获取已安装在我的Debian系统上的软件包的安全更新通知的最简单方法是什么?
我正在从事(志愿服务),目前有7台台式电脑和4台笔记本电脑。 我面临一个新的问题,不知道如何进行。 这非营利有一些访客用户/访客,想连接到无线networking,以便能够上网,但他们不想要一个“开放”的WiFi接入点。 他们想要用户级别的authentication。 基本要求如下: 每个用户将被给予一个用户名(最好有电子邮件)和密码 该组织的秘书可以轻松地添加或删除用户的名单; 这是为了方便来宾用户,因为他们到达和水平。 员工不必login到系统,他们自动login。 我知道如何创build一个使用证书来自动login员工的安全系统,但是人们build议如何pipe理访客访问WiFinetworking? 关键是用户pipe理必须简单!
有一个用户的笔记本电脑被盗或丢失的可能性相当高。 在移动计算机上保护您的数据时,哪些最佳做法/政策是什么? 了解磁盘encryption是必须的,作为ITpipe理员使用用户笔记本电脑时最灵活的产品是什么?
这可能听起来像是一个奇怪的问题,但我刚刚采取了超过80个IPvalidation失败的IP地址,我已经使用在线映射工具对它们进行了映射。 他们都来自中国/韩国…我的问题是,我怎样才能阻止一些IP,这将阻止这些国家被允许向我的机器发出SSH请求,因为它只是填补我的日志和浪费stream量。 如果有帮助,我使用shorewall作为我的防火墙。
我们非常庞大的组织已经制定了托pipe应用程序的标准,该标准规定应用程序及其依赖的所有组件必须位于与操作系统本身不同的专用应用程序卷中。 例如,如果应用程序是用Perl编写的,那么我们需要在应用程序卷内维护一个独立的Perl实例。 其原因在于操作系统和应用程序所依赖的那些组件可能并经常具有冲突的版本要求,并且迫使应用程序维护其自己的资源使得修补操作系统变得更容易。 而且,它确保应用程序数据和日志不会被塞进基于OS的工具所在的位置(例如,这对于httpd尤其重要)。 此外,除非存在有效的文档logging技术原因,否则应用程序进程必须以非特权用户身份运行,而不能以root身份运行。 我们在Linux中已经有了解决方法,这样像Web服务器这样的进程可以作为非特权用户运行,并接受从特权端口(80和443)转发到他们正在监听的非特权端口的连接。 为了透视,我是公司的Unix / Linux SA安全专家,我与平台技术支持专家紧密合作,以维护和执行上面列出的标准。 我的责任的很大一部分是审查通过sudo,这是集中pipe理的特权访问请求。 我们的标准Linux是Red Hat,但Ubuntu和CentOS也被考虑用于云环境。 问题在于,我们目前正在受到来自应用程序团队的请求的轰炸,以便允许他们(通过sudo)使用rpm和yum来安装Linux应用程序,因为供应商要求这样做,并且无法提供任何其他方式来安装应用程序。 这与我们的标准以多种方式冲突: rpm和yum工具必须以root权限运行。 这意味着他们所做的一切都以root身份运行,因此必须经常调整所得到的安装,使其作为非特权用户运行。 包通常指定组件必须安装在根卷中,而不是在指定的卷下。 如果可以指定包树的根,通常供应商坚持认为它保持不变,因为它们只在包中指定的精确环境中进行testing。 最后,rpm和yum从系统可用的存储库中提取依赖关系,虽然我们要求应用程序使用我们的Satellite存储库来获取Red Hat提供的任何东西,但是供应商通常会提供自己的必须包含在软件中的回购。 我的问题是,如何指定或限制在这样的环境中使用rpm和yum,以确保不会发生包冲突,并且可以安全地应用系统安全补丁,而不是完全禁止将这些工具用于应用软件我们到现在为止一直在做这些事情,并发现这是徒劳无功的)?
我最近为一个朋友的业务build立了一个无线networking,他问我是否有什么方法可以“破解”它。 我向他保证,一旦我设置WPA2密钥,这将是非常困难的。 这让我想到,我怎么能确定没有人能够进行某种types的破解? 我知道那里有什么types的黑客,但是我没有实际执行这些黑客的经验。 我基本理解为了执行例如中间人攻击而必须发生的事情,但是如何欺骗受害者的ARP组件来认为攻击者的机器是网关? 这好像需要访问受害者的机器。
我想在我的服务器上configurationiptables,只有特定的端口是打开的。 尽pipe如此,我可以访问,如端口3000,如果我运行一个Web应用程序。 可能是3000开放的原因是什么? 这是命令iptables -nv -L INPUT pkts bytes target prot opt in out source destination 0 0 DROP tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00 0 0 DROP tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW 0 0 DROP tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F 670 302K ACCEPT all […]
我已经有一个Ubuntu 8.04服务器运行,并在互联网上几天….我有端口21和22的FTP和SSH打开…所有其他端口都closures。 我跑了 netstat 并find了这个 Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp6 0 68 10.7.1.71%134645824:ssh 125.211.221.145%8:47777 ESTABLISHED 看起来好像125.211.221.145已经build立到服务器的SSH连接…并正在发送数据包…有人可能build立SSH连接,而无需身份validation? 我在地址上做了反向DNS查找……而且根据这个资源,它似乎从中国变成了… http://www.ipaddresser.com/ 我认为大多数服务器都在阻止像这样的东西,但有这样的人坐在这样的端口是不寻常的? 有没有办法在服务器级别阻止某些IP? 服务器位于思科防火墙的后面。
我一直认为你应该启用MAC过滤来增加WiFi安全(除了使用WPA2)。 现在我发现这篇文章( 无线局域网安全大厅 )说 MAC过滤在安全增益方面花费最多的努力来pipe理,没有ROI(投资回报)。 那么我可以安全地把它关掉,省去麻烦吗?
我想限制访问一台Linux服务器,以便能够获取一组特定的日志。 理想情况下,我希望能够在本地运行rsync从服务器获取日志,出于安全原因,我不希望给用户完整的sshlogin访问权限。