Questions tagged «security»

与其通过端口扫描我的服务器来使黑客成为可能，我还想假冒sshd正在监听端口22并记录尝试。这样做有意义吗？如果是，则可以使用哪些积极开发的工具/库。

9 security  ssh 

Citrix Netscaler具有一个有趣的属性，该属性将信息嵌入到发送到主机的TCP数据包中。此属性以使Netscaler可以使用它确定必须采用的虚拟服务器，主机和路由的方式回显给Netscaler。 将专有信息回显到主机的能力具有有趣的应用程序。 Citrix Netscaler如何做到这一点（在哪里填充位），以及Netscaler（或类似设备）理论上可以在数据包中的其他什么位置填充数据？ 哪些设备将（或将不允许）使这些自定义数据保持不变？

9 networking  security  routing  tcp  netscaler 

为了使用阻止过多的失败phpMyAdmin登录尝试fail2ban，我创建了一个脚本，用于将失败的尝试记录到文件中：/var/log/phpmyadmin_auth.log 自定义日志 该/var/log/phpmyadmin_auth.log文件的格式为： phpMyadmin login failed with username: root; ip: 192.168.1.50; url: http://somedomain.com/phpmyadmin/index.php phpMyadmin login failed with username: ; ip: 192.168.1.50; url: http://192.168.1.48/phpmyadmin/index.php 自定义过滤器 [Definition] # Count all bans in the logfile failregex = phpMyadmin login failed with username: .*; ip: <HOST>; phpMyAdmin监狱 [phpmyadmin] enabled = true port = http,https …

9 security  configuration  fail2ban 

我想在UNIX机器上更改密码。我输入了正常的“ passwd”并输入了旧密码和新密码。 然后机器返回以下消息给我： BAD PASSWORD: is too similar to the old one 那让我开始想...这是否意味着机器在某处以明文形式显示了我的密码？否则，它应该无法比较新旧密码，对吗？还是有一个散列函数可以启用该功能？

9 security  unix  password 

我有一位安全顾问告诉我，出于安全原因，我们不能使用通配符SSL证书。需要明确的是，我更喜欢使用单个证书或多域证书（SAN）。但是，我们需要服务器（请求）到子域的服务器100。 根据我的研究，人们站点不使用通配符的主要原因是来自verisign的以下原因： 安全性：如果一台服务器或子域受到威胁，则所有子域都可能受到威胁。 管理：如果需要吊销通配符证书，则所有子域都需要一个新证书。 兼容性：通配符证书可能无法与 较旧的服务器-客户端配置无缝兼容。 保护：VeriSign通配符SSL证书不受NetSure扩展保修的保护。 由于私钥，证书和子域都将存在于同一服务器上，因此替换就像替换该证书并影响相同数量的用户一样简单。因此，还有其他原因不使用通配符证书吗？

9 security  ssl  https 

我目前管理6台Cisco ASA设备（2对5510和1对5550）。它们都工作得很好并且很稳定，所以这更多是一个最佳实践的建议问题，而不是“ OMG坏了，请帮我修复它”。 我的网络分为多个VLAN。几乎每个服务角色都有其自己的VLAN，因此DB服务器将具有自己的VLAN，APP服务器和Cassandra节点。 通过仅允许特定的拒绝休息基础来管理流量（因此默认策略是丢弃所有流量）。我通过为每个网络接口创建两个ACL来做到这一点，例如： 访问列表dc2-850-db-in ACL，该访问控制列表以“ in”方向应用于dc2-850-db接口 以“出”方向应用于dc2-850-db接口的访问列表dc2-850-db-out ACL 一切都非常紧凑并且可以按预期工作，但是我想知道这是否是最好的选择？ 目前，我已经拥有30个以上的VLAN，我必须说，在某些情况下管理这些VLAN变得有些混乱。 可能像通用/共享ACL这样的东西在这里可以帮到我可以从其他ACL继承的东西，但是AFAIK没有这样的东西... 任何建议，不胜感激。

