我一直在尝试,并没有find办法做到这一点。 我正在设置一个服务器pipe理基于Web的控制面板(沿着webmin的方向),但试图添加一个非常难以欺骗的安全措施,这对访问者来说基本上是透明的,并且是空的。 我脑子里有一个想法,听起来很合适,但是对于一个真正可行的解决scheme而言,这是一个损失。 我有端口敲门设置上的SSH密钥的唯一身份validation。 攻击企图几乎为零。 我很满足于ssh安全措施,但是对nginx带来同样的安全性已经certificate是徒劳的。 是否有可能设置类似于端口敲门的东西,只有一个用户主动login到SSH有一个端口打开http? 我不能简单地使用ESTABLISHED,因为我想要求在ssh中进行身份validation。 理想的解决scheme可以这样工作… 没有ssh连接 – > DROP尝试访问nginx端口 活动的ssh连接,未经过authentication – > DROP尝试访问nginx端口 主动ssh连接,authentication – > ACCEPT nginx端口连接 我意识到终止会话会导致活动切换到DROP,这是可以接受的。 最近的解决scheme我已经能够想到通过cron扫描ssh日志并在运行中修改iptables,但是需要一个更好的方法。 如果没有其他的东西,请打开想法,指向正确的方向。 你可以编辑你的问题,给你一些关于为什么你需要这个安全级别的背景吗? 这似乎是矫枉过正。 – Tim 我提到服务器pipe理ala Webmin。 简而言之,php / py脚本可以访问服务器内部,如iptables,/ etc修改,关机/重启,日志parsing器,其他维护工具。 访问需要sudo到服务器本身,因此,希望保持它的极端保护。
问候高级的头脑。 我希望你能腾出一些有价值的时间来帮助我解决这个问题,因为我对服务器和域控制器有所了解。 背景: 我有SCADA软件运行在几台服务器上,然后是从这些服务器读取信息的客户端软件。 所有这些都join到本地域。 在ocasions一个或两个服务器的数据不会从服务器读取。 当我重新启动服务器时,一切都恢复正常,并重新运行。 SCADA软件使用通用域用户相互通信。 这些服务器正在运行Windows 2008 R2。 观察: 在我的软件日志文件中,似乎服务器失去了与域控制器的身份validation。 我在Windows事件logging器中遇到了这个错误(请参阅下面的错误),同时我遇到了我的软件问题。 This computer was not able to set up a secure session with a domain controller in domain SGLENG due to the following: There are currently no logon servers available to service the logon request. This may lead to authentication problems. Make […]
我使用mod_dbd和mod_authn_dbd来保护对我的网站的访问。 但似乎是不稳定的,几分钟后,重新启动Apache和一些请求,身份validation不再工作了,这个消息在Apache错误日志中: [authn_dbd:error] [pid 21308] [client xxxxx] AH01656: Query execution error looking up 'mylogin' in database [] 编辑更多细节的Apache日志: [authz_core:debug] [pid 9307] mod_authz_core.c(809): [client xxxx] AH01626: authorization result of Require dbd-group mygroup: denied (no authenticated user yet) [authn_dbd:error] [pid 9307] [client xxxx] AH01656: Query execution error looking up 'mylogin' in database [] [core:trace3] [pid 9307] request.c(119): […]
我有一个可以在/auth-admin上进行授权的服务。 我可以确认它适用于静态网页。 但是,如果页面有一些像phpmyadminloginapi调用, auth_request将打破它。 什么是设置auth_request的正确方法? server { listen 443 ssl; server_name example.com; location / { proxy_pass http://192.168.1.13:8085; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } location /auth-admin { internal; proxy_pass http://192.168.1.13:8085/auth.php?admin; } location /phpmyadmin/ { auth_request /auth-admin; proxy_pass http://192.168.1.13:8086/; add_header X-Frame-Options "SAMEORIGIN"; proxy_set_header X-Forwarded-Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-Proto […]
有没有人知道一个简单而安全的login到Windows 10域PC的方法,而不必input任何东西? 我有远程工作站,我想使用NVIDIA的Gamestream协议访问。 问题是,GeForcestream媒体服务直到login后才启动,我无法在login之前find该服务。 我的解决scheme是使用在两台机器上作为守护程序运行的程序,安全地通过瘦客户机上的USB端口(通过networking)传输到远程工作站。 通过这种方式,我可以在瘦客户机上扫描智能卡,而远程工作站可以识别该卡已被刷卡。 唯一的问题是,由于仍然需要PIN,所以这不会执行用户的完整login。 如果可能的话,我想避免PIN,同时保持单一身份validation的安全性。
我们使用Outlook Web Access设置了Exchange 2007。 为OWA目录启用ASP.NET表单身份validation,并禁用所有其他身份validation方法。 当浏览到OWA站点时,按照预期的方式获得login表单,但是当尝试login时,我总是得到“您input的用户名或密码无效,请尝试再次input。 我确定用户名和密码是正确的。 我已经尝试过,有没有域名,即。 “DOMAIN \用户名”,只是“用户名”。 我如何解决这个问题?
我想为我们的组build立一个OpenID提供程序,我们可以使用它来login到内部和外部的OpenID感知服务(例如,stackoverflow.com)。 我们的用户都有我们的CA颁发的X.509证书,所以我认为理想的解决scheme是使用它来validation它们(即提供者不应该要求input密码)。 也许Apache FakeBasicAuth会从SSL连接的证书中提取用户名? 什么是最好的软件使用? 开源首选。
在某些客户站点上,我们只使用Windows集成身份validation来提供初始质询响应,然后再推送用户,然后使用第二组凭证以每个应用程序的login页面login到应用程序本身。 有没有办法允许用户在login时更改他们的(Windows)密码,因为当我尝试设置密码,要求在下次login时更改用户根本无法login。 这些只是Web用户,所以没有远程访问权限以交互方式login到服务器以更新其凭证。 仅供参考 – 这些网站在Win 2003服务器上运行II6。
很less有文字谈论 一个Unix客户端的Windows服务器(可以说XP)进行身份validation。 我已阅读的文本将提到这个话题,但或多或less略过细节。 当build立/编译/build设/等一个Unix(说freebsd)密钥服务器,什么是“必须” 已经抛弃了几个字的authentication/encryption所需的types,但从来没有足够的细节。 我一直没能find一个好的资源,这个或邮件列表中的职位 帮助/想法?
我们正在使用虚拟PC进行一些testing模型。 一个VPC作为域控制器运行,并在其上configuration了AD。 域名是testing.local。 我们使用集成Windows身份validation和基本身份validation(发送loginID /密码),在运行Web应用程序的域中有另一个VPC(configuration为在端口198监听的网站)。 现在问题是,在AD中创build的一些用户可以访问这个应用程序( http:// testsystem:198 / ),有些则不能。 即使input正确的loginID /密码组合,IIS也会给出401.2错误。 我试图search网页,并被定向到AuthDiag工具。 我安装它并运行Active Directory(Kerberos密钥分发中心)信息 。 它多次显示以下错误(在此VPC中有许多网站正在运行): 在Active Directory中找不到机器“testing系统”的服务主体名称(SPN) 请帮助我们卡住,不能testing应用程序。