Questions tagged «security»

我们的站点一直受到IP地址解析为中国的僵尸程序的不断攻击，试图利用我们的系统。尽管证明他们的攻击没有成功，但它们却不断消耗着我们的服务器资源。攻击示例如下所示： 2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 - Hostname - 2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 …

13 security  web-server  iis-6  asp.net  ids 

这可能是一个菜鸟问题，但是如何确定某人提供给我的公共SSH密钥是否有密码短语？ 在某些情况下，我不会为用户生成SSH密钥，但是我想确保我放置在服务器上的每个SSH密钥都有一个密码短语，但是我觉得该密码短语只是私钥的一部分。 谢谢！

13 linux  security  ssh 

在IIS 5.0中，默认情况下，应用程序池的标识帐户是ASPNET，并且除非启用了模拟功能，否则网站将以其应用程序池的标识帐户运行。 但是在IIS 7.0中，有两个地方可以配置网站将使用的帐户。在应用程序池级别和网站级别。 我希望网站标识能覆盖应用程序池标识，但我只是发现事实并非如此。 那么，有什么区别呢？

13 security  iis  iis-7  application-pools 

我可能在这里做梦 但是，是否存在可靠的键盘记录程序软件检测方法？我主要是一名开发人员，但是我运行着几台服务器，最让我担心的是个人系统上的软件键盘记录程序，它可以很好地保持安静。 有什么方法可以确保我的个人系统上没有软件键盘记录器，无法捕获我的所有RDP密码？

13 security 

根据Internet Storm Center的说法，那里似乎存在SSH零时差漏洞。 这里有一些概念证明代码和一些参考资料： http://secer.org/hacktools/0day-openssh-remote-exploit.html http://isc.sans.org/diary.html?storyid=6742 这似乎是一个严重的问题，因此每个Linux / Unix系统管理员都应该小心。 如果未及时解决此问题，我们如何保护自己？还是您一般如何处理零时差攻击？ *我将在回复中发表我的建议。

13 linux  security  ssh  hacking  exploit 

按照目前的情况，这个问题并不适合我们的问答形式。我们希望答案会得到事实，参考或专业知识的支持，但是这个问题可能会引起辩论，争论，民意调查或扩展讨论。如果您认为此问题可以解决并且可以重新提出，请访问帮助中心以获取指导。 8年前关闭。 刚收到供应商的电子邮件，通知我们他们将迫使我们每六个月更改一次密码，我很想知道人们使用什么密码到期政策以及为什么使用它们。

13 password  security 

已关闭。这个问题是基于观点的。它当前不接受答案。 想改善这个问题吗？更新问题，以便通过编辑此帖子以事实和引用的形式回答。 5年前关闭。 我想知道优缺点。.支持和反对sys admin使用密码维护用户帐户列表的想法的理由。.另外，不允许这些用户更改密码。 我了解Windows之类的系统似乎鼓励这样一种想法，即用户应维护自己的密码安全性并被允许随意更改其密码。对于同事需要不同意系统日志的情况，我非常感谢对隐私的保护，以及用户有一定的辩解来保护自己。但是同时，我还可以看到，如果需要访问用户可能希望保密的某些材料，那么有人可以证明将用户密码记录在案。 我真的很想接受这个想法的教育。

13 security  password  privacy  permissions 

在将Web应用程序（.net）部署到生产环境时，使用集成安全性更好还是更重要？ 在我看来，如果黑客破坏了Web服务器，那将不会很重要，因为他们可以轻松地模拟计算机。 有什么想法吗？

13 sql-server  security  web-applications 

如何在Linux（Debian）服务器上为影子密码和PHP启用crypt_blowfish支持？ 我指的是OpenBSD样式的基于Blowfish的bcrypt，在PHP中称为CRYPT_BLOWFISH。 据我所知，没有适用于Debian的软件包，为使PHP启用此哈希算法还需要其他哪些选择？ 注意： PHP的crypt（）功能与底层操作系统提供的C库crypt（3）函数相对直接地接口。 更新 包的命名不应该（应该）那么清晰。 该PEAR包crypt_blowfish的是一个简易替换为PHP的mcrypt扩展，允许快速双向 Blowfish加密。 而且Debian BCrypt软件包 也是“正常”双向河豚算法的实现。 我正在寻找的是用于哈希密码的Bcrypt-hash实现。

13 security  debian  hash 

使用MySQL和fail2ban上的搜索引擎搜索Internet会在将fail2ban日志放入MySQL时产生很多结果，但是我想监视失败的MySQL尝试登录并禁止这些IP的尝试。 我的应用程序要求我为MySQL打开一个端口，尽管我已更改默认端口以增强安全性。但是为了获得额外的安全性，我想使用fail2ban监视MySQL日志。 有没有人为MySQL配置fail2ban的快速指南？我已经安装了它，并且可以在其他几个服务上使用，因此您可以跳过安装部分，而直接跳到配置配置文件或任何其他必要的东西。

13 mysql  security  iptables  fail2ban 

我使用的服务器是Ubuntu 10.10。为了确保安全性，我想编辑服务器发送给客户端的横幅。 如果我通过端口22远程登录到主机，它将告诉我正在运行的SSH的确切版本（SSH-2.0-OpenSSH_5.3p1 Debian-3ubuntu4）。MySQL和Cyrus的情况相同。 有什么建议么？至少对于SSH？ 谢谢

13 linux  security 

我最近在http://archives.neohapsis.com/archives/openbsd/2005-03/2878.html上找到了反对在Linux中禁用root用户登录的论点。 我假设，如果每个人都使用公共密钥身份验证，则不会丢失根密码。 通过ssh禁用root登录是否总是更好？

13 linux  security  ssh 

我在运行Apache Httpd的服务器上托管了一些网站。每个网站都有其自己的域或子域以及虚拟主机。因此，我不需要默认的文档根目录。有可能禁用DocumentRootin /etc/httpd/conf/httpd.conf吗？

13 apache-2.2  security  httpd.conf  documentroot 

我正在使用bind并开始想知道为什么该软件例如在chroot中运行的CentOS中。别误会我，我知道绑定是什么，chroot（jail）是干什么的。但是我的主要问题是，没有chroot的绑定运行是如此不安全吗？ 在没有监牢的情况下进行安装真的有害吗（比其他任何服务或软件都多）。在系统中，有许多没有chroot的进程正在运行，我认为其中任何一个的妥协都是非常危险的，但是是什么使具名的操作系统比没有chroot的其他软件更危险？

12 linux  security  bind  chroot 

我们正在实现一个伪平台即服务环境。将基础架构即服务并行化是一个相当简单的设置：基本上，我们的每个客户端都可以访问自己的服务器，我们将维护操作系统，而客户端则只能访问有限的操作系统。由于...的原因，我们无法允许客户端对服务器进行完全本地管理员访问，但是他们应该对IIS（SQL Server，SQL Server等）中的Web托管工具具有完全访问权限。我完全知道此设置有多复杂，但是这些决定是在我头顶上方做出的，在此事上我的声音已被听到和忽略。 问题： 是否可以向非本地管理员授予对IIS管理器的管理访问权限（整个IIS管理器，而不仅仅是委派站点）？如果是这样，怎么办？ 谢谢！

12 security  windows-server-2008-r2  iis-7.5