Questions tagged «security»

当前，我们的Web服务器位于DMZ中。Web服务器看不到内部网络中的任何内容，但是内部网络可以看到Web服务器。在DMZ和内部网络之间的防火墙上仅对Intranet中的一台Web服务器打一个洞有多安全？我们正在做的工作将与我们的多个后台应用程序（都位于一台服务器上）接口，如果我们可以直接与持有此数据的IBM i服务器进行通信，那么做这个项目会容易得多（通过网络服务）。 根据我的了解（我不知道品牌），我们为DMZ设置了一个防火墙，该防火墙的外部IP与使用另一个防火墙的主IP不同。另一个防火墙位于Web服务器和Intranet之间。 所以像这样： Web Server <==== Firewall ===== Intranet | | | | Firewall Firewall | | | | Internet IP1 Internet IP2

15 security  firewall  dmz 

我一直在尝试将基本服务器iptables脚本放在一起，该脚本适用于仅使用HTTP（S）和SSH（端口80、443和22）运行基本Web服务器的大多数站点。毕竟，大多数VPS仅需要这些起始端口规则，并且以后可以根据需要添加邮件或游戏端口。 到目前为止，我有以下规则集，我想知道是否有人知道更好的脚本或可以添加的任何改进。 *filter # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT # Accepts all established inbound connections -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Allows …

15 linux  security  firewall  iptables  best-practices 

我想了解过去几天如何使用PC的一切可能。就像谁登录一样，PC被锁定了多长时间以及登录在PC上的有关用户活动的任何其他信息。 我知道最后一个命令可用于找出谁登录了多长时间。可以找到的任何其他信息。

15 linux  security  logging 

在防火墙高级安全管理器/入站规则/规则属性/范围选项卡中，您可以使用两个部分来指定本地IP地址和远程IP地址。 是什么使一个地址有资格作为本地或远程地址，它有什么区别？ 通过常规设置，这个问题非常明显，但是现在我不确定要设置远程虚拟服务器。 我所拥有的是具有两个接口的物理主机。物理主机使用具有公共IP的接口1。虚拟机通过公共ip连接接口2。我在两者之间有一个虚拟子网-192.168.123.0 在编辑防火墙规则时，如果将192.168.123.0/24放置在本地IP地址区域或远程IP地址区域中，则Windows有什么不同？它有什么不同之处吗？ 我之所以这样问，是因为我在使防火墙处于活动状态时无法在两者之间进行域通信时遇到问题。我在防火墙方面有丰富的经验，因此我知道我想做什么，但是这里发生的逻辑使我无所适从，这些规则非常繁琐，必须一一进行编辑。 编辑：这两个规则之间的区别是什么： 让来自本地子网192.168.1.0/24的流量访问SMB端口 让来自远程子网192.168.1.0/24的流量访问SMB端口 我有一个IP地址为192.168.1.1的局域网端口，我认为没有区别 伊恩

15 windows-server-2008  security  windows-firewall 

我认为，列出与系统管理相关的不良习惯会很有趣。例如： 始终root在服务器上使用 共享帐号密码 在代码上插入密码 仍在使用telnet ... 尽管我对安全性最感兴趣，但是您的坏习惯不一定与安全性有关。也欢迎不良习惯的故事。

15 security 

我有一台启用了“远程登录”的Mac OS X计算机（运行10.5的Mac mini）。我想打开Internet的sshd端口以能够远程登录。 出于安全原因，我想禁用使用密码的远程登录，仅允许具有有效公共密钥的用户登录。 在Mac OS X中进行设置的最佳方法是什么？

15 security  ssh  mac-osx  password  keys 

什么是边缘服务器？我们看到了一些对它们的引用，但从未见过定义。

15 security  firewall  hardware  gateway 

linux box被黑客入侵后，进行取证分析的主要步骤是什么？ 可以说这是一个通用的linux服务器mail / web / database / ftp / ssh / samba。它开始发送垃圾邮件，扫描其他系统。如何开始寻找黑客入侵的方式以及由谁负责？

15 linux  security  hacking  forensic-analysis 

我们正在运行Jenkins CI。通常我们想提供 完全访问特定组中经过身份验证的用户 对匿名用户的完全读取访问 阻止匿名用户访问某些项目（完全） 我们使用Unix用户/组数据库和基于项目的矩阵授权策略。第（1）和第（2）点效果很好，但是我们很难实现（3）。 我们尝试过： 在Global Security中，删除对匿名的所有权限，然后在基于项目的安全性中授予它，但在此之后，所有匿名请求（甚至是对Jenkins主页面的请求）都会生成登录页面 在Global Security中分步添加以下权限：View-Read（无效），Job-Discover（无效），Job-Read（无效），Overal-Read-这最后一个似乎有效它给匿名用户过多的权限，我们无法限制对特定项目的访问。 tl; dr 我们想要完全打开（只读）的Jenkins CI，并为匿名完全隐藏/阻止了一些项目。

