我有一个公司内部应用程序放置在Windows Server 2003服务器上的networking共享文件夹中。 需要访问此文件夹的用户具有适当的权限,可以列出目录内容,保存文件,打开和修改文件等。本质上,用户需要使用此文件夹的所有内容都可以在没有密码提示的情况下访问(networking共享是通过login脚本在本地工作站上创build的), 除非试图运行一个程序。 用户通过放置在桌面上的快捷方式访问该程序到应用程序位置。 任何(有限的)不是试图运行该应用程序的域或本地帐户pipe理员的用户都会被提示inputpipe理员密码。 此networking共享中没有其他操作提示用户inputpipe理员密码。 我需要有限的帐户用户访问这个应用程序, 而不必在每次尝试运行时都提示input密码。 Windows Server 2003和Windows 7将允许设置兼容模式,因为Compability modes cannot be set on this program because it is located on a network drive.设置兼容模式, Compability modes cannot be set on this program because it is located on a network drive. 由于最终用户的请求,程序经常变化。 然后重新编译并放回到networking驱动器上以供使用。 没有将程序放置在每台计算机上,或给予有限的用户pipe理权限,我怎样才能使Windows 7运行此程序而不提示input密码?
有时我想使用Ansible的lineinfile或blockinfile模块将密码写入某个configuration文件。 如果我这样做,整个行或块,包括密码,结束了我的syslog 。 由于我不认为syslog是一个安全的地方存储我的密码,我怎么能告诉Ansible不要泄漏我的密码到syslog ? 我希望有办法做到这一点,否则我会认为这是Ansible的一个很大的安全问题。 您可以使用以下ad-hoc命令重现它: ansible localhost -m blockinfile -a 'dest=/tmp/ansible_password_leak create=yes block="Password = {{password}}"' -e 'password=secret' 这是什么在syslog结束: ansible-blockinfile: Invoked with directory_mode=None force=None remote_src=None insertafter=None owner=None follow=False marker=# {mark} ANSIBLE MANAGED BLOCK group=None insertbefore=None create=True setype=None content=None serole=None state=present dest=/tmp/ansible_password_leak selevel=None regexp=None validate=None src=None seuser=None delimiter=None mode=None backup=False block=Password = secret 例如,我使用的是Debian“Jessie”8系统上的Ansible Ubuntu […]
如果我更改Microsoft SQL Server的SA密码,是否可以在日志或跟踪中看到某个应用程序是否正在尝试使用旧密码login?
我目前使用没有密码短语的服务器SSL证书来允许Apache无人值守启动。 有客户的迹象要求我们更安全地保护SSL证书。 我不确定他们的目标是什么,但现在我想他们不希望在磁盘上存在不受保护的SSL证书。 我想我不能避免在Apache内存中明确表示,但让我们假设这是可以接受的。 我想出了一个精心devise的系统,在内部服务器上(即不在一线networking服务器上)保存进程内存的口令,并使用Apache SSLPassPhraseDialog( http )将其传递给前端服务器://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslpassphrasedialog )。 内部服务器在启动时必须input密码,我们将有多个这样的服务器进行负载均衡以实现高可用性。 我的问题是: “大男孩”如何保护他们的SSL证书? 他们只是强迫他们的东西在服务器重新启动时input密码短语,还是像我们其他人那样保持密码不encryption? 我对开源的经验是,有人很有可能已经解决了我面对的任何问题 – 这样的系统已经可用了吗? 从业务水平的angular度来说,仅仅说我们保持证书不encryption,并且只是在被盗的情况下迅速撤销证书,是否合理呢?
