Questions tagged «security»

安全不是产品,而是过程。

16
为什么拥有弱的mysql用户密码会很糟糕?
此问题已从堆栈溢出迁移,因为可以在服务器故障时回答。 迁移 9年前。 向我提出了一种论调:“您不需要强壮的mysql用户密码,因为要使用它,他们已经可以访问您的服务器了。” 我们正在谈论的是4位数的密码,这是实时商业网站上的标准英语词典单词。 在不影响我自己的知识和经验的情况下,我想向他们展示一些来自不感兴趣的第三者的回复。任何人都喜欢在这个钟声上鸣叫吗?编程/实际答案将不胜感激。
23 php  mysql  security  password 

3
IIS中的IUSR和IWAM帐户是什么?
我正在寻找有关IIS使用的IUSR和IWAM帐户的很好的解释,以帮助我更好地配置托管环境: 他们为什么在那里? 它们之间有什么区别? 名称代表有意义的东西吗? 我应该做出一些最佳实践更改吗? IIS还为我提供了将应用程序池作为网络服务,本地服务或本地系统运行的选项。我是不是该? 我的Web服务器是域的一部分,这会如何改变? 将多个站点部署到服务器时,通常会创建自己的这些帐户版本,这会引起一些其他问题: 我什么时候可以创建自己的IUSR和IWAM帐户? 我应该如何创建这些其他帐户,以便它们具有正确的权限? 我同时使用IIS 6和IIS 7以及大多数默认配置。
23 windows  security  iis 

12
查找用户上次登录的计算机的最佳方法?
我希望在Active Directory的某处写入/存储“从[计算机]上次登录”,或者有可以解析的日志? 想要了解最后一台登录的PC的目的是为了通过网络提供远程支持-我们的用户很少移动,但是我想知道当天早上我正在咨询的内容正在更新(当他们登录时) ,大概)。 我还在考虑将用户名和计算机名写到我可以参考的已知位置的登录脚本,但是我们的某些用户不希望一次注销15天。 如果有一个使用登录脚本的优雅解决方案,请务必提及它-但是,如果碰巧它仅用于解锁工作站,那会更好!

15
推荐入侵检测系统(IDS / IPS),值得吗?
已锁定。该问题及其答案被锁定,因为该问题是题外话,但具有历史意义。它目前不接受新的答案或互动。 多年来,我已经尝试了各种基于网络的IDS和IPS系统,但从未对结果感到满意。这些系统要么太难管理,要么仅基于基于旧签名的著名漏洞利用而触发,要么仅仅是对输出太闲谈。 无论如何,我都不认为它们为我们的网络提供了真正的保护。在某些情况下,由于断开有效的连接或只是完全失败,它们是有害的。 在过去的几年中,我确定情况已经改变,那么最近推荐的IDS系统是什么?他们是否具有有效的试探法,并且不会对合法流量发出警报? 或者,依靠良好的防火墙和强化主机是否更好? 如果您推荐一个系统,您如何知道它正在执行其工作? 正如一些人在下面的答案中提到的那样,我们也要获得有关主机入侵检测系统的一些反馈,因为它们与基于网络的IDS密切相关。 对于我们当前的设置,我们将需要监视两个单独的网络,总带宽为50mbps。我在这里寻找一些真实的反馈,而不是能够执行IDS的设备或服务的列表。

2
为什么要开始替换Windows Server 2003?
想要改善这篇文章吗?提供此问题的详细答案,包括引文和答案正确的解释。答案不够详细的答案可能会被编辑或删除。 Windows Server 2003是Microsoft提供的非常好的操作系统,我们每天都在依赖它。 我听说我应该用“较新的”和“更现代的”代替它。 我为什么要这样做? 如果我不升级会有什么影响?

3
自行安全擦除整个Linux服务器
我具有远程ssh访问和root访问权限。我没有物理访问权限。我不是在寻找涉及启动任何东西的解决方案,我想从当前正在运行的东西中做到这一点。 操作系统是SL6。有没有一种方法可以将所需的所有内容加载到RAM中,并使用dd或类似方法安全擦除整个磁盘?显然,这最终将导致盒子无法正常工作,这是我预期的结果。 看来这应该是可能的。 另外两个有趣的补充: 能够ssh进入,运行屏幕,运行dd命令并分离。一周后登录。:) 不知何故有进度条? 更新:我现在使用chroot选项。正在做: mkdir /dev/shm/ramdisk/ && cd ramdisk && mkdir bin lib64 && cd /lib64 && cp ld-linux-x86-64.so.2 libc.so.6 libdl.so.2 libpthread.so.0 librt.so.1 libtinfo.so.5 /dev/shm/ramdisk/lib64 && cd /bin && cp bash dd /dev/shm/ramdisk/bin && cd /dev/shm/ramdisk && chroot . 哪个可行(!),但我仍然需要/ dev / zero和/ dev / sda。有什么想法吗? 更新 …

