如果umask设置为027(根本上我想知道027是否比022安全性更好),是否有任何安全问题? 根据我的理解,从安全的angular度来看,027是一个更好的select。 但我想确认这一点。
我正在尝试通过在POSTpath的节点上强制进行URL编码来纠正URL参数问题,这种情况经常发生。 在这个时候,最好是在代理层修复这个问题,直到开发出更好的解决scheme。但是Haproxy给了我这个问题,我还要提一下,我现在被Haproxy v1.5所困住了(从我可以告诉,也离开使用Lua列表的选项..引入v1.6?)。 这是一个例子是这样的.. 我通常以这种forms得到POST请求 http(s)://sub.domain.com/context/{context}/staticPath/location/{location}/material/{material} 所以,在实践中可能看起来更像这样。 http://sub.domain.com/context/smith/staticePath/location/columbus/material/abc/123 从另一端需要以下 http://sub.domain.com/context/smith/staticePath/location/columbus/material/abc%2F123 问题是,abc / 123是一个单一的材料,需要看起来更像“abc%2F123”,其中“/”斜线正在改变实际的path。 我试图在代理中捕捉到这一点,我可以得到正则expression式来捕获我所需要的,但似乎每当我尝试在捕获组中有一个“斜杠”/ /和/或试图把斜杠放回到取代部分它打破了重写。 下面是我尝试过的一些例子,同时请记住,我打算扩大抓取以抓取整个url,但正在简化尝试解决这些问题,同时我也试图从这个记忆中讲述一些故事点,所以请原谅,如果下面没有死..我尝试了许多,很多组合试图想出一个可行的战略。 通过这种方式.. reqrep (\w+\s?)\/(material)\/(\w+\s?)\/(.*) \1\2\3%2f\4 我可以让捕获组再次将URL重新组合起来,但path节点之间没有path定界符(“/”)。 像这样,它不会取代,它只会发送原始path。 reqrep (\w+\s?)\/(material)\/(\w+\s?)\/(.*) \1\/\2\/\3%2f\4 采取这样的策略… reqrep (\w+\s?)(\/)(material)(\/)(\w+\s?)\/(.*) \1\2\3\4\5%2f\6 我尝试的另一个策略是在捕获组中保留“/”,以便它们可以在replace中出现,而不在捕获组中留下不需要的“斜线”,如下所示。 reqrep (\w+\s?)(\/material\/)(\w+\s?)\/(.*) \1\2\3%2f\4 我也读了一下,看到一些正则expression式有空格,replace有一些间距的例子。我可以通过在replace中使用一些间距来closures,但是在最终的结果中留下不希望的空格。 也.. 如果我逃脱一个空间,然后加一个斜线,似乎更接近..前。 \1\ /\2但是,我会得到像(例如) location /material..东西,像上面提到的添加空间。 我注意到的模式是,当我试图在正则expression式中添加斜杠到捕获组时,它会弄乱replace,使我猜测像..这样的事情是否由于它们在捕获组中而不能逃脱? 而且,为什么我不能把它们放回文字replace? 这是我想象我可能已经偶然发现了一个错误的地步..但也意识到我可以搞砸了。 使用Nginx开发了一个解决scheme,但是如果能够让Haproxy做到这一点,在我们需要的前面站立一个实例也不是最实际的,主要是因为我们已经使用Haproxy来做相当多的其他东西已经。 我真的更喜欢用另一种方式来解决这个问题,但是现在使用代理似乎是我最好的select之一。 我也没有奢望强迫发起人给予更好的path。
我有一个Linux的VPS,我只是跑杀死一个用户,因为我无法做usermod。 但是当我这样做后,我不能再login该用户,所以我GOOGLE了一下,看到一些说什么,你只需要重新启动。 这就是我所做的,但我仍然无法连接,所以我去了我的主机,并决定重新启动服务器,也没有工作…我能够通过恢复模式连接,但我不真的知道如何解决这个问题。 有人可以帮我吗?
