我试图用sudo强制执行特定命令的密码,而不pipe密码是否在第二次input之前。 有没有办法呢? 谷歌上的每一个search结果只是解释如何删除密码提示与NOPASSWD这是好的,但我仍然希望SPECIFIC命令获得密码提示每次他们得到执行,即使密码刚刚进入一秒钟之前。 我的做法是这样的: Defaults !authenticate Cmnd_Alias WITHPW = rm -R, shutdown, Defaults:WITHPW authenticate 有人可以解释,如果这是正确的方式,或我能做些什么? 谢谢, 一个/
在提示用户的本地帐户凭据之前,设置一个linux盒子来首先需要一个有效的密钥文件是否可行也是可行的? 我们的设置是我们必须在一台机器上打开ssh到互联网,但只有2个人需要ssh进入它。 我们想把这个坏男孩锁得尽可能紧。 我们已经实现了通常的防火墙,拒绝主机等,但是如果可能的话,我也想把它扔掉。 所有的答复表示赞赏!
这篇富有洞察力的文章提出,密码不需要非常安全: http : //www.baekdal.com/tips/password-security-usability ? 在这里有一个特定的线,我觉得很麻烦: 实际数量会有所不同,但大多数Web应用程序将无法处理每秒100多个login请求。 大多数Web应用程序是否只需要能够保护每秒100次就可以? 当处理可能受到多个入侵者攻击的分布式系统时,似乎非常低。 编辑更多关于我的问题的解释:根据大多数Web服务器的当前平均性能,在暴力攻击期间可能的最大login尝试次数是多less? 我不是在询问离线密码攻击,有人可以真正发起login尝试。 换个angular度来说,假设你有一个系统不能使用标准或临时帐户禁用的要求(为了防止黑客通过login尝试进入DoS),一个基于Web的系统每秒的实际login尝试次数是非常有用的。
我们目前有几乎事实上的标准,要求在我们的Windows AD域上使用复杂的密码。 但是这个XKCD卡通片在几个月前引起了我的注意,当时我想Coding Horror: http://xkcd.com/936/ 有没有人更改过他们的密码政策,即需要一个长的短语,而不是一个非字母字符较短的一个? 如果是这样,你有没有第三方审计的问题? 我们经常接受我们的制药客户的审计,我不确定他们会买这个。 这对我来说很有意义 – 特别是当发现密码被写下来,因为它们不能被记住。
我已经在电脑上安装了OS 11 x64,以评估这是否可以成为我的48TB家庭存储arrays新系统。 我有一个非常基本的问题:我不知何故无法使用安装时创build的pipe理员密码访问root。 我目前以pipe理员@ solaris的身份login,但为了configurationzfs等,我需要root权限。 如何重置root密码或暂时将其删除? 谢谢,丹
我有一个GPOconfiguration为在某些机器上更改本地内置pipe理员密码。 我需要find哪些机器将GPO应用于自己。 我已经写了一个脚本,试图在几个系统上的密码,一些有这个密码和一些不。 我有很多机器可以通过,并尝试所有的密码不会为我的老板工作。 有没有办法,给予只有访问\ DC1 \ SYSVOL \ domain.com \ Policies …文件,我可以确定: 这个策略应用到的本地用户名是什么? 什么机器包含这个本地用户? 如果我不能确定只是使用SYSVOL共享访问,我需要什么级别的访问才能获得所需的信息? 我的老板正在为此而喘不过气来,而且我感觉不到我的联赛。 感谢您的任何意见或帮助,
作为负责任的pipe理员,我们知道这些常见的弱点 CWE-260:configuration文件中的密码http://cwe.mitre.org/data/definitions/260.html CWE-522:证书得不到充分保护http://cwe.mitre.org/data/definitions/522.html CWE-257:以可恢复格式存储密码http://cwe.mitre.org/data/definitions/557.html 但是,我们如何在实践中处理这个问题呢? 当然,通过SSH等密码authentication技术和sudo等工具,可以摆脱重要位置存储的login凭证,这在Linux服务器的自动部署过程中确实有帮助。 但是,一旦离开操作系统并安装应用程序,就很有可能遇到安全存储密码的问题。 例如,如果安装数据库服务器,则很可能需要将明文密码保存到Web应用程序的configuration文件中。 然后,您应该保护configuration文件,以便只有pipe理员才能查看凭据,并且应该限制数据库用户的访问权限,以限制可能的安全影响。 但是,如何处理主要的pipe理数据库帐户? 至less你的dbas应该知道它(所以你需要明文的地方),作为操作系统pipe理员,你不应该知道凭据。 或者部署由devops完成,他们不应该知道生产服务器上的任何凭据。 可能的解决scheme 经过长时间的思考,我提出了三种可能的解决scheme,但都有自己的弱点: 在部署期间生成随机凭据,并以一次写入的方式将其存储在数据库中。 而dbas有另一个用户可能只读取数据库凭证。 但是,如何处理例如webapps的configuration文件中的明文密码? 根用户可以阅读它们。 此外,密码数据库的根用户可能会读取所有密码凭据。 在部署过程中接受明文密码和默认凭证,并添加一个可更改任何和所有密码的附言。 甚至在授权人员必须在脚本的运行时input凭证的情况下也可以进行交互。 用可信赖的第三方的密钥不对称地encryption密码。 当密码被请求时, 必须在之后改变。 你怎么看? 你看到这里有什么最佳实践吗?
我们一直在尝试迁移到我们的服务器上更好的密码pipe理系统。 问题是,所有这些日子里,我们正在使用专有的algorithm来创build一个哈希(一个可解密的哈希)。 为了与Linux的进步保持一致,我们决定将其改为单向散列,以提高安全性。 但是ipmitool做客户端HMAC SHA1匹配,而不是让服务器做哈希匹配。 有没有实现那里不会杀死所有的逻辑和ipmitool的方式来pipe理用户身份validation(通过从服务器请求SHA1哈希)? 反正我们可以使用ipmitool而不使用可解密的哈希?
我想在我的系统(Ubuntu 14.04 x64)上设置一个用户,以便人们可以运行ssh [email protected]并查看某个程序的某些输出,而不需要提示input密码或者必须具有ssh密钥。 以下是我迄今为止所做的: 通过adduser example –shell /path/to/my/program创build了我的程序的example用户 在/home/example/.hushlogin创build一个空文件来/home/example/.hushlogin motd和其他login消息 事情正在处理的例外,我必须完成密码提示authentication的挑战,我想绕过,因为这将是一个公众可用的服务。 大概自定义/etc/pam.d下的PAMconfiguration可能会诀窍,但我需要一些指导的细节。 我希望此更改只影响此特定用户帐户,而不是系统上的每个帐户。
我目前正在使用CVS pserver进行代码pipe理。 但是,我忘了密码是什么。 有没有办法可以重置我的密码? 我很确定密码是以某种方式encryption的(可能是MD5?)。 我做了类似的问题的search,但没能find任何。 如果这是重复的,请让我知道,我会把它记下来。