服务器 Gind.cn

Articles of 安全的

我是否需要使用iptables过滤OUTPUT专用防火墙盒?

我已经知道如何使用iptables设置防火墙,但在IT安全部门访问后,他们说我需要过滤OUTPUT ,但是对我来说,这是没有意义的,我真的可以find一个场景,我需要做的是。 所以,这是我的第一个问题: 我真的需要过滤OUTPUT ? 我的OUTPUT默认接受所有,没有规则。 这是一个安全漏洞? 他们还说,我有规则,代表安全违规,我不同意这一点。 以这个FORWARD为例: -P FORWARD DROP -A FORWARD -m state –state ESTABLISHED -j ACCEPT -A FORWARD -s XX.XX.XX.XX/24 -d XX.XX.XX.XX/32 -p tcp –dport 80 -j ACCEPT 他们表示接受ESTABLISHED而没有指定source和destination并且作为第一条规则是安全漏洞 。 真? 这是另一个安全漏洞吗? ACCEPT ESTABLISHED而不指定source和destination是不好的做法?

如何共享或encryption敏感的git回购

我的组织正在使用Openshift来运行多个应用程序。 到目前为止,我们的策略是始终将敏感值(DB密码,API密钥等)存储在环境variables中,而不是代码库的一部分。 但是,每个包含Dev,QA和Prod实例的多个项目都会导致需要pipe理许多环境variables。 为了解决这个问题,我为我们编写了一些工具,以便能够跟踪YAML文件中的variables,然后声明性地将它们应用到Openshift的deploy-config。 到目前为止,这些YAML文件都坐在我的工作站上的仅限本地的git仓库中。 但是,这对开发团队中的其他人来说显然是不利的。 然而,像处理所有其他的git回购,并把它推到Gitlab或Github似乎是无法接受的风险。 也许我们可以编写git钩子,在提交之前自动对文件进行GPGencryption,并在提取后解密? 在团队间如何存储和分享敏感回购的最佳实践方法是什么?

将系统pipe理员angular色授予需要执行特定任务的服务帐户是否危险?

我试图设置Amazon DMS将数据从我们的生产SQL Server实例(当前运行在专用的EC2实例中)复制到Redshift中,以实现数据仓库目的。 DMS文件明确指出 : AWS DMS用户帐户必须在要连接的Microsoft SQL Server数据库上具有sysAdmin固定服务器angular色。 Windows身份validation不受支持。 这与我们的DBA有关。 他们警惕用sysadmin权限创build一个帐户(sql或AD),然后将该权限授予第三方服务。 虽然我理解这个问题,但我倾向于相信亚马逊,创build服务帐户,并继续我的一天。 他们build议设置一项作业,在夜间同步之前为该帐户授予必要的sysAdminangular色,然后在作业完成后恢复权限。 这种感觉对我来说是不必要的偏执,如果我们继续复制的话,根本不起作用。 所以我的问题是:创build这样一个账户有多危险(假设其他的最佳实践,例如:安全encryption的密码,受限制的IP地址访问等)? 有没有理由不向前迈进,还是这只是做生意的成本?

被垃圾邮件发送者使用base64编码进行身份validation的SMTP

在过去一天中,我们使用我们的服务器发现了来自中国的人发送垃圾邮件。 他很可能使用弱用户名/密码来访问我们的SMTP服务器,但问题是他似乎在使用base64编码来阻止我们找出他正在使用的帐户。 这里有一个来自maillog的例子: May 5 05:52:15 195396-app3 smtp_auth: SMTP connect from (null)@193.14.55.59.broad.gz.jx.dynamic.163data.com.cn [59.55.14.193] May 5 05:52:15 195396-app3 smtp_auth: smtp_auth: SMTP user info : logged in from (null)@193.14.55.59.broad.gz.jx.dynamic.163data.com.cn [59.55.14.193] 有什么方法可以检测到他正在使用哪个帐户?

如何通过SSH使用浏览器打开私人文件

在我目前的项目中,我有一些私人的PHP脚本,我也有phpMyAdmin在服务器的私人领域。 有没有在浏览器中打开这些文件? 我目前使用PuTTy隧道,但我不知道如何访问私人文件。 谢谢 :) 编辑:基本上,我们有我们的web应用程序运行在web_root(httpdocs在这种情况下)。 我们还创build了一些文件,这些文件在服务器webroot的范围之外,只能在本地访问的机器上的一个文件夹中)。 我们想要做的是通过浏览器运行这些php文件作为一个普通的web appication。 请让我知道如果它仍然令人困惑:) 干杯,Diogo

我可以转储/ proc / pid / exe

一个进程侵入我的系统。 我追溯了这个进程ID,并想转储/ proc / pid / exe,以便我可以稍后调查。 请咨询我如何转储/ proc / pid / exe

Windows复制和权限

我已经复制了具有Everyone权限的一个。 重复的文件不具有默认权限以外的这些权限。 我想了解更多关于Windows Copy如何定义ACL的信息。 如果你能在这方面提供一些真实的信息将是有帮助的。

微软修补文件夹

解压缩Microsoft安全修补程序后,我有几个文件夹包含更新的DLL。 对于Windows XP SP3,我有两个文件夹:SP3GDR和SPQFE。 有谁知道这两个文件夹有什么区别? “GDR”和“QFE”是什么意思? 这两个DLL有不同的MD5签名。

iptables对VPS的好处?

假设我有一个很好的更新的Linux VPS,使用apache在端口80上提供HTTP内容。 我可以通过启用IPtables获得什么? 自从机器打开一个端口后,我看不到任何隐晦的收益。 另外,由于机器不断更新,我相信内核安全地处理封闭端口上的传入请求,这是合理的吗? 我听到无处不在,我需要启用iptables,但我没有看到收益。 我错过了什么吗?

如何configurationmysql通过套接字连接?

我的MySQL服务器安装在我的PHP脚本存储在本地主机上。 所以他们说的是正确的,连接到放置在同一台服务器上的php的mysql更安全? 如果是这样,如何configurationmysql通过套接字而不是localhost:3306连接? 谢谢!
Intereting Posts
Firebird备份在Windows上的两个安装失败 通过组策略对象启用WMI和相应的防火墙例外 如何阻止对linux服务器的CONNECT请求 SSL证书被iDRAC7报告为无效 主机只能通过IE访问 Oracle Streams如何防止在分发过程中执行代码? 将计算机从工作组连接到活动目录 Apache Solr:创build基于标签/属性的图像search的好方法是什么? 备份策略:像Time Machine一样在线备份备份 安装Kerio替代EWS? Cisco FWSM – > ASA升级打破了我们的邮件服务器 无法添加域名 无法使用内置CA软件包来validationGoDaddy SHA2 SSL证书 linuxcaching使用情况 处理python支持的触发器?