9 networking  security  cisco  cisco-asa  best-practices 

远程计算机是否可以通过欺骗回送ip来访问另一台计算机的本地主机数据？ 假设我想要一个设置，如果我要从自己的网络以外的地方进行连接，则必须提供登录凭据，并且所有敏感操作都需要输入密码。但是，如果我是通过计算机连接的，则不需要这些凭据，因为无论如何我都必须登录到OS才能访问该设备上的网络。我可以以此方式依靠环回地址作为安全措施吗？还是攻击者可能使它看起来像是在本地连接一样？

9 security  localhost 

我们有一个后缀服务器，它要求通过它对SMTP中继进行身份验证。我们在MySQL数据库中使用虚拟邮箱。 一条消息已通过我们的系统中继，我们需要确定使用了哪个用户帐户发送该消息。 消息头包含： Received: from User (c-76-109-241-139.hsd1.fl.comcast.net [xx.109.xxx.139]) by ourserver.com (Postfix) with ESMTPA id 7BA184B4AD4; Tue, 3 Jul 2012 05:42:59 -0400 (EDT) 我们没有名为“ User”的用户，并且IP地址不是我们要从中发送邮件的用户。我想找出发件人在发送邮件时进行身份验证的用户帐户。 有没有办法追踪？

9 email  postfix  security 

（我的问题不是真的关于Django。它是关于其他http端口的。我只是偶然知道Django是一个相对著名的应用程序，默认情况下使用8000，因此是说明性的。） 我有一个狂野的开发服务器，有时我们需要在不同的端口上运行多个httpd服务。当我需要站起来进行第三项服务时，我们已经在使用端口80和8080，我发现我们的安全团队已锁定了来自Internet的端口8000访问。我知道端口80是标准的http端口，而8080通常是http_alt，但我也想让我们的安全团队也可以打开8000。为了解决这个问题，我希望这个问题的答案可以为我提供一个合理的论据，以便在某些情况下使用端口8000超过8080。 还是只是一个毫无意义的随机选择？

9 security  http  port 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 5年前关闭。 我正在运行的其中一台cPanel服务器经常遇到电子邮件帐户遭到破坏的问题。我相信该服务器上的许多用户密码都很弱。我已经提高了最低密码安全性，但是只有在更改密码后才能生效...是否可以对所有cPanel帐户和cPanel电子邮件地址强制一次更改一次密码？这样，我可以强制所有用户生成新的安全密码。 更新：我发现每个帐户都有一些文件，~/etc/domain.name/{passwd,shadow}其中包含所有电子邮件帐户的Unix式passwd和影子文件。但是，如果我手动编辑它们，我仍然可以发送电子邮件:-( 如果我可以找到exim用于验证用户身份的文件并在那里修改密码，那将解决我的问题...

9 security  email  exim 

我试图了解我无法弄清的IIS安全性。我有一个在IIS下运行的内部（不在Internet上）应用程序。 该特定应用程序具有与其关联的应用程序池，该应用程序池以特定用户（服务器的管理员）身份运行。为默认网站设置的身份验证方法是使用特定用户集（也是服务器的管理员）的匿名身份验证。因此，在大多数情况下，我了解这种安全性。 我不了解的是，如果您转到默认网站的“高级设置”，则有物理路径凭据和物理路径凭据登录类型。目前，这里没有任何设置。 在这里设置凭据的原因是什么？ 登录类型（匿名和路径凭据）之间有什么区别？

9 security  iis  iis-7.5 

我正在尝试使用Freeradius建立经过身份验证的wifi网络。我已经设法使用自签名证书等使事情正常进行。 问题是Windows客户端需要在MSCHAPv2设置中取消选中“ 自动使用Windows登录名和密码 [等]”选项。当我使用Eduroam连接到本地大学时，它会自动要求输入用户名和密码，而不是发送Windows登录凭据。系统管理员是如何做到这一点的？是某种回传的RADIUS属性吗？

