http )将其传递给前端服务器://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslpassphrasedialog )。 内部服务器在启动时必须input密码,我们将有多个这样的服务器进行负载均衡以实现高可用性。 我的问题是: “大男孩”如何保护他们的SSL证书? 他们只是强迫他们的东西在服务器重新启动时input密码短语,还是像我们其他人那样保持密码不encryption? 我对开源的经验是,有人很有可能已经解决了我面对的任何问题 – 这样的系统已经可用了吗? 从业务水平的angular度来说,仅仅说我们保持证书不encryption,并且只是在被盗的情况下迅速撤销证书,是否合理呢?
我有活动目录2003和Windows XP在客户端上运行,所以我不希望我的任何用户在他们的PC上有任何pipe理员权限,我已经给他们本地pipe理员权限所以,没有去每台PC,并手工删除。 如何使用GPO从本地pipe理员权限中删除我的用户? 任何意见,将不胜感激
可能重复: 有什么我可以做的关于谁指着我的IP地址的人? 我现在正在运行一个专用的服务器和自己的静态IP。 几个星期前,我注意到浏览日志时出现了一些域,我想知道为什么。 经过一段时间,我注意到这是一个完整的DNS-A主机名,指向我的IP。 有人会这么做的原因是什么? 有什么我应该担心或记住的? 其实 – 我不介意,尽pipe我宁愿运行没有任何主机名(只有IP)的服务器。
通过我迄今的(短)工作经验,从实施的angular度以及如何pipe理SELinux,我已经获得了相当多的SELinux工作知识。 我个人对SELinux有一些疑虑,比如在很多方面似乎过于复杂,似乎安全性似乎很难理解。 所以,我想知道这个行业对SELinux有多热情。 你在你的生产服务器上使用SELinux吗? 如果是这样,你有什么样的成功? 没有严重泄露细节,但你是否为一个与政府有关的组织(DoD / DoJ,国防承包商等)工作? 有非政府公司认为有用吗?