我正在pipe理两台遵循开发和生产机器模型的服务器。 生产机器是剥离的骨架软件,在严格的规则和有限的访问下运行。 然而,开发机器更开放 – 开发人员可以要求安装大部分任何东西(有一些例外),并且他们可以获得无限数量的MySQL数据库用于testing。 然而,在两台服务器上,开发人员必须要求开发机器上通常接受的新用户名/密码/数据库组合,并且只有在Web应用程序完成,打磨,安全并准备起飞时才能在生产机器上接受。 有没有办法在开发机器上创build每个开发人员有权限创build的用户(只是创build,不读取/修改/擦除)具有固定权限设置的模板用户? 这样,他们可以创build自己的新的安全的用户名/密码/数据库,而无需等待我接受他们的查询。 我们的开发服务器暴露在外(所以开发人员可以在家中进行SSH和工作),所以我不想给一个用户很多的权限,因为服务器上托pipe的应用程序的实验性质。 (如果数据库受到威胁,最好的办法是放弃应用程序数据库,而不是用户有权访问的所有数据库)。
这个IBM的SOAP安全网关解决scheme还有其他的select吗? 也许开源软件或其他厂商的硬件?
我使用Ubuntu 10.04并安装了Apache2 HTTP服务器。 在安全页面 @ apache.org文档中,他们build议将文件/usr/local/apache/bin/httpd上的权限更改为511 ,但我不明白为什么? 为什么root用户不能写入该文件? 该文件的当前configuration是: /usr/lib/apache2/mpm-prefork$ ls -l total 1412 -rwxr-xr-x 1 root root 1443482 Apr 13 23:23 apache2 做我目前的configuration为apache2二进制文件被认为是危险的? (请注意,在Ubuntu中,文件path是/usr/lib/apache2/mpm-prefork/apache2而不是/usr/local/apache/bin/httpd )
我在第一个新的VPS上安装了Tomcat 6。 我已经将AccessLogValve添加到server.xmlconfiguration的Tomcat文件中。 在tomcat日志中,我首先看到: xxx.xxx.xxx.xxx – – [04/Mar/2011:23:43:12 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 – "-" "-" 第二天,我去了这个网站(在互联网浏览器)在tomcat日志中的一个请求是与上述logging相同的IP,但与我的User-Agent头像(和会话cookie – 这我检查我的web应用程序日志)。 这是其他2个IP:“GET /w00tw00t.at.ISC.SANS.DFind :)”在晚上重复,然后在第二天劫持一个请求。 这怎么可能? 这3个IP来自2个国家(其中2个是我的VPS所在的国家)。
我已经使用mochiweb和jiffy在Erlang编写了一个Web服务,现在面临将它部署到生产环境中的任务。 既然它将对公众开放,我想知道Erlang实际上是多么的安全,因为这似乎或多或less没有被提及。 Erlang本身就是一个虚拟机语言,所以应该(希望)相当安全,但是很多扩展(如jiffy)都用C语言编写了NIF,因此如果不仔细编写和testing,就更容易发生缓冲区溢出等情况。 所以基本上,我应该如何去保护Ubuntu上的Erlang服务器? 受限用户? AppArmor的? 或者这是矫枉过正?
我需要通过慢速链接(1 Mbps)自动镜像两个unix机器中的大量(TB)文件。 这需要频繁地完成,但数据不会变化太大(delta传输不会使链路饱和)。 通常的解决scheme是rsync ,但还有一个额外的要求:从安全angular度来看,不希望源或目标机器具有(无密钥)ssh密钥或任何types的文件系统访问权限。 这两台机器之间的所有通信都应该通过第三台机器进行初始化(和调解)。 我已经在这里特别提出了一个关于rsync的单独问题。 我还有其他明显的解决scheme吗?
我正在为我的小型VPSnetworking服务器寻找一个精简而有效的IDS / IDP / WAF解决scheme。 目前我已经使用iptables和psad,但很多web服务器扫描尝试通过。 我使用ngingx,但宁愿一个Web服务器独立的解决scheme。 什么将是一个精益和有效的方法来保护我的小型服务器免受持续扫描恶意软件机器人? 最好是低维护 – VPS也不是太强大。 非常感谢提示和build议。
我有两个服务器:一个networking,一个数据库。 数据库服务器在专用networking上。 我以为我需要将Web服务器上的默认OUTPUT限制为DROP,并将OUTPUT规则创build为ACCEPT。但是,当OUTPUT默认设置为DROP时,Web服务器无法访问数据库服务器。 eth0是公开的,eth1是私有的。 我在这里错过了什么? networking服务器 -P INPUT DROP -P FORWARD DROP -P OUTPUT ACCEPT -A INPUT -i eth0 -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -s 10.131.181.201/32 -i eth1 -p tcp -m tcp –dport 22 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp –dport 80 […]
我目前正在build设一个网站。 目前没有人知道它,但它已经可以达到testing目的。 现在我看到,我从俄罗斯(它是一个德国网站托pipe在谷歌应用程序引擎)获得大量的stream量。 交通每天都很稳定。 我试图找出来源,但域名未注册或我无法确定什么网站,因为我不会说俄语。 附上find一个屏幕截图,显示来自谷歌分析的渠道。 这可能是什么? 黑客? 机器人? 我应该担心吗? 我应该采取行动来防止这种stream量?
我试图find一种方法来重命名guest虚拟机名称(而不是操作系统)在vSphere(Vcenter环境)。 我已经设法使用vsphere_guest模块创build一个虚拟机,但我无法find重命名虚拟机的方法 问题或戏剧是这样的 我创build了一些虚拟机,并提供thame名称vi库存文件{{inventory_hostname}} 他们启动安装linux(kix和pxe) 得到DHCP + DNS的dhcp设置播放之前,所以虚拟机可以命名为“host1”,但DNS“host4”,我想改变,所以这将是操作系统名称= host1和vsphere名称= host1 谢谢您的帮助 诺姆