根据SANS和其他人的build议,以减轻散列转储和其他攻击,我正在使用组策略来定义“debugging程序”用户权限分配。 如果没有启用,默认的策略是允许本地系统和pipe理员的权限,我想从pipe理员中删除这个权限(我们没有运行集群服务,据我所知,这是关于你的唯一原因, d需要pipe理员拥有它)。 我想知道是否应该启用此设置并仅添加本地系统,或只启用设置。 即,本地系统是否因为任何原因需要这个特权?
遵循networking上的一些指南,我已经为我的WordPress安装创build了以下.htaccess: # protect the htaccess file <files .htaccess> order allow,deny deny from all </files> # protect wpconfig.php <files wp-config.php> order allow,deny deny from all </files> 加上chmod wp-config.php 600 and .htaccess 644 。 哪种testing方法最简单? 万一,我可以创build一些其他文件来validation工作。 我只想确定一下。
我已经在我的Fedora 12服务器上设置了vsftpd,我想要进行以下configuration。 每个用户都应该可以访问: 他的主目录(/ home / USER); 我为他创build的网页目录(/ web / USER)。 为了达到这个目的,我首先configuration了vsftpd来将每个用户chroot到他的主目录。 然后,我用正确的权限创build/web/USER ,并使用mount –bind /web/USER /home/USER/Web以便用户可以通过/home/USER/Web访问/web/USER 。 我还打开了SELinux的布尔型ftp_home_dir以便vsftpd被允许写入用户的主目录。 除了当用户尝试上传或重命名/home/USER/Web的文件时,这种方式非常有效,SELinux禁止它,因为还必须对/web/USER进行更改,而SELinux不会将vsftpd权限授予写任何东西到该目录。 我知道我可以通过打开SELinux boolean allow_ftpd_full_access或ftpd_disable_trans来解决问题。 我也尝试使用audit2allow来生成一个策略,但是它所做的是生成一个策略,使ftpd可以对public_content_ttypes的目录进行写入访问; 这相当于打开allow_ftpd_full_access ,如果我理解正确的话。 我想知道是否可以将SELinuxconfiguration为允许通过FTP写入特定目录/web/USER及其内容,而不是完全禁用SELinux的FTP控件。
我意外地将/ bin,/ boot,/ etc和/ dev的所有权更改为nobody:nogroup,当我错位正斜杠时,使用chown! 我怎样才能诉诸原来的文件所有权? 我已经设法让他们都根:根,但我不知道是否所有的文件应该由根拥有,如果这会打破什么? 他们是否可以select像在OS X中修复文件权限? 帮帮我!
在我们的实验室,我们有不同的博士生(如我)处理好几种服务。 波动很大,人们在他们的研究职责旁边做这项工作。 到目前为止,服务运行在不同的机器上,具有不同的操作系统设置,可能导致pipe理很快。 我们想巩固我们的服务设置。 我们的主要想法是,负责服务的人不应该再干预底层系统。 除了像NFS和Kerberos这样的核心系统之外,一个典型的服务已经可以作为非root用户运行了。 我在谈论Apache,MySQL,颠覆,与openxchange邮件,等等。 redirect特权端口也不成问题( 来源 )。 剩下的是服务的configuration及其有效载荷。 我们设想的一种情况是,每个服务都有自己的用户和主目录,可由相应的pipe理员访问。 服务的备份和回退很容易,因为服务运行所需的一切都在一个地方。 有没有build立方式来创build这样的设置? 是否存在一个非常独特的方法使服务find他们的文件(而不是在系统目录中),同时仍然使用相应的debian软件包? 我们的想法是否有可能被忽视? 你可能会声称虚拟化是我们问题的答案吗? (在我们的POV中,它不会帮助我们将系统设置与服务设置严格分开。) 谢谢你的任何build议!
我想找出谁创build了一个特定的文件,但我可以在安全选项卡下看到的是pipe理员组被指出为所有者。 这不是很有帮助。 我怎样才能看到谁创build了这个文件? BTW。 跨过这2个链接: http://help.lockergnome.com/windows2/Find-created–ftopict442233.html http://www.eggheadcafe.com/software/aspnet/31793852/find-what-user-created-a-folder-or-file.aspx 但是我很难相信Windows不关心谁创build了一个文件或文件夹。
我在debian上使用apache webserver,处理12个不同的网站。 两天前,我遭受了一次攻击,一名黑客通过ftp在这12个站点之一上传了一个php shell。 关于这个shell,我想知道的是“咩,这只能访问www /文件夹,他不能回去”,但这里的问题,他可以访问到/文件夹,看到所有的文件夹 – 他想要的文件(mailq,用户,所有的网站文件…),他可以浏览所有我的VPS看所有的文件和它的内容(不修改它们!),而无需修改它们。 我一直在想这些最后的日子,我怀疑是www数据权限问题或类似的东西,但找不到任何解决scheme。 那么我怎么能做到这一点,如果我导航site1.com(在我的VPS)我会使用只能访问该目录的用户? 换句话说,如果一个黑客再次上传一个php shell,我希望他不要去查看/var/www/site1.com/www/后面的其他文件 多谢你们!
我的服务器有问题。 在我的内部networking中,我使用Debian Squeeze服务器上的NFSv4将多个networking共享分发给我的客户端。 这些共享使用all_squash选项,因为我希望所有用户都能够在没有任何许可麻烦的情况下读取和写入共享。 但是现在我还需要在我的networking之外授予其他人访问这些股份之一。 通常我会用sshfs来解决这个问题,但是我遇到了一个问题。 所有文件都由nobody:nobody拥有并且拥有权限644。 从networking外部授予某人访问这些文件的最简单或最好的方法是什么? 除了转向一个复杂的设置,如通过VPN的NFS或其他东西。
我在Windows Server 2008上。 我试图使用以下命令在Windows文件夹上为某个用户设置拒绝权限: cacls Windows /E /D sneakyUser 我收到错误消息“访问被拒绝”。 我以pipe理员身份运行命令提示符。 我也试过ICACLS – 没有运气。 icacls Windows /deny sneakyUser:f 这些命令对Windows文件夹中的单个文件起作用,但不在文件夹本身上。 这是行为的devise,还是我做错了什么? 编辑:有趣的是,该命令在Windows Server 2003中正常工作。
我不小心删除了其中一个驱动器属性的“安全”选项卡上的内置/本地pipe理员。 我更改了UAC:用户帐户控制:将pipe理员批准模式下的所有pipe理员都设置为禁用。 我可以单击驱动器属性的安全选项卡上的编辑button。 但是,当我尝试点击应用,它说,访问被拒绝。 有什么办法可以再次添加内置/本地pipe理员? 需要帮助。 多谢你们!