6
FTP有哪些安全的替代方法?[关闭]
关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗? 更新问题,以使其成为服务器故障的主题。 6年前关闭。 这个Hacker News故事是关于FTP的缺点的。我可以设置FTP的唯一原因是它很简单。 我scp已经知道并使用过,但是有时我想与某人共享文件而不让他们ssh访问我的服务器。我希望他们能够上载和下载文件,但别无其他,我想将它们限制在一个目录中。我也希望他们的连接像一样被加密ssh。 符合这些条件的FTP替代品有哪些?
22 security  ftp  sftp 

4
UFW的速率限制:设置限制
UFW的手册页提到它可以为我设置iptables速率限制: ufw支持连接速率限制,这对于防止暴力登录攻击很有用。如果IP地址在最近30秒内尝试启动6个或更多连接,则ufw将拒绝连接。有关 详细信息,请参见 http://www.debian-administration.org/articles/187。典型用法是: ufw limit ssh/tcp 不幸的是,这是我能找到的所有文档。我想坚持使用UFW,而不要使用更复杂的iptables命令(以使事情“不复杂”)。 我如何使用ufw将端口80上的所有传入(非传出)流量限制为每30秒20个连接?如何禁用端口30000至30005的速率限制?默认情况下是否为所有端口启用速率限制?

3
如何阻止IIS7中的特定IP和IP范围?
我正在尝试从运行Windows 2008和IIS7的服务器托管的每个站点中阻止各种IP地址。我从IIS7管理器的功能视图中的“ IPv4地址和域名拒绝规则(IIS 7)”中找到了有关如何使用拒绝规则来执行此操作的各种信息(http://technet.microsoft.com/zh-cn /library/cc733090(WS.10).aspx),但是我没有任何这样的图标。 如何在IIS管理器中获取该UI?

7
如何阻止ansible将密码写入日志文件?
我正在设置一个MySQL服务器,并希望Ansible mysql-root在安装过程中设置密码。 借助互联网,我提出了以下解决方案: - name: Set MySQL root password before installing debconf: name='mysql-server' question='mysql-server/root_password' value='{{mysql_root_pwd | quote}}' vtype='password' - name: Confirm MySQL root password before installing debconf: name='mysql-server' question='mysql-server/root_password_again' value='{{mysql_root_pwd | quote}}' vtype='password' - name: Install Mysql apt: pkg=mysql-server state=latest mysql_root_pwd是从Ansible Vault加载的变量。运行正常,但是现在服务器上的日志中有很多行: Apr 10 14:39:59 servername ansible-debconf: Invoked with value=THEPASSWORD …
22 security  ansible 


4
启用S​​SH Shell访问,但禁用SFTP访问
我一直在寻找这个问题的可行答案,并且大多数答案都包含有关为什么不这样做的建议。但是,这是场景,它是有必要的: 我有一个控制台应用程序,在每个用户的.profile中,有一个用于该应用程序的启动命令,在启动该应用程序的命令之后,直接有一个“退出”命令,该命令将其注销。我只希望他们能够通过其提供的界面访问此控制台应用程序。启动后,该应用程序向用户显示可以通过该应用程序访问的客户端列表,每个客户端都有自己的数据目录。授予用户访问他们仅需要访问的客户端的权限。 现在的问题是:如果我给用户SSH访问权限,他们也将能够使用SFTP客户端登录,这将使他们直接访问应用程序的数据目录,这是非常不希望的,因为这也将给他们访问他们不应该访问的数据目录。 当使用telnet / FTP组合时,这是一件很简单的事情,但是现在我想让用户可以从Internet上的任何地方进行访问,因此我一直无法找到一种方法将他们拒之门外。仍然允许他们访问可以在其中运行应用程序的Shell。
21 linux  ssh  security  sftp 

2
更新以前未维护的服务器RHEL5.7的最佳实践
最近,我已经对新的RedHat EL5.6服务器进行了维护。显而易见,在过去的12个月中,几乎没有注意任何软件包更新。 通常,我会考虑是否不会损坏-不要修复它。但是,在向RHN注册服务器并使用yum-security插件检查安全更新之后,仅提供1​​100多个“安全”更新。 有人有类似的情况吗?我不愿意仅更新所有内容,因为我想知道要更新的内容以及它是否有可能影响正在运行的设备(这是生产服务器)上的任何内容。但是,看起来也很符合这种做法,需要我逐行通过1100软件包勘误表。有没有更有效的解决方案?
21 security  redhat  yum 

1
X-Powered-By,Server和其他类似HTTP标头的用途是什么?
有什么用的Server,X-Powered-By以及其他类似的标题?看起来,共识是应该删除它们,以便自动漏洞扫描程序不会立即知道他们正在处理哪个软件的版本,因此自动漏洞发现会变得更加困难。 在某些情况下,让全世界都知道该站点正在IIS 7上运行以及X-Powered-ByASP.NET版本4 确实有用吗?

8
如何预防零日攻击
传统上,所有防病毒程序和IPS系统都使用基于签名的技术来工作。但是,这对于防止零时差攻击没有太大帮助。 因此,如何预防零时差攻击?

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.