15 security  configuration  jenkins  hudson 

我最近在DrayTek Vigor 2830路由器中发现了DoS防御设置，该设置默认为禁用。我正在该网络上运行一台非常小的服务器，并且非常认真地使服务器启动并以24/7运行。 我不确定DoS防御是否会引起我任何问题。我还没有经历过任何DoS攻击，但是我想避免可能的攻击。是否有任何理由不启用DoS防御设置？

15 security  router  denial-of-service  draytek 

是否值得运行fail2ban，sshdfilter 或类似工具，将哪些尝试登录失败的IP地址列入黑名单？ 我已经看到它认为这是“适当安全”服务器上的安全区。但是，我认为这可能会使脚本小子移到列表中的下一个服务器。 假设我的服务器是“适当安全的”，并且我不担心暴力攻击实际上会成功-这些工具是否只是保持日志文件干净，还是我可以从阻止暴力攻击尝试中获得任何有价值的好处？ 更新：关于暴力破解密码的很多评论-我确实提到我并不为此担心。也许我应该更具体一些，并问一下fail2ban是否对仅允许基于密钥的ssh登录的服务器有任何好处。

15 security  ssh  fail2ban 

乍看起来这似乎是一个愚蠢（或邪恶）的问题，但请允许我详细说明... 我们已经在公司网络和代理上实施了各种措施，以防止某些文件类型下载到公司机器上。单击下载那些文件时，大多数文件，甚至包含exe的zip文件都将被阻止。 但是一些“有进取心”的用户仍然设法使下载生效。例如，我站在某个人（不认识我或我在哪个部门工作）的后面，那个人在我们眼前将以“ .exe”结尾的URL更改为“ .exe？”，然后浏览器转到了立即下载“未知”文件类型。从那时起，我们就填补了这一漏洞，但我想知道是否有人知道绕过网络安全性和检查软件的任何恶意下载文件的方法。 或者，如果您知道可以使用的某些商业软件是防弹的，那么我们可以试用一段时间。 任何帮助表示赞赏...

15 security  proxy 

谁能推荐适用于Windows或Linux的免费，简单的OCSP服务器？

14 security  certificate  ocsp 

我现在有点吓坏了。我正在SSH进入最近已调试的远程服务器。我正在以此为根。我已经安装了fail2ban，并且日志中有大量被禁止的IP。 上次登录时，我发现我的终端确实很慢，然后我的互联网连接断开了。当我大约5分钟后买回它时，我重新登录服务器并做了一个“ who”操作，并意识到有两个root用户登录。我本以为，如果我的连接终止了，从上次会话开始的过程将是在服务器上停止了？ 当我第一次断开连接时，连接以“写入失败：管道破裂”结束。我用另一个根杀死了bash会话。我对SSH安全性了解不多，但是可以劫持会话吗？有没有办法检查这个？我需要继续通过ssh登录，应采取哪些预防措施？如果我不知何故要通过代理服务器到达我的服务器（就像中间攻击中的一个人），他们会劫持我的ssh会话吗？

14 linux  ssh  security  unix  hacking 

我们发现域管理员帐户-LastLogonTimeStamp属性中的日期是最新的，除非发生灾难恢复，否则将不使用该域。据我所知，没有人应该在相关时间段内（以及数月后）使用此帐户，但是也许有些白痴将其配置为运行预定任务。 由于安全日志事件的数量（并且缺乏用于分析的SIEM工具），我想确定哪个DC具有该帐户的实际lastLogon时间（即没有复制的属性），但是我已经查询了域中的每个DC，每个管理员的lastLogon都为“ none”。 这是林中的子域，因此有人可能使用了该子域管理员帐户在父域中运行某些内容。 除了在LastLogonTimestamp中记录的时间附近检查来自16个森林DC的潜在2000万个事件之外，谁能想到确定哪个DC正在执行登录的方法？我想我可以首先定位父域DC（因为子DC似乎未完成身份验证）。 说明 [ repadmin根据以下内容归零后添加原因] 提出此请求的最初原因是由于我们的IT安全团队在想为什么我们显然经常使用默认的域管理员帐户登录。 我们知道我们没有登录。事实证明，有一种称为“ Kerberos S4u2Self”的机制，该机制是在作为本地系统运行的调用进程进行某些特权提升时。它以域控制器上的管理员身份进行网络登录（非交互式）。由于它是非交互的，因此这就是为什么lastLogon任何DC上都没有该帐户的原因（该帐户从未登录到任何当前域控制器上）。 本文解释了为什么该事件会ping您的日志，并使您的安全团队陷入困境（源计算机是Server 2003，这会使情况更糟）。以及如何追踪。https://blogs.technet.microsoft.com/askpfeplat/2014/04/13/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/ 获得的经验教训-仅lastLogon在涉及管理员登录时才向IT安全团队提供有关属性的报告。

14 active-directory  security  domain