我们最近经历了一次安全审计,并且在几个有效的和其他有意义的发现中,有一个说明tcpwrapper没有被禁用。 我从来没有使用过tcpwrapper,所以我没有很多的configuration经验。 话虽如此,我一直觉得它不是简单地禁用或启用像一个守护进程。 相反,会创build规则来定义使用它的服务以及哪些服务器不允许访问服务。 默认情况下,如果没有定义,则tcpwrappers被有效地禁用。 我错了吗?
这篇富有洞察力的文章提出,密码不需要非常安全: http : //www.baekdal.com/tips/password-security-usability ? 在这里有一个特定的线,我觉得很麻烦: 实际数量会有所不同,但大多数Web应用程序将无法处理每秒100多个login请求。 大多数Web应用程序是否只需要能够保护每秒100次就可以? 当处理可能受到多个入侵者攻击的分布式系统时,似乎非常低。 编辑更多关于我的问题的解释:根据大多数Web服务器的当前平均性能,在暴力攻击期间可能的最大login尝试次数是多less? 我不是在询问离线密码攻击,有人可以真正发起login尝试。 换个angular度来说,假设你有一个系统不能使用标准或临时帐户禁用的要求(为了防止黑客通过login尝试进入DoS),一个基于Web的系统每秒的实际login尝试次数是非常有用的。
Vista现在似乎支持通过USB磁盘进行自动无线密钥分发。 要看到这个动作,尝试连接到一个安全的访问点(你没有密钥),当它要求一个密钥,插入一个USB驱动器。 它报告驱动器没有所需的信息。 你如何创build这个文件? 分配密钥非常方便 – 事实上,不需要input密钥 – pipe理员出现,插入驱动器,然后离开。 用户永远无法访问密钥,因为它直接进入Windows无线configuration(虽然我想它可以从Windows中提取)。 这是一个简单的文本格式,或者更复杂,如何创build这个窗口内? 它是一个已经足够的已知格式,它也可以用于MAC和Linuxconfiguration? 这是XP使用的格式(但不是Vista的新支持“自动”)? -亚当
“Googlenetworking历史logging趋势”显示了我的最高点击次数(包括前两名)中的四分之一(如下)的url: http://ocean2-4979731.org/page/0.volume http://ocean2-6610805.org/page/0.volume http://ocean2-5267347.org/page/0.volume http://ocean2-23139960.org/page/0.volume 我从来没有见过,也没有访问过这样的网站,确实WHOISsearch显示,这些域名都没有被注册过。 我应该检查一个僵尸networking的感染(也许试图访问更新的URL),还是谷歌只是干吗? (在http://www.google.com/support/forum/p/Web+Search/thread?tid=5797241256dbfcee上,search诸如“ocean2 – *。org”之类的术语几乎没有结果,除了未解答的问题)
我希望能够编码维护脚本远程运行按需。 编辑:好用例:webhooks。 例如,当有人将代码推送到github时,触发CI +分段部署。 如果我要使用安全密码(如aes128 +密码短语)来encryptionshell命令: 例如'mysecretwords cd〜&& mkdir ./something' – >'m4tpWsuiOJT0naKkyWDdNQUKMQ7', 然后允许通过一个url执行该命令: 例如' https://myserver.com/script/m4tpWsuiOJT0naKkyWDdNQUKMQ7 ' url本身包含在服务器上运行的编码命令,只能通过目标服务器解码,并使用密码短语。 我很肯定这是一个非常糟糕的主意:但是出于兴趣,这怎么可能呢? 问这个问题的行为可能是证据不足以安全地做到这一点。
使用共享主机服务(如godaddy inmotion和fatcow)涉及到哪些安全风险?
在某种程度上,我理解将权限限制在需要的范围内的目的,但我并不完全了解将它们打开的可能的危险。 我最关心的Web服务器。 假设在整个系统中777权限的绝对最坏情况。 我可以看到,如果存在安全漏洞,这将自动成为升级漏洞。 还有什么? 除了显而易见的是系统上的其他用户将具有太多访问权限。 注意:我不build议使用松散的权限。 我想了解危险,所以我可以更好地应用设置。
我在CentOS 4上configurationApache 2(大致相当于Red Hat)。 有两个与httpd: apache和www安全相关的用户。 在我看来, apache是Web服务器实际运行的用户,而www是拥有文档根目录中所有文件的用户 。 为什么有单独的用户? 为什么不只是让apache拥有所有这些文件呢?
Windows Vista向上有一个组策略设置来阻止可移动媒体,如USB闪存驱动器和USB移动电话。 然而,Windows XP缺less这样的设置(或者我找不到它),所以我需要一个备用策略来为所有非pipe理员用户帐户会话实施networking范围的可移动媒体阻塞。 是否有我可以使用的独立软件,或自动启用新用户的registry设置? (我们的用户帐户通过Windows Server 2008在一个域内,任何用户都可以login到任何PC)
我有一个5个静态IP块,我将在现场运行交换和Web服务器。 我想知道如果我应该分开networking服务器IP,邮件IP和内部networkingIP。 内部和外部networking分离的最佳实践是什么? 服务器将在DMZ中,在我们的防火墙后面。