Questions tagged «security»

我们正在为一个域中的一个帐户被盗用的情况做准备，下一步该怎么做？ 禁用该帐户是我的第一个解决方法，但是几周前我们在这里有渗透测试者，他们可以使用几个月前离开的管理员用户的哈希登录名。 到目前为止，我们的两个答案是： 删除帐户并重新创建（创建新的SID，但也为用户提供更多服务并为我们工作） 至少更改密码3次并禁用该帐户 您的方法是什么，或者您会建议什么？

14 active-directory  security 

我为DROWN攻击修补了Postfix + Dovecot服务器（我禁用了sslv2和sslv3）。 https://test.drownattack.com Shows :25 vulnerable to CVE-2016-0703 :110 vulnerable to CVE-2016-0703 ... 之后，如果我的命令行连接的OpenSSL的s_client使用-ssl2开关那么协议不被支持。我可以认为这是他们的扫描仪未检测到的吗？

14 security  ssl 

一直在为RedHat盒制定一些安全性强化程序，我想知道一旦密码过期，是否可以防止用户更改密码。 对于我们的一位客户，要求是他们只能通过临时帐户访问服务器，这意味着一旦创建了用户凭据，密码必须在4小时内过期，并且一旦密码过期，则只有root用户才能更改它。 对于第一个要求（密码在4小时后过期），我想可以通过设置passwordMaxAge = 144000来实现。但是我仍然找不到防止用户更改过期密码而不关闭密码过期的方法。 有人可以帮忙吗？

14 security  redhat  pam  hardening 

Google 宣布了SSLv3协议中的一个漏洞 ...允许网络攻击者计算安全连接的明文。 该漏洞的名称为CVE-2014-3566，市场名称为POODLE。 如果我在` https://www.example.com/上有一个网站，如何确定此漏洞是否对我造成影响？

14 security  https 

我正在创建一个仅SFTP的Docker容器，该容器将由多个人使用，其唯一目的是在自己的chrooted环境中上载和管理文件。 从表面上看，这是非常安全的：我将禁用每种形式的bash登录，并且不会在其中运行任何其他进程。但是，我想进一步加强一点： 我想阻止此容器从内部访问Internet，但其目的是成为SFTP服务器。 需要说明的是：我知道如何防止外界访问我的容器-我可以设置传入iptables规则，并且可以在docker run命令中仅公开SFTP端口。 但是，当在容器内运行时，我想使以下命令失败（例如）： curl google.com 我的目的是减少被黑客入侵的容器可能造成的损失（不能用于发送垃圾邮件等）。

14 ssh  security  sftp  docker 

我的Oracle DBA同事正在请求对生产服务器进行 root访问。 他在争论自己需要它来执行一些操作，例如重新启动服务器以及执行其他一些任务。 我不同意他的说法，因为我已经给他设置了Oracle用户/组和Oracle用户所属的dba组。一切运行顺利，并且DBA当前没有root访问权限。 我还认为，诸如计划的服务器重新启动之类的所有管理任务都必须由适当的管理员（在我们的案例中为系统管理员）完成，以避免与基础设施交互作用的误解有关的任何类型的问题。 我想要sysadmins和Oracle DBA的输入-Oracle DBA是否有充分的理由在生产环境中具有root用户访问权限？ 如果我的同事确实需要这种访问级别，我会提供它，但是由于安全和系统完整性方面的考虑，我非常害怕这样做。 我不是在寻找优点/缺点，而是在如何应对这种情况方面提供建议。

14 linux  security  redhat  oracle 

我用了： usermod -L myUser 禁用该帐户的密码。假设我不知道密码，如何检查密码已被禁用。 根据手册页放置！在加密密码的前面，但是我也不知道如何检查。

14 ubuntu  security 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 8年前关闭。 目前，我正在使用VisualSVN Server，并且只能在我的家庭网络上访问。最终会有其他人访问它，但是现在只有我一个人，我希望能够下到咖啡店（或任何地方），并能够离开屋子工作。 目前，我正在访问服务器http://user-pc:xx/svn/Projects/。当我设置路由器将端口XX转发到服务器时，应采取哪些步骤保护服务器安全？ 请记住，我是在Windows上执行此操作的，尽管我广泛使用常规命令提示符，但到目前为止，我使用SVN的时间还不够长，到目前为止，除了TortoiseSVN之外，没有使用其他任何工具来使用它。 编辑：据我所知，攻击者可能做的唯一有害的事情是：猜测进入存储库的端口号，用户名和密码。但是俗话说，我不知道我不知道什么。 因此，我不一定要求逐步说明（尽管我当然也希望有这样的说明）以及在打开端口后可能要进行的任何形式的攻击时需要考虑的事项。

14 windows  security  firewall  svn  visualsvn-server 

我想知道iLO是否足够安全，可以挂在WAN上，我在寻找一些文章，但找不到任何文章？ 你们如何保护iLO？你把它放在防火墙后面吗？ 您是否使用可以使用iLO从WAN访问的防火墙？

14 security  ilo 

我正在尝试使多个ubuntu盒保持最新状态并进行修补（10.4.2 LTS），我得到的一个建议是设置无人值守升级（https://help.ubuntu.com/community/ AutomaticSecurityUpdates）。 过去，我一直反对设置自动更新，这主要是由于偏执狂，因为它会在更新过程中破坏某些内容。但是，现在我开始怀疑这是多么有效（与拥有未打补丁的服务器相比，这有多大的风险）。这是一个理智的想法吗？ 我们也正在设置Puppet，但是创建模块/将服务器迁移到Puppet似乎还有很长的路要走。

