Questions tagged «security»

安全不是产品,而是过程。

4
人们为什么告诉我不要使用VLAN进行安全保护?
按照标题,为什么人们告诉我不要出于安全目的使用VLAN? 我有一个网络,其中有几个VLAN。两个VLAN之间有一个防火墙。我正在使用HP Procurve交换机,并确保交换机到交换机的链接仅接受标记的帧,并且主机端口不接受标记的帧(它们不是“ VLAN Aware”)。我还确保中继链路的本机VLAN(PVID)与2个主机VLAN都不相同。我还启用了“入口过滤”。此外,我确保主机端口仅是单个VLAN的成员,这与相应端口的PVID相同。属于多个VLAN的唯一端口是中继端口。 有人可以向我解释为什么上述方法不安全吗?我相信我已经解决了双重标记问题。 谢谢 更新:两个开关均为HP Procurve 1800-24G


6
更新生产Ubuntu可以做的事情
我经常登录生产web / db / tools框,然后看到典型的消息: 可以更新30个软件包。16个更新是安全更新。 我的问题是,你们所有人如何处理生产Ubuntu机器上的更新?您会自动执行这些更新吗?您为他们设置停机时间吗?问题是,您永远不知道更新何时会破坏某些内容,例如现有的配置文件等。 这个问题的另一部分是,与补丁保持同步是“一件好事”,但是补丁几乎每天都会发布。如果每天有新的安全补丁可用,则必须进行多少次预定停机? 我认为回答有关如何管理更新的主题将非常有用。

11
是否有禁用硬件辅助虚拟化的充分理由?
最近,我们有许多戴尔的服务器,所有这些服务器的BIOS中都禁用了硬件辅助虚拟化。 据我所知,硬件辅助虚拟化是一件好事-那么戴尔为什么要禁用它呢?如果计算机不充当虚拟机主机,是否会有性能开销?有安全性问题吗? 如果与您的答案有关,我们将主要使用: 主机操作系统:Windows Server 2003 Enterprise R2(32位) 来宾操作系统:Windows Server 2003 Enterprise R2(32位) VMM:Virtual Server 2005企业R2 SP1

7
我应该在Debian lenny stable上启用自动更新吗?
我已经安装了新的Linux Debian lenny服务器,它将是LAMP和Subversion服务器。我是否必须启用自动更新? 如果启用它,则可以确定我具有最新的安全补丁程序。这也不应该破坏我的系统,因为Debian stable仅提供安全补丁。如果我手动安装它们,则可能在数天和数周的时间里承受很高的安全风险。 请记住,我不是专职系统管理员,因此我没有时间查看安全公告。 您通常使用服务器做什么?你有什么建议?

1
使用BitLocker时如何检查硬盘是否已通过软件或硬件加密?
由于最近的安全性研究结果,即可能大多数SSD都以一种幼稚的方式破坏了加密,我想检查哪些BitLocker计算机正在使用硬件加密,哪些计算机正在使用软件。 我找到了一种禁用硬件加密的方法,但是我不知道如何检查是否正在使用硬件加密(在这种情况下,我将不得不重新加密驱动器)。我该怎么办? 我知道manage-bde.exe -status哪个给了我这样的输出: Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [Windows] [OS Volume] Size: 952.62 GB BitLocker Version: 2.0 Conversion Status: Used Space Only Encrypted Percentage Encrypted: 100.0% Encryption Method: XTS-AES 128 Protection Status: Protection On Lock Status: Unlocked Identification Field: Unknown Key Protectors: …

1
如何让nginx记录使用的SSL / TLS协议和密码套件?
我的目标是为连接到我的nginx的客户端确保适当的安全性。我正在遵循Mozilla的指南来在我的nginx安装上正确配置TLS,但是我没有概述实际使用的实际协议/密码套件。 我现在所拥有的: server { listen 443; ssl on; ssl_certificate /path/to/signed_cert_plus_intermediates; ssl_certificate_key /path/to/private_key; ssl_dhparam /path/to/dhparam.pem; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'the_long_ciphersuite_listed_there'; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:50m; } 这样,我想记录使用哪种SSL协议进行连接以及在客户端/服务器协商后选择了哪种密码套件。例如: 10.1.2.3 - - [13/Aug/2014:12:34:56 +0200] "GET / HTTP/1.1" 200 1234 "-" "User agent bla" 至 10.1.2.3 - - [13/Aug/2014:12:34:56 +0200] ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 …
24 nginx  security  logging  tls  ssl 

4
强制通过身份验证的用户立即注销(紧急情况)
在Active Directory中,如果要阻止用户登录,则可以禁用其帐户或仅重置其密码。但是,如果您有一个已经登录到工作站的用户,并且需要阻止他们尽快访问任何资源-您该怎么做?我说的是一种紧急情况,即立即解雇工人,如果不立即将他们拒之门外,就有可能造成严重破坏。 几天前,我也遇到过类似的情况。起初我不确定该怎么做。阻止用户访问网络共享很容易,但这还不够。最终,我使用Stop-Computer -ComputerName <name> -ForcePowerShell cmdlet 关闭了目标计算机,就我而言,这解决了该问题。但是,在某些情况下,这可能不是最佳选择,例如,如果您要切断的用户已登录到多个工作站或提供重要服务的计算机上,而您无法将其关闭。 从所有工作站远程强制立即注销用户的最佳解决方案是什么?在Active Directory中甚至可能吗?

8
将Linux用户限制为他拥有的文件
想象一下,一个共享的虚拟主机公司的服务器设置,其中有多个(约100个)客户可以通过外壳访问单个服务器。 很多网络“软件”建议将chmod文件0777。我对我们的客户不明智地遵循这些教程感到不安,他们向其他客户开放他们的文件。(我当然不是在cmod 0777不必要地使用我!)是否有一种方法可以确保客户只能访问自己的文件,并阻止他们访问其他用户的世界可读文件? 我研究了AppArmor,但这与流程紧密相关,在该环境中似乎失败了。




11
指纹认证安全吗?
使用指纹读取器比(强)密码更安全地进行OS身份验证吗?可以很容易地将其黑客入侵吗? 顺便说一句,指纹存储在哪里?在硬件芯片上还是在文件系统上? 这取决于读者的硬件吗? 这取决于库/ OS的实现吗?

9
无法SSH:debug1:需要SSH2_MSG_KEX_DH_GEX_REPLY
我们在Amazon EC2上有一个服务器XXX。 SSH在标准(22)端口上运行。 我将发布密钥放在/.ssh/authorized_keys文件中 有趣的是,昨天运作良好! 但是今天,我不知道发生了什么!我只是无法登录。 ssh -vvvv服务器名称 卡在 debug1:需要SSH2_MSG_KEX_DH_GEX_REPLY 我检查了我的公钥,它在那里!(我如何检查?我请另一个人检查) 然后我使用另一台计算机(Windows 7 +腻子)并放置了新的公钥。还有什么?我能够登录!那是另一台装有Win7的计算机,它位于同一LAN上,这与外部IP相同。 我的私钥可用于其他服务器,但不适用于此服务器。 请帮忙!

2
iptables中的“ policy ACCEPT”和“ policy DROP”是什么意思?
service iptables status在2个CentOS服务器上运行时, 一个服务器policy ACCEPT中 Chain INPUT,Chain FORWARD和 Chain OUTPUT 另一台服务器有policy DROP在 Chain INPUT和Chain FORWARD; 而 policy ACCEPT在Chain OUTPUT 什么意思policy ACCEPT和policy DROP? ......以及如何从改变policy ACCEPT到policy DROP和policy DROP到policy ACCEPT?

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.