Questions tagged «security»

我是一名程序员，试图为一家小公司管理Active Directory设置。域控制器正在运行Windows Small Business Server 2008。 我们拥有使用平板电脑的现场工作人员；平板电脑的ThinkVantage bloatware的配置问题将要求这些用户在使用平板电脑时具有管理员权限。没关系–当我通过电话指导他们进行修复时，对他们来说具有广泛的特权很有用，因此我不在那儿寻找解决方法。 我想使用组策略来设置以下方案：登录到特定安全组（或组织单位）中的计算机时，特定安全组（或组织单位）中的用户应位于BUILTIN / Administrators组中。没关系，如果计算机必须位于OU中，但我希望按组分配用户。 当然，现场工作人员不应该是其他工作站上的管理员，而普通的办公室工作人员也不应该是平板电脑上的管理员。 目前，这是在每台平板电脑上本地管理的，但是随着我们增加新员工，它变得越来越麻烦。 我觉得受限制的群体是这里的答案，但是如果没有扎实的AD概念和方法基础，我很难实现它。 什么是执行此任务的适当技术，我将如何实施它？

11 security  active-directory  permissions  group-policy 

任何人都可以举一个现实的例子来说明SELinux在何处保存了安全性培根？（或AppArmour，如果您愿意的话）。如果不是您自己的，是否指向具有可靠经验的人？ 不是实验室测试，不是白皮书，不是最佳实践，也不是CERT咨询，而是一个真实的例子，例如audit2，为什么显示出真正的黑客尝试已停止？ （如果没有示例，请在评论中保留评论，而不是“答案”。） 谢谢！

11 linux  security  selinux 

我想知道是否有人对如何保护服务器机房免受员工提出任何建议。门上有一把锁，但是，拥有建筑主管的任何人（维修，所有者，保管人等）都可以打开它。如果它需要钥匙并且还具有感应卡锁，那就太好了，这样我们就可以记录输入并进一步限制它。有人做过吗？还有什么其他方法可以确保它的安全性？

11 security  server-room  physical-security 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 3年前关闭。 我觉得这应该是一件非常简单的事情，但是在Google搜索和检查SF时我什么都没看到。我试图使我的Fedora服务器不响应ping，我该怎么做？

11 networking  security  fedora  ping 

是否可以对通过https传输的请求执行重播攻击？意思是，https协议是否执行类似于摘要访问身份验证的机制，在这种机制中，将随机数引入请求中以防止重播。

11 security  ssl  https 

我见过一些提供“恶意软件大学”的网站，提供有关清除恶意软件的培训课程。您是否认为有必要不时更新恶意软件清除技能（或武库）？您如何更有效地应对这种日益增长的，非常复杂的威胁？

11 security  anti-virus  malware 

有没有办法告诉Windows（XP及更高版本）不要执行除某些文件夹以外的驱动器/文件夹中存在的文件（* .exe文件）？简而言之，我希望仅执行“ 白名单 ”中的可执行文件。 我认为这比要求用户不要从他们带回家的垃圾CD中运行任何可执行文件更好。

11 windows  security  malware 

我已经多次听到应该使用HTTPS传输私有数据的信息，因为HTTP容易受到窃听者的攻击。但是实际上，究竟谁能窃听给定冲浪者的HTTP流量？他们的ISP？同一局域网上的其他人？知道他们的IP地址的人吗？

11 networking  security  http 

在这里，我们在UNIX上有一个非根共享的登录帐户，该帐户用于管理特定的应用程序。该政策不允许直接登录共享帐户。您必须以自己的身份登录，然后使用“ su”命令切换到共享帐户。这是出于日志记录/安全性目的。 我已经开始对代理使用SSH公钥/私钥身份验证，以允许我每天输入一次密码，并让代理转发在一天的剩余时间内消除密码提示。真的很好 但是，某些系统已被锁定，因此我确实必须使用“ su”命令来访问共享帐户。啊！一直回到输入密码！ 是否有足够的信息通过SSH公钥/私钥身份验证进行记录，以便我有合理的机会请求策略更改以允许在使用公钥/私钥的情况下远程登录共享帐户？ 我在/ var / log / secure中有一个管理员看，它只是说从特定IP地址为用户帐户接受了公钥。它没有说是谁的公钥，还是谁的私钥进行了身份验证。

11 security  ssh  unix  authentication  logging 

已关闭。这个问题是基于观点的。它当前不接受答案。 想改善这个问题吗？更新问题，以便通过编辑此帖子以事实和引文回答。 5年前关闭。 我们正在部署一个由自己托管的新网站。没有白帽子，您将如何从网络外部进行渗透测试？