14 ubuntu  security  update  patch 

为了便于讨论，假设我有一个Apache Web服务器，该服务器在www.example.org上提供网站。该域名解析为公用IP地址192.168.1.100（假装这是公用IP）。 在讨论有什么我可以做别人谁曾指出他们的域名在我的IP？证明任何人都可以将其域名指向我的IP。Apache默认情况下不会阻止这种情况，但是管理员可以通过使用黑名单来一次处理这些问题。 但是，诈骗者注册数十个（或更多）域以用于诈骗变得越来越普遍。我担心以下可能的攻击： 诈骗者注册了数百个域名，并将它们指向我的专用IP地址。 诈骗者将搜索引擎导向其诈骗域，从而利用我的内容来提高他们在搜索引擎中的地位。 后来，诈骗者将其域名移到指向自己的服务器的主机上，这些服务器托管着诈骗/色情内容或竞争的企业等，从而从中获得了自己在搜索引擎中的地位。这些域中的某些域也可能被用于添加垃圾评论。 利润！！ 我相信过去曾经见过诈骗者使用此技巧，涉及数十个领域。当时我们没有意识到诈骗的含义，并假设这些是错误配置的域。 这个邪恶的SEO技巧有术语吗？SEO伪装？DNS转移？ 如何使用Apache防止这种情况？我正在考虑基于使用默认值＆的“白名单”修复程序VirtualHosts，以便Apache仅响应这些列入白名单的ServerNames出现在“ ”标头中的请求。其他所有内容都会被拒绝（或重定向到特定页面）。但是，我不确定这是否是最佳方法。ServerNamesServerAliasesHost: 例如，我已经将域http://thisisnotserverfault.stefanco.com/配置为指向Serverfault.com的IP。您可以在这里查看结果：http : //thisisnotserverfault.stefanco.com/。

14 apache-2.2  domain-name-system  security 

通常，什么时候应该创建一个新的用户帐户来在服务器上运行一个面向互联网的软件？ 例如，假设我正在使用共享的Debian服务器（例如，通过Dreamhost），并且我想使用WordPress运行一些网站，一些使用Redmine，一些使用Ruby on Rails，也许一些使用Django，并且我想为Mercurial服务仓库。 在Dreamhost服务器和许多其他类似的设置服务器上，都可以在单个用户帐户下完成，但是我可以看到这种方法的一些缺点： 更长的.bashrc 如果该帐户被盗用，则该帐户下运行的所有站点也将被盗用。 另一方面，要跟踪很多用户帐户可能会有些麻烦，特别是如果其中一些用户对安装的软件有相同的要求时。例如，为每个运行WordPress的网站拥有一个帐户可能就太过分了。 最佳做法是什么？这仅仅是一个与每个人的偏执程度成比例地减少每个用户帐户的托管站点（或托管存储库等）数量的问题吗？ 请对此发表您的意见，并说明理由。 另外，如果您有任何理由认为在专用服务器或VPS上使用的方法应与在共享服务器上使用的方法不同，请概述它们的含义以及您使用它们的原因。

14 linux  security  web-server  user-accounts 

我们计划将生产网络从无VLAN配置迁移到标记VLAN（802.1q）配置。此图总结了计划的配置： 一个重要的细节是，这些主机中的很大一部分实际上将是一台裸机上的VM。实际上，唯一的物理计算机将是DB01，DB02，防火墙和交换机。所有其他计算机将在单个主机上虚拟化。 人们一直担心的是这种方法很复杂（隐含的过于复杂），并且VLAN仅提供了一种安全感，因为“ VLAN跳跃很容易”。 鉴于由于虚拟化将多个VLAN用于单个物理交换机端口，这是否是一个有效的问题？我如何适当地设置VLAN以防止这种风险？ 另外，我听说VMWare ESX有一个称为“虚拟交换机”的东西。这是VMWare虚拟机管理程序唯一的吗？如果没有，它是否可以与KVM（我计划的虚拟机管理程序）一起使用？它如何发挥作用？

14 security  virtualization  vlan 

我很好奇。我一直在阅读有关我们的ISP和互联网中间人如何记录和跟踪所有DNS请求的信息，基本上在许多日志中都留下了痕迹，也允许出于广告目的进行DNS劫持（我在看您的Cox Communications！）。 不管其他用于隐私/安全性的方法，我特别想知道是否有可能在自己的本地网络上运行DNS服务器，_实际具有根DNS服务器的区域信息（.com，.net等）。 org）域。 我知道您可以设置基本上只映射您所在域中的计算机的DNS，但是可以基本上请求将根DNS信息的副本/传输存储在自己的DNS服务器上，这样就可以绕过DNS进入互联网网页浏览的所有信息？ 我希望我很清楚。我不想让我的DNS服务器只包含有关我的内部网络的信息-我希望它具有大型Internet DNS服务器所具有的重复信息，但我希望在我的DNS服务器上本地获取该信息。 是否有类似BGP区域传输的内容，但用于DNS？ 更新：是否有任何产品/ OSS软件可以基本上将这些信息从外部DNS链“刮取”到本地缓存中，以便它们在需要时就可以使用，而在您明确请求域记录时可以对它们进行缓存？

14 domain-name-system  security  privacy 

为了： 提高我的网站的安全性 减少带宽需求 防止收集电子邮件地址

14 performance  security  robots.txt