我正面对雪豹的一个非常奇怪的情况。 我有一个Linux服务器,configuration为接受只通过RSA密钥authentication的ssh连接。 没有密码。 在我的笔记本电脑上,我用ssh-keygen正确部署了RSA密钥,而当我这样做时,我添加了一个密码短语。 然后我移动了Linux服务器上的id_rsa.pub .ssh / authorized_keys。 到现在为止还挺好。 现在我尝试从我的Snow Leopard笔记本电脑login到Linux机器上。 我得到一个窗口popup窗口询问我的密码。 这是令我惊奇的第一件事情,因为我预料到了一个shell密码请求,而不是一个popup窗口。 根据此popup窗口中的详细信息,请求密码的应用程序是ssh。 此外,还有一个选项“记住钥匙串中的短语”,该选项被禁用。 我input我的密码。 popup消失,terminal正确login到Linux机器。 现在,如果我注销,并再次尝试SSH,login发生没有任何密码的请求,这不是我想要的。 我检查的东西: 没有任何东西被保存到钥匙串中。 浏览了一下,什么也没find。 如果我closures/退出terminal,并打开一个新的,我仍然没有要求密码,并没有任何查询sshlogin。 如果我从MacOSX会话注销并重新login,则在下一次尝试时请求密码,并再次popup一个对话框。 然后它不再被要求。 密码存储在哪里? 到底发生了什么事情,以及如何在每次ssh尝试时强制使用密码的请求?
有没有办法我可以审计AD来检查一个特定的密码? 我们曾经为所有新用户使用“标准”密码(例如MyPa55word )。 我想确保在我们遗产的任何地方都不再使用它。 唯一可以考虑如何做到这一点的方法是:a)以某种方式审核目录中的任何用户使用此密码或b)设置一个GP,明确禁止此密码(理想情况下,这将提示用户重置密码。 ) 任何人有任何提示,我可以如何处理这个? 钽, 本
我想阻止其他人看到我的端口在nmap标准扫描(非特权)过滤。 假设我打开了以下端口:22,3306,995和一个像这样configuration的防火墙: -A INPUT -p tcp -m tcp –dport 22 -j DROP -A INPUT -p tcp -m tcp –dport 3306 -j DROP -A INPUT -p tcp -m tcp –dport 995 -j DROP 这是nmap扫描的结果: [+] Nmap scan report for XXXX Host is up (0.040s latency). Not shown: 90 closed ports PORT STATE SERVICE 22/tcp filtered ssh […]
我们是一个拥有2008R2域的小公司,在这个域上我们有一个带有几个共享卷的文件服务器。 我们在域pipe理员angular色中有许多IT人员,因为我们全天候都在24小时内随时待命。 但是,最近成为公司政策的一个问题是,有些文件夹或文件(工资数据,绩效评估,会计信息)应该是保密的,包括IT员工。 这还包括备份(磁带和磁盘)上的数据。 到目前为止我们已经发生的事情: * EFS – 但我们必须build立一个PKI,这对我们公司的规模有点矫枉过正 * TrueCrypt – 但这会导致并发访问和search能力 *从ACL中删除域pipe理员 – 但这是非常容易的(点击一下)绕过 *删除使用域pipe理组,并更明确地委托权限 – 但这又有点矫枉过正,我们希望减less对共享帐户(例如,MYDOMAIN \pipe理员)的需要,因为审计原因 我相信这不是一个新奇的问题,而且好奇的是,有这样的要求的人如何处理它? 有没有我们还没有考虑过的选项? 谢谢!
我有一个公开的网页,只是有 <?php phpinfo(); > 我们在testing阶段将其用于debugging目的,但是在将其存活的情况下,是否有任何伤害?
有没有办法在使用mod_ssl时禁用Apache 2.2.x中的SSL / TLS压缩? 如果不是的话,那么人们为了减轻旧版浏览器中CRIME / BEAST的影响,正在做些什么呢? 相关链接: https://issues.apache.org/bugzilla/show_bug.cgi?id=53219 https://threatpost.com/en_us/blogs/new-attack-uses-ssltls-information-leak-hijack-https-sessions-090512 https://security.stackexchange.com/questions/19911/crime-how-to-beat-the-beast-successor
一个Ubuntu服务器托pipe3个应用程序全部在不同的域。 每个应用程序都有自己的开发者 应用程序开发人员属于Linux“sftp”组。 chroot允许每个应用程序开发者的密码sftp访问。 /home/app1/prod /home/app2/prod /home/app3/prod 在sshd_config Match Group sftp PasswordAuthentication yes ChrootDirectory %h ForceCommand internal-sftp AllowTcpForwarding no 我们担心的是一个应用程序中的编程漏洞会导致其他两个应用程序出现问题。 我们应该使用lxc容器而不是chroot吗? 为什么? lxc容器的更改对于应用程序开发人员是否透明?
我刚刚买了一个SSL证书,这里是我得到的所有证书文件: Root CA Certificate – xxCARoot.crt Intermediate CA Certificate – x1.crt Intermediate CA Certificate – x2.crt Intermediate CA Certificate – x3.crt Your EssentialSSL Wildcard Certificate – mydomain.crt 现在在apache上安装我的证书: 我需要公开根CA证书吗? 由于Apache只允许1 SSLCertificateChainFile指令,我应该创build中间CA的捆绑文件? 如果是这样。 将包文件中的证书顺序颠倒如下: 猫x3.crt x2.crt x1.crt> myca.bunndle 如果必须添加根证书,它是否进入最后(在z1之后)或者第一个(在x3之前)包中(假设顺序是正确的)?
在/etc/ssh/sshd_config ,有一个名为AcceptEnv的选项,允许ssh客户端发送环境variables。 我需要能够发送大量的环境variables。 这些在客户端的每个连接上都会发生变化,所以把它们放在服务器上的login脚本上会比较困难。 我读过"AcceptEnv *"是不安全的。 我想了解为什么在我尝试获取所有试图设置的环境variables的列表之前。 为什么它被认为是不安全的? 我能举个例子吗?
在工作中,我有一堆使用普通http或自签名证书(负载平衡器pipe理接口,内部wiki,cacti,…)的Web界面。 没有可从特定的vlans /networking到达。 对于家庭使用,我使用cacert SSL证书。 我想知道是否应该build议我的雇主使用cacert SSL证书而不是自签名证书和普通的http。 任何人在生产中使用cacert ssl? 什么是亲/缺点? 它提高了安全性吗? pipe理更容易吗? 什么意外? 它可以影响扫描吗? 我怎样才能说服他们? 当然,公共网站的支付证书将保持不变。 编辑: (只是好奇)从公司免费ssl证书似乎不是第3类。我必须显示我的护照,并在身体礼物从cacerts 3级。 浏览器中是不是每个class 1都有警告? 无论如何,我会有任何免费的CA相同的问题:是否比使用自签名和普通的http更好, 为什么 ? 我会为了便于pipe理而做到这一点,服务器端。 我错过了什么? 免责声明 :我不是一个cacert协会成员 ,甚至没有Assurer,只是一个普通的快乐的用户。