11 internet  website  security 

我最近阅读了一篇有关分析恶意SSH登录尝试的文章。这让我开始思考，我的Debian机器上的SSH用户名和密码组合不常见吗？我是否曾受到暴力字典攻击的攻击？让我们看一下/var/log/auth.log.0： Sep 23 07:42:04 SLUG sshd[8303]: Invalid user tyjuan from 210.168.200.190 Sep 23 07:42:09 SLUG sshd[8305]: Invalid user tykeedra from 210.168.200.190 Sep 23 07:42:14 SLUG sshd[8307]: Invalid user tykeem from 210.168.200.190 Sep 23 07:42:19 SLUG sshd[8309]: Invalid user tykeshia from 210.168.200.190 Sep 23 07:42:25 SLUG sshd[8311]: Invalid user tyla from …

11 linux  security  ssh  debian 

有时我想使用Ansible lineinfile或blockinfile模块将密码写入某些配置文件。如果这样做，整个行或块（包括密码）都将出现在我的syslog。 由于我不认为syslog将密码存储在安全的地方，我如何告诉Ansible不要将密码泄漏到其中syslog？我希望有办法做到这一点，否则我会认为这是Ansible中的一个大安全问题。 您可以使用以下临时命令来复制它： ansible localhost -m blockinfile -a 'dest=/tmp/ansible_password_leak create=yes block="Password = {{password}}"' -e 'password=secret' 这是最终结果syslog： ansible-blockinfile: Invoked with directory_mode=None force=None remote_src=None insertafter=None owner=None follow=False marker=# {mark} ANSIBLE MANAGED BLOCK group=None insertbefore=None create=True setype=None content=None serole=None state=present dest=/tmp/ansible_password_leak selevel=None regexp=None validate=None src=None seuser=None delimiter=None mode=None backup=False block=Password = secret …

11 security  password  syslog  ansible 

我们在Ubuntu 14.04 LTS上使用Samba作为具有漫游配置文件的PDC（主域控制器）。一切正常，除非我们尝试通过设置来实施加密： server signing = mandatory smb encrypt = mandatory 在[global]/etc/samba/smb.conf 的部分中。这样做之后，赢得8.0并赢得8.1个客户端（没有尝试过其他任何客户端）抱怨：Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden.此文本的英文翻译：The trust relationship between this workstation and the primary domain could not be established. 如果再加上两个选项server signing，并smb encrypt仅向[profiles]smb.conf文件的部分，则tcpdump显示，实际流量是不加密的！ 完整的smb.conf： [global] workgroup = DOMAIN server string = %h …

11 security  samba  encryption  samba4  domain-controller 

我正在设置一个Web服务器，该服务器将托管许多不同的网站，如Apache VirtualHosts，每个网站都可以运行脚本（主要是PHP，其他可能是possiblu）。 我的问题是如何将这些VirtualHost彼此隔离以及与系统其余部分隔离？我不希望网站X例如读取网站Y的配置或任何服务器的“私有”文件。 目前，我已按照此处所述使用FastCGI，PHP和SUExec设置了VirtualHosts（http://x10hosting.com/forums/vps-tutorials/148894-debian-apache-2-2-fastcgi-php-5-suexec -easy-way.html），但是SUExec仅阻止用户编辑/执行他们自己以外的文件-用户仍然可以读取敏感信息，例如配置文件。 我已经考虑过删除服务器上所有文件的UNIX全局读取权限，因为这样可以解决上述问题，但是我不确定是否可以安全地执行此操作而不中断服务器功能。 我也研究了使用chroot，但似乎只能在每个服务器上完成，而不能在每个虚拟主机上完成。 我正在寻找将我的VirtualHost与系统其余部分隔离的任何建议。 PS我正在运行Ubuntu 12.04服务器 我的回答：我几乎按照当前配置进行了操作，但是对所有虚拟主机都进行了chroot监禁，例如，将chroot监禁入其中/var/www，然后将所有用户数据放在子文件夹中，每个子文件夹均具有组/其他r / w / x权限禁用的。该选项是可取的，特别是因为无需修改源代码就可以实现。 我选择了@Chris的答案，因为它是经过彻底编写的，并且还考虑了FTP和SELinux

11 apache-2.2  ubuntu  php  security  shared-hosting 

MS已竭尽全力从GUI工具中删除“本地用户和组”，即使您直接勾选lusrmgr.msc，它也会抱怨该管理单元无法在域控制器上运行。 问题是“为什么不呢？” 为什么DC具有本地安全组没有意义？

11 windows-server-2008  security  domain-controller