当为我的网站设置一个EC2实例时,我发现AWS的这个警告: 改善您的实例的安全性。 您的安全小组example-group-1向全世界开放。 在相关章节中,我已经制定了三条规则: Type:SSH Protocol:TCP Port:22 Source: 0.0.0.0/0 Type:HTTP Protocol:TCP Port:80 Source: 0.0.0.0/0 Type:HTTPS Protocol:TCP Port:443 Source: 0.0.0.0/0 由于这个Web应用程序应该从外面获取stream量,这些规则是不是很好? 这个警告是让我偏执我是否失去了一些东西。 在这方面得到专家的意见是很好的。
我已经扩展了访问列表BLOCK,每个整体都有自己的特殊号码。 EX: 1038047 deny ip any host 192.168.38.47 1038048 deny ip any host 192.168.38.48 1038049 deny ip any host 192.168.38.49 1038069 deny ip any host 192.168.38.69 1038077 deny ip any host 192.168.38.77 1038080 deny ip any host 192.168.38.80 公式是1 000 000 + 1 000 * 3_octet + 4_octet,最后一个是 3 000 000 permit ip any any […]
没有使用静态IP地址,是否有可能使思科ASA使用DNS名称而不是IP地址? 例如,如果我想限制DMZ中的主机只能访问一个特定的Web服务,但是这个Web服务可能是全局负载平衡的,或者使用DynDNS或者云,那么ACL如何expression,以便固定的IP地址不是“使用和pipe理员不必打开和closuresIP地址?
我们想要更改Windows默认用户组的文件权限。 问题是,根据windows版本(xp,win 7)和语言,这个默认用户组的名称不同。 有时这个组的名字是“Benutzer”,有时候是“User”。 我怎样才能以编程方式获得这个名字?
我试图configuration我的思科881运行IOS 15允许pptp连接到服务器之外的networking。 我知道PPTP服务器configuration正确,因为a)它是一个客户端的VPN,和b)它从881外部连接时工作。我错过了什么? ! ! Last configuration change at 10:18:57 PCTime Tue Oct 19 2010 by admin ! version 15.0 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname router ! boot-start-marker boot-end-marker ! security authentication failure […]
我想了解ACL,不确定它们在哪里应用。 这是我的例子。 我试图阻止两个VLAN接口之间的通信。 我的源客户端在VLAN 1上,我的目标服务器在VLAN 2上。我想阻止客户端与服务器进行通信。 我只能应用入站ACL。 在VLAN 1接口或VLAN 2接口上应用ACL?
我试图将包含/socket.io/path目录的所有请求路由到一个单独的端口与HAProxy。 这是我的configuration文件: global maxconn 4096 # Total Max Connections. This is dependent on ulimit nbproc 2 defaults mode http frontend all 0.0.0.0:80 timeout client 86400000 default_backend web_servers acl is_stream path_dir socket.io use_backend stream_servers if is_stream backend web_servers balance roundrobin option forwardfor # This sets X-Forwarded-For timeout server 30000 timeout connect 4000 server web1 127.0.0.1:4000 weight […]
我很难在AND操作中configuration多个匹配的路线图。 问题是,两个匹配标准都是针对ACL,而不是ACL。 我想要做的是 route-map TEST permit 10 match ip address 100 match ip address 110 set vrf TESTVRF 我期待以上是符合要求的AND操作。 但是,当我发行show run时,它变成了 route-map TEST permit 10 match ip address 100 110 set vrf TESTVRF 这是由Cisco语法的OR操作。 问题是,如何在路由映射的AND操作中执行多个ACL匹配? 谢谢。
我遇到SFTP和SCP的问题,其中复制的文件不会inheritance远程父目录的权限。 我曾经在服务器上看到类似的问题,其中SFTP / SCP会话的umask被修改,但是,这并不一定解决我的问题,因为有些目录需要有不同的权限。 因此,我不会有一个默认的umask集。 因此,我想强制复制的文件具有远程系统上父目录设置的权限。 基本上,我希望SCP / SFTP以与没有 -p选项的cp相同的方式工作。 目前SFTP / SCP模仿cp -p行为。 这是我想要发生的事情: 1.)用户想要复制文件foo.txt的权限: -rw ——-。 1用户用户0 Feb 29 09:08 foo.txt 2.)用户使用SCP将foo.txt复制到目录/bar下的服务器上。 /bar有权限(setgid设置): drwxrws — + 3 root usergroup 4096 Feb 28 12:19 bar 3.) /bar具有以下facl的集合: 用户:: RWX 组:: RWX 组:用户组:RWX 默认:用户:: RWX 默认:组:: RWX 默认:组:用户组:RW- 4.) foo.txt 应该具有以下权限(和facl): -rw-rw —- + 1 […]
在鱿鱼,是否有可能只启用访问日志logging在特定的ACL? 如果是这样,怎么样? 我们已经做了不lesssearch,无法find正确的conf语法:(