现在有许多configurationpipe理软件select(Chef,Puppet,CFEngine,Ansible …),它们提供了一个在中央服务器上的存储库和使用TCP / IP与服务器通信的客户端的体系结构。 这种架构要求整个networking的客户端能够与服务器进行通信,并将服务器暴露给威胁,因为这是攻击者非常有希望的目标。 据我所知,所提到的工具具有使用私钥密码术对configuration项进行签名的能力。 但是签名密钥是服务器的密钥,它们存储在服务器上。 如果configurationpipe理服务器受到威胁,整个networking可能被认为是受到威胁的。 有没有一种方法可以避免服务器受到损害的风险=整个networking受到影响? 我想到的是在将configuration上传到服务器之前通过个人私钥对服务进行签名。 每个pipe理员都有他自己的。 任何常见的configurationpipe理解决scheme是否提供这样的function,或者是否有不同的方法来缓解上述风险?
我们托pipe一个客户站点(硬件在第三方数据中心,但我们pipe理软件)。 在几个不同的场合,客户报告了一个网站的问题,当我login到机器时,我发现IISconfiguration已经改变 – authentication方法已经改变(应该是基本的,但已经切换到表单),默认文档已启用(应禁用),并且目录浏览已禁用(应启用)。 configuration更改每次都是一样的。 到目前为止,我试过… IIS审计。 logging的唯一更改是我每次修复IISconfiguration时所做的更改 configuration更改历史。 我回顾了c:\ inetpub \ history,根据快照,没有任何改变。 换句话说,快照只有正确的设置,他们从来没有表明有不正确的设置。 任务计划程序。 我已经查看了每个任务(包括Windows任务),没有看到任何会改变IISconfiguration的东西。 而且,这个事件自从网站上线以来每个月都发生一次,而不是在每周的一致日(第一个星期一,第15个月等)发生,所以似乎没有date触发。 什么可能会改变我的网站的IIS设置每个月? 我怎样才能追查罪魁祸首? 眼镜: Windows Server 2008 R2 IIS 7.5 McAfee Virus Scanner(检查日志,没有看到任何冒烟的枪) 更新要回答评论中的一些问题:我们没有使用Exchange或Sharepoint。 我检查了本地web.config文件,它不包含身份validation,默认文档或目录浏览设置。 这些都存储在applicationHost.config中。
我想根据使用Ansible的操作系统版本来分发不同的configuration文件。 我想区分操作系统版本与ansible_distribution ansible_distribution,这样我就不必手动分配操作系统版本。 我遇到的问题是我不知道在哪里指定哪个版本的configuration文件用于特定的操作系统版本。 我想在剧本中分配这个variables,而不是在一些额外的variables文件中,因为它绝对只用在这个剧本中。 我想我喜欢这样的东西: – ansible_distribution == "Debian" – vars: vimrc_file = "vimrc.DEBIAN" – ansible_distribution == "Ubuntu" – vars: vimrc_file = "vimrc.UBUNTU" 但是我不确定Ansible是否可以像这样工作(或者如果你想这样使用的话) 我目前使用以下,由于多种原因显然是可怕的: — – hosts: servers,workstations tasks: – name: Ensure vim is installed apt: name=vim state=latest – shell: echo "vimrc.DEBIAN" changed_when: false register: vimrc – name: "Copy Debian vimrc file" copy: […]
如何logging事件期间对configuration所做的更改? 在ITIL事件和configurationpipe理是两个不同的过程,但它们在这一点上是相关的。 我的想法是: 信息将被手动迁移到CMDB 信息可以从票证系统导出并导入到CMDB 事件票可以直接使用CMDB的入口进行更改 事件票是文件
我正在做一些IIS Express的工作,它有它自己的applicationhost.config 。 有没有我可以用来pipe理该configuration文件,而无需直接编辑XML的任何用户界面? 我下载了IISpipe理器进行远程pipe理,但仍然连接到机器的默认applicationhost.config 。
我有一些这样的数据: Config_Name Question Answer Cisco WAN Sensitivity: High Cisco WAN Authorized Users: Brent, Charles Cisco WAN Last Audited: n/a Cisco WAN Next Audit: 3/30/2012 Cisco WAN Audit Signature: Cisco WAN Username: MYCOMPANY Cisco WAN Password: Cisco WAN Encrypted-A ENCRYPTED DATA Cisco WAN Encrypted-B Cisco WAN Encrypted-C vCenter server Sensitivity: High vCenter server Authorized Users: Brent, […]
我正在使用可以在几台机器上configuration和部署我的应用程序。 我现在唯一的问题是,我不知道如何正确初始化/自动化到这台机器的第一个连接? 我得到完全空的机器,所以我不得不把这台机器至less我的公钥到authorized_keys,git到known_hosts,以及private_key git用户(我使用bitbucket)。 目前我为每台新机器运行一个小小的任务来完成所有这些工作。 但是我想有更好的办法做事情吗? 可能我现在看到的唯一解决scheme是设置单机,然后“克隆”(我正在使用数字海洋)。 但是,这不适用于我无法克隆图像的env。
configurationpipe理器CAS服务器将客户端显示为“挂起的系统重新启动”时遇到问题。 当你看到它所指的客户端时,它显示状态已经被发送,并且在registry中没有显示重启挂起的状态(客户端已经被重新启动了)。 重新运行总结和刷新已经没有几个小时的工作。 客户端日志(server1)文件如下: 有什么方法可以清除CAS服务器上的客户端状态,并且pipe理点在传递状态消息时是否存在错误?
我在企业环境中使用BigFix,并注意到最近一轮针对2016年的微软补丁在一小部分资产上失败了。 我可以通过使用修改的相关性创buildCustom Copy Fixlet来解决这个问题,但是我必须使用的相关性并不总是一致的,即使大多数文件都位于C:\Windows\Sytem32 。 例如:MS16-031 – 我的扫描平台正在查找的条件是基于Ntdll.dll的版本号。 我创build一个具有相关性的自定义Fixlet: ((version of x64 file "C:\Windows\System32\Ntdll.dll") as string) < VersionNumberGoesHere 这很好,因为我创build了一个以前使用相关性来查找Ntdll.dll的BigFix Analysis: if (exists x64 file "C:\Windows\System32\Ntdll.dll") then ((version of x64 file "C:\Windows\System32\Ntdll.dll") as string) else "Does Not Exist" 我能够确认Custom Fixlet的相关性恰好与Analysis相关。 出于某种原因,这不是两个镜像,但它非常接近,Custom Fixlet列表是扫描结果中标记的所有机器,所以我很高兴。 问题出现在这里:对于C:\Windows\System32 某些文件,我必须使用完全不同的语法才能根据扫描结果获取正在查找的正确版本号信息。 也就是说,我可以使用上面列出的方法,但它所提供的版本信息甚至与扫描程序所要查找的内容并不相近。 如果我要使用上面列出的方法,假设扫描仪正在寻找类似于“版本号6.1.7600.16385”的东西,我将看到的结果会改为“1.1.11302.0”。 这仍然是某种明显的版本编号,但与我的扫描平台所引用的types完全不同。 例如:MS16-027 – 要查找mfds.dll的文件版本信息以进行分析,我必须使用: value "FileVersion" of version block 1 […]
如果我们使用SaltStack更新我们的系统,则需要大约40秒的时间。 在这40秒内,系统状态不一致。 如果在这段时间内有cron作业,很可能会产生奇怪的错误。 当然,我们可以完全改变我们的设置,并使用容器。 这将使atomar更新成为可能。 但是这需要很多工作,而今天是无法处理的。 如果盐被执行,有没有办法可以禁用仆从上的cron作业?