9 wifi  freeradius  security  wpa2 

在我工作的这家相对较小的公司中，我一直在分发用Word文档非常简单地编写的用户名和密码。 我希望现在这一过程能够变得更加专业，因为我们正在扩展并定期招聘新员工，包括一些文字说明诸如负责自己保留敏感信息，不对系统造成任何故意损害的责任，yada亚达 基本的常识，我想您可以说“合法”的东西，这正是我要寻找的，然后我希望员工最终签署一份副本。 这样的模板是否已经在线存在？关于我本来可以做什么，也许还有其他建议吗？我的最后一招可能是让我的老板（首席执行官）让我们的律师出谋划策，但这将变成一个非常昂贵的项目。 任何帮助将不胜感激！

9 security 

我知道/ var / log / btmp用于失败的登录尝试。通常，具有如此大的文件表示蛮力尝试。6GB是过去3年的累积量。我已采取措施隐藏sshd，因此除我以外的任何人都无法访问它。这些步骤应大大减少此文件中的日志总数。 到目前为止，当前的情况只是噪音-机器人试图强行使用服务器。 我的问题是，如何安全地清空此文件，或将其修剪到最后一个月？我知道此文件的格式不是纯文本格式，所以我不想破坏该文件（希望以后可以查看它）。

9 security  log-files 

我正在研究为用户提供跨多台计算机的单一身份的软件。也就是说，用户应在每台计算机上具有相同的权限，并且该用户应有权访问每台计算机上的所有他或她的文件（漫游主目录）。这个一般想法似乎有很多解决方案，但我正在尝试为我确定最佳解决方案。以下是一些详细信息以及要求： 机器网络是运行Ubuntu的Amazon EC2实例。 我们使用SSH访问机器。 该LAN上的某些计算机可能有不同的用途，但我仅讨论特定用途的计算机（运行多租户平台）。 该系统不一定具有恒定数量的机器。 我们可能必须永久或临时更改正在运行的计算机数量。这就是为什么我要研究集中式身份验证/存储的原因。 实现这种效果应该是安全的。 我们不确定用户是否可以直接进行shell访问，但是他们的软件可能会在我们的系统上运行（当然，使用受限的Linux用户名），这与直接shell访问一样好。 为了安全起见，假设他们的软件可能是恶意的。 我听说过多种技术/组合可以实现我的目标，但是我不确定每种组合的后果。 较早的ServerFault帖子推荐使用NFS和NIS，尽管根据Symantec的旧文章，此组合存在安全问题。该文章建议使用NIS +，但由于年代久远，这篇Wikipedia文章引用了一些声明，暗示Sun逐渐偏离NIS +。推荐的替代品是我听说的另一件事... LDAP。看起来LDAP可用于将用户信息保存在网络上的集中位置。仍然需要使用NFS来满足“漫游主文件夹”的要求，但是我看到它们被一起使用。既然Symantec文章指出了NIS和NFS中的安全性问题，是否有软件可以替代NFS，还是我应该注意该文章的建议以将其锁定？我之所以趋向于LDAP，是因为我们架构的另一个基本部分RabbitMQ具有针对LDAP的身份验证/授权插件。RabbitMQ将以受限方式供系统上的用户访问，因此，我希望将安全系统捆绑在一起。 Kerberos是我听说过的另一种安全身份验证协议。几年前，我在一个密码学课上学到了一些关于它的知识，但对它却不太记得。我在网上看到了一些建议，可以通过多种方式将其与 LDAP 结合使用。这有必要吗？没有Kerberos的LDAP有哪些安全风险？我还记得在卡耐基梅隆大学开发的另一款软件中使用了Kerberos ... 安德鲁文件系统或AFS。可以使用OpenAFS，尽管其设置似乎有些复杂。在我的大学中，AFS同时满足这两个要求...我可以登录到任何计算机，并且“ AFS文件夹”始终可用（至少在获得AFS令牌时）。 除了我应该寻找的建议之外，是否有人有特别有用的指南？粗体指出，LDAP似乎是最佳选择，但是我对与安全性有关的实现细节（Keberos？NFS？）特别感兴趣。

9 linux  ubuntu  security  authentication  ldap