我有一个局域网,一台服务器和一台虚拟机 lan: 192.168.50.0/24 linux server: 192.168.50.3 linux VM guest: 192.168.50.1 (with apache) 我希望Linux服务器将所有请求从局域网和端口80redirect到192.168.50.1:80 我用这些没有结果: – / iptables -A PREROUTING -t nat -i eth0 -p tcp –dport 80 -j DNAT –to-destination 192.168.50.1:80 iptables -A FORWARD -p tcp -d 192.168.50.1 –dport 80 -j ACCEPT iptables -A POSTROUTING -t nat -s 192.168.50.1 -o eth0 -j MASQUERADE ip_forward is […]
我有一台Linux机器作为testing服务器运行。 我的盒子直接在这台机器上redirect我的端口80。 我创build它来训练所有types的东西(raid,tcp …)。 最近我试图连接到我的机器在VNC,我得到了一个错误“太多authentication失败”,所以我检查日志,我有一个可怕的惊喜; 有人正试图通过在VNC中的蛮力连接到我的机器。 这里是这个日志的简短摘录: 04/01/17 13:53:56 Got connection from client 111.73.46.90 04/01/17 13:53:56 Using protocol version 3.3 04/01/17 13:53:56 Too many authentication failures – client rejected 04/01/17 13:53:56 Client 111.73.46.90 gone 04/01/17 13:53:56 Statistics: 04/01/17 13:53:56 framebuffer updates 0, rectangles 0, bytes 0 04/01/17 13:53:57 Got connection from client 111.73.46.90 04/01/17 13:53:57 […]
具体来说,我用鱼壳 。 我真的想在我的生产服务器上使用它,并将其设置为root帐户的默认shell,但我想知道是否有任何特定的安全问题,因为它是一个shell,我应该知道之前这样做。 我猜测它不会比服务器上的任何其他应用程序更具安全风险,因为它只在login发生之后运行,不过某种方式将其用作生产服务器上的默认根shell 感觉不太安全。 我的主要问题是:在安装一个非标准的shell并将其设置为root用户的缺省shell比安装任何其他应用程序时有任何额外的安全风险吗? 编辑:目前的答案不解决这个问题,也许是因为我不清楚。 让我试着更准确地解释为什么我觉得答案是不完整的。 当然,当您安装任何新软件时,存在安全漏洞的风险。 某些软件,根据使用情况,需要比其他更多的谨慎 – 例如,安装一个networking服务器引入了一个新的攻击媒介的性质,因此,我们会更加谨慎安装一个不太常见的网页浏览器比一个图像转换工具。 我想知道是否应该更仔细地仔细检查一下贝壳,如果是的话,为什么。 另外,我想知道是否将root用户设置为默认的非标准shell会带来额外的安全隐患。 到目前为止,我的做法,即使在我的家用机器上,已经为我自己的用户默认运行鱼壳,但是根本不能运行它。 这是否值得担忧,如果是的话,为什么呢? 到目前为止,答案已经表明我不应该这样做,但在我看来并没有令人满意地解决这个问题。 实际上没有人只使用服务器上的默认软件,大量额外的程序安装在上面,没有太多的安全问题,那么为什么一个shell,特别是一些更加谨慎的东西呢? 理想情况下,我想顶部看到一个例子的情况下,安装一些非标准的shell作为默认的根将导致一个妥协,否则会发生,如果壳是其他types的程序(例如,一个图像转换程序)。
在我的redhat linux机器上,我有以下的snmpconfiguration more /etc/snmp/snmpd.conf #dlmod cmaX /usr/lib64/libcmaX64.so rocommunity ttt 127.0.0.1 syscontact [email protected] rocommunity ttt darapp01.pl.corp rocommunity ttt darapp02.pl.corp syslocation UNKNOWN trapcommunity ttt trapsink plice01.il.pl.corp ttt 。 所以我的目标是validationsnmp.confconfiguration正确和snmp的基本理智 我刚刚google了一下,看看有什么命令可以检查当前snmpconfiguration,我发现这个: snmpwalk -v 2c -c ttt -O e 127.0.0.1|more SNMPv2-MIB::sysDescr.0 = STRING: Linux machine01 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (560475) 1:33:24.75 SNMPv2-MIB::sysContact.0 = STRING: [email protected] SNMPv2-MIB::sysName.0 = STRING: machine01 SNMPv2-MIB::sysLocation.0 […]
什么是最好的做法,当一个人必须在后缀中实施这种规则集: 从本地domain1.com,domain2.com发送到example.com,example1.com的电子邮件应该被中继到smtp.external.com。 发送给其他人的电子邮件example.com和example1.com应当在本地中继 我知道有一种方法来做一个中继过滤收件人地址使用transport_maps,但我不知道如何过滤取决于发件人的地址了。 你能帮我吗?? 提前致谢
我试图找出如何在Linux上使用VLAN和桥接来设置RSTP,现在完全困惑。 我试图桥接三个接口,其中两个应该充当trunk(hdlc0和hdlc1),另一个应该充当接入端口(eth0)。 我还需要在网桥中包含的每个接口上启用RSTP,但是使用下面列出的configuration,RSTP数据包通过hdlc0和hdlc1标记(!)发送,以便其他设备拒绝它们。 由于Linux没有“native vlan”的概念,我不知道如何解决这个问题。 这是我的configuration: ifconfig eth0 up ifconfig hdlc0 up ifconfig hdlc1 up vconfig add hdlc0 42 vconfig add hdlc1 42 ifconfig hdlc0.42 up ifconfig hdlc1.42 up brctl addbr br1 brctl addif br1 eth0 brctl addif br1 hdlc0.42 brctl addif br1 hdlc1.42 ifconfig br1 up brctl stp br1 on 另一个问题:我也想知道如何在有多个网桥的情况下configurationRSTP:比如eth0是vlan 42-42的中继线,vlan 42应该通过hdlc0,而vlan 43应该通过hdlc1,所以我有两座桥梁。 […]
在6.8中,甚至设置默认的桌面背景需要root密码,然后在我公司500台笔记本电脑上使用sudofunction。 james01 ALL=(ALL) NOPASSWD: sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool,/bin/rpm, /usr/bin/up2date, /usr/bin/yum 1.如何避免用户编辑/ sbin / iptables? sudoers没有语法!/sbin/iptables 2.如何设置不同用户名的500台笔记本电脑,如robin01,marry01? 3.是否有一个sudoers文件作为经典的例子来控制用户权限?