我是Linux新手,我一直在阅读一些关于安全性的教程。 我在StackExchange上看到了一些关于这个主题的问题,但是从我所看到的,没有一个答案为我澄清了一些事情。 我一直在看他们(教程),由于各种原因,build议禁用root ,最重要的是这样一个事实,即拥有root用户的服务器最有可能倒下,如果发生暴力攻击(从我的不足,暴力攻击手段一个自动化的过程,反复尝试使用用户名/密码组合进行身份validation,直到成功) 现在,假设我禁用了用户名/密码authentication,并且只启用了SSH RSA密钥authentication(并且假设我对私钥所在的设备的安全性非常有信心,并且我也有一个密码关键)启用root的风险是什么? 假设攻击者永远不会拿到我的私钥(和密码),他们有什么select获得服务器的访问权?
我将我的机器设置为Kerberos客户端。 我有一个问题,如何kerberosconfiguration文件实际上生效,以及如何清除其影响。 我的实验如下。 第一步,在不编辑/etc/krb5.conf文件的情况下,我input了kinit并得到了我的预期。 aaaa@bbbb:~> kinit kinit(v5): Configuration file does not specify default realm when parsing name aaaa 第二步,我编辑/etc/krb5.conf来input有效的kerberos服务器信息,然后再次inputkinit 。 aaaa@bbbb:~> kinit Password for aaaa@bbbb: pingluo@zhejiangNEW:~> klist Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: aaaa@bbbb Valid starting Expires Service principal 08/13/14 11:36:34 08/13/14 21:36:34 krbtgt/bbbb@bbbb renew until 08/20/14 11:36:34 所以我可以得到一个有效的kerberos票证,这表明我的configuration是正确的。 步骤3,用kdestroy销毁证书。 第4步,我删除了/etc/krb5.conf希望这将清除kerberosconfiguration和kinit会显示在第1步中的消息。但是,我很惊讶地看到步骤2中的消息。所以kerberosconfiguration,而它已被删除,仍然有效! 我重新启动了我的机器,它仍然是一样的。 有人可以解释发生了什么,我怎样才能彻底摆脱Kerberos? 我的机器运行OpenSUSE 13.1。 krb5客户端是1.11.3。
目前,我正在研究使用Kerberos作为云结构的主要身份validation协议的可能性。 我们可能会遵循这个想法,为了HA,最好的select是多个虚拟机。 我知道虚拟环境和Kerberos存在一些问题,特别是关于随机性和熵的话题。 我的理解是Kerberos需要直接访问硬件,但我不确定是否仍然如此。 在任何testing环境下,MIT Kerberos都可以在虚拟硬件上运行而不会出现任何复杂情况。 问题是,这是生产环境的推荐设置吗?
嘿,所以我基本上希望做的是设置nginx作为一个内部IIS服务器的托pipe内容的反向代理。 nginx服务器必须使用PHP / MySQLlogin系统对用户进行身份validation,如果他们没有通过身份validation,则会被要求login。但是,如果他们已经login,则他们的请求将被传递给IIS服务器。 这个设置是否可以使用proxy_pass? 我知道我可以用一个htpasswd文件使用auth_basic,但我可以发送请求到一个PHP身份validation文件,或者我最好使用curl或readfile()在PHP中实现相同的请求? 我只是认为从performance的angular度来看,这可能不是一个好的做法。 任何帮助是极大的赞赏。
我在auth.log注意到了这个条目 从ip_address端口51150 ssh2接受公钥myuser 该条目对应于我的基于ssh-key的login事件。 SSH正在侦听默认端口 – 22。 logging的端口51150的作用是什么,这是否意味着我不能使用限制性的iptables设置,阻止所有stream量传入到端口,而不是我以前指定的(如20,21,25,80,443,143 …)
我在Windows Server 2012框上使用IIS 8.0。 这不是一个域join的机器,所以Active Directory不提供给我。 我已成功configuration证书身份validation。 在访问网站时,用户会看到可供select的证书列表,服务器上的证书信任列表(CTL)具有它所信任的中间和根CA. 我的问题是:如何限制只有特定用户才能成功进行身份validation? 例如,如果我们有五个由同一个CA颁发的用户证书,但是我仍然只想限制访问这个网站给这五个人中的三个。 它可以是基于位于X.509证书中的任何唯一标识符(例如电子邮件,密钥ID,指纹)的访问列表, 我不知道如何实现这种行为。 我发现这一点,但我不知道这是否是正确的path下去…: http : //www.iis.net/configreference/system.webserver/security/authentication/iisclientcertificatemappingauthentication 任何人都可以指向正确的方向吗?
对不起,如果这是错误的stackexchange网站。 基于文档 (供参考,我也用这个博客文章 ),我有这在httpd.conf中: # Increase max size of HTTP request headers so we are sure it can hold any SPNEGO token. LimitRequestFieldSize 12392 # Load the module LoadModule auth_gss_module /apps/apache2/modules/mod_auth_gss.so # Set general log level so we get some output LogLevel debug <Directory "/var/www/secured"> Order allow,deny Allow from all AuthType GSSAPI AuthGSSServiceName HTTP AuthGSSKeytabFile […]
我有一个用户不断locking账户,因为另一台机器正在尝试使用旧密码和错误密码进行login,从而locking用户的帐户… 用户不知道哪台机器可以做这个… 有没有办法让远程机器的IP试图login? 我已经潜水的日志,没有明确的出现… 顺便说一下,身份validation是用LDAP进行的。
我有一个mongo共享集群和副本集: ShardA副本集: A1. 10.77.14.241 A2. 10.77.14.242 AA. 10.77.14.243 Arbiter /etc/mongod.conf的一些参数: #bind_ip=127.0.0.1 auth=true replSet=ShardB keyFile=/srv/mongodb/mongodb-keyfile ShardB副本集: B1. 10.77.14.244 B2. 10.77.14.245 BA. 10.77.14.246 Arbiter /etc/mongod.conf的一些参数: #bind_ip=127.0.0.1 auth=true replSet=ShardB keyFile=/srv/mongodb/mongodb-keyfile Config和Mongos服务器: C1. 10.77.14.247 C2. 10.77.14.248 C3. 10.77.14.249 configurationmongod和mongos的所有实例都在/etc/rc.local中启动: mongod –configsvr –logpath /var/log/mongodb/mongod.log –keyFile /srv/mongodb/mongodb-keyfile –fork mongos –configdb 10.77.14.247:27019,10.77.14.248:27019,10.77.14.249:27019 –port 40000 –logpath /data/mongos.log –keyFile /srv/mongodb/mongodb-keyfile –fork 副本设置正常工作。 如果我在主要成员中插入文档,它在副成员上复制。 我有以下问题:在任何仲裁,mongodconfiguration,mongos […]
我意识到有数千次尝试通过SSHlogin到我们的服务器之一,我刚刚安装了fail2ban。 在安装fail2ban之后,日志膨胀停止了,但我仍然想检查日志文件,看看是否有任何尝试成功 – 并且注意到一些奇怪的事情:如果我试图滚动浏览文件或者使用cat,我的整个控制台被打破显示一系列无法识别的字符 – 例如: K | yj ] t] f\| JkW.b +t v u l v- % ]K ׂ+ Ye G 2W kׂ [s6ǵ1{Ë Ïf~ׂ+ 9 E,pŮ & 5 p"D P} \ _ vb+ *NW PZ 5 p D yM } Z I9 kcN5p " jc q ? 5 5\a'f : r […]