我在Puppet中设置了我的Baculaconfiguration。 我想要做的一件事是确保每个密码字段是不同的。 我目前的想法是用主机名散列一个秘密值,以确保每个文件守护进程都有一个唯一的密码,并且该密码可以写入导向器configuration和文件服务器。 我绝对不希望使用一个通用密码,因为这可以让任何可能危害一台机器的人通过Bacula访问任何机器。 除了使用散列函数来生成密码之外,还有其他的方法吗? 澄清: 这不是关于服务的用户帐户。 这是关于身份validation令牌(使用另一个术语)在客户端/服务器文件。 示例代码片段: Director { # define myself Name = <%= hostname $>-dir QueryFile = "/etc/bacula/scripts/query.sql" WorkingDirectory = "/var/lib/bacula" PidDirectory = "/var/run/bacula" Maximum Concurrent Jobs = 3 Password = "<%= somePasswordFunction =>" # Console password Messages = Daemon }
从任何服务升级到Debian 7.4密码authentication后需要很长时间。 对于SSHlogin,通过dovecot进行sudo'ing和身份validation(configuration为使用PAM),这是正确的。 我能够反向查询DNS条目,这似乎不是问题。 这感觉就像一些authentication机制运行到超时。 我试图启用pam_debug,但是我没有看到任何debugging输出。 下面是一个例子,需要多长时间才能完成一个sudo(在sudocaching密码的时候提供密码提示,它会立即生效): ceicke@h1633420:~$ time sudo who [sudo] password for ceicke: ceicke pts/0 2014-08-01 09:19 (80.131.XXX.XXX) real 0m27.976s user 0m0.009s sys 0m0.014s 同时用我的私人密钥SSH进入箱子立即工作。 所以真的密码检查过程需要很长时间。 我还有什么可以尝试的,特别是因为PAM模块非常默默无闻。 更新#1 这里是strace的输出: http : //pastebin.com/dRvqsrcd 有很多 time(null)的调用time(null) ,我猜得到当前的Unix时间戳。 似乎有些事情正在主动检查超时。 我注意到两件事情: time(null)调用往往是打开/dev/urandom ,可以是我的服务器正在等待收集足够的熵? 在各个地方有很多对krb5的引用。 我不使用Kerberos进行身份validation,我可以简单地从我的pam configs中取出pam_krb5.so吗? 我没有很多准备strace输出的经验,也许你可以看到更多? 更新#2 服务器上的熵值相当低,在100-200之间。
我想为sshdvalidation用户的公钥,然后提示input密码,而不是一个或另一个。 这可能吗?
我有我的SSH服务器设置为只使用密码身份validation禁用公钥身份validation。 当通过木偶添加用户时,我想禁用用户密码。 到目前为止,我已经提出了这似乎工作,但我不知道这是多么安全: user { 'john': ensure => 'present', comment => 'John Smith', groups => ['adm','sudo','wheel','users'], home => '/home/john', managehome => true, shell => '/bin/bash', password => '*', } 正在使用password => '*'定义被认为是安全的禁用用户密码?
我认为我的问题归结为事实是关键的问题,但我不能解密它,进一步调查,不parsing它。 但我不确定。 我正在尝试使用标准方法: openssl rsa -in ./id_rsa -out ./id_rsa.decrypted 我想我知道密码,因为当我input错误的时候,我得到: Enter pass phrase for ./id_rsa: unable to load Private Key 140256774473360:error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt:evp_enc.c:544: 140256774473360:error:0906A065:PEM routines:PEM_do_header:bad decrypt:pem_lib.c:483 “ 坏解密 ”很清楚。 现在,当我input我似乎很好的密码时,我回来了: Enter pass phrase for ./id_rsa: unable to load Private Key 139662870623888:error:0D07207B:asn1 encoding routines:ASN1_get_object:header too long:asn1_lib.c:153: 139662870623888:error:0D068066:asn1 encoding routines:ASN1_CHECK_TLEN:bad object header:tasn_dec.c:1314: 139662870623888:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 […]
我今天login到一个网站,发现这个消息: 作为新安全系统升级的一部分,我们要求所有现有客户更改密码以加强对他们私人信息的保护。 我们build议使用一个很容易记住但很难让别人猜测的密码。 请注意新密码应该在8〜16个字符之间,特殊字符“”,“”,“;”,“|”,“?”,“<”,“>”,“^”,“ “,”:“,”=“和”#“是禁止的,谢谢您的理解和配合。 16个字符可能足够长,但是我没有看到长度限制的好理由。 对我来说更有趣的是不允许某些特殊字符。 虽然我听说其他只允许字母数字字符的网站,但这个scheme仍然有很多特殊字符。 为什么我的密码的内容对哈希algorithm有影响? 这只是一个散列,或散列的base-64编码,对吧? 这个政策是否危及我帐户的安全? 有没有一个特定的密码处理程序不能处理字符集',";|?<>^*:=# ? 我应该关心网站上其他地方的安全政策吗?