Tag: 安全

为什么nginx可以访问/ etc / passwd?

我正尝试在我的情侣网站上设置新的VPS。 nginx,php-fpm等安装所需的服务。 我为我的网站设置了一个nginx服务器块(虚拟主机),然后尝试创build一个用于testing的php文件。 一切正常,但是我想尝试echo file_get_contents('/etc/passwd')文件进行安全检查。 而且它的工作,一个test.php文件可以访问我的VPS etc / passwd文件等等。 在我尝试echo shell_exec('ls /')并显示我的根文件夹后。 那这是正常的吗? 或者我怎样才能防止这一点。 我想要拒绝访问所有除了/var/www的www-data用户运行PHP代码。 对不起,我的英语不好。 谢谢。

closuresFTP

我正在build立一个新的debian服务器,我不需要FTP,所以我想删除它。 根据netstat -tap,ftp没有听任何东西。 但是,当我从外部进行端口扫描(nmap)时,它说ftp端口是打开的(21)。 inetd不启动任何东西,xinetd不在系统上。 我该怎么办? netstat tap的结果 obu1:/etc/pam.d# netstat -tap 主动互联网连接(服务器和build立) 原始Recv-Q发送-Q本地地址外部地址状态PID /程序名称 tcp 0 0 *:225 *:* LISTEN 2237 / sbadm tcp6 0 0 *:ssh *:* LISTEN 2399 / sshd tcp6 0 448 obu1.hostname.:ssh rrcs-XXX-XXX-XXX-XXX:56721 ESTABLISHED 16639 / sshd:username NMap来自非本地 启动Nmap 4.90RC1(http://nmap.org)于2009-07-13 10:47 Eastern Daylight Time obu1.hostname(ipaddress)上有趣的端口: 未显示:972个封闭端口,26个过滤端口 港口国服务 21 / tcp open […]

无法连接的SSH连接

这个问题是针对安全大师的。 我来自哪里,我们有一个免费的在线空间,但是一些邻国,朋友和博客经常因为博客而被捕。 我试图以不同的方式帮助一些活动人士和朋友绕过审查制度,并在网上保护自己的身份 我正在研究如何使一个难以置信的SSH连接 – 我们正在考虑一个SSH隧道/代理 我将不胜感激任何意见,教程,链接,你可以分享。 我还为博客写了一些更一般的文章 – 你们的build议和想法在这里受到欢迎是我几天前的第一次访问http://migh.info/2010/09/outsmarting-censorship-1/ 我真的很感激帮助 编辑:到目前为止的计划是有以下设置: build立三个ssh桥接反向隧道:a-> b(normal)b-> c(tor enabled)c – > d(normal) 所有主机a,b,c,d都需要是公开拥挤的主机和一些香蕉国家 在主机上运行一个与ssh交互的perl脚本连接到d,perl脚本的input/输出将被定向到http 在f上运行一个与perl脚本交互的应用程序,所以现在,你的连接a-> b(normal)b-> c(tor enabled)c – > d(normal)d-> e(perl connection) > f(https连接,tor和代理启用) 所以现在,在a和f之间,有不同的协议,不同的连接和穿越这么多点,法医们将在大海捞针中寻找。 真的很愚蠢,我们可以继续使用其他协议和ip包裹之间的捣毁。 这将把取证经验带到testing中。

从服务器本地用户组中删除Domain Users组更安全

我们有一个新的Windows 2008 R2服务器,我们注意到, 域用户组被添加到服务器的本地用户组 。 这台服务器将用于托pipe我们的webapps。 这个组在服务器上似乎是一个安全漏洞。 是否有一个原因,为什么域用户组在本地用户组 ? 我应该删除它吗?

出于安全原因,是否有阻塞端口80的缺点?

为了提高安全性,我们希望https访问我们托pipemandrantory的所有客户站点,并在我们的条款和条件中保证这一点。 问题是,目前Apache web服务器被configuration为使用“redirect永久”Apache指令将所有http请求redirect到https请求。 从技术上讲,我们仍然使用不安全的http协议,即使它仅用于redirect,也不能通过http访问任何客户数据。 两个问题: 是否有阻塞80端口的缺点? 我能想到的唯一缺点是,客户被迫在他们的url前inputhttps://,而不是依靠自动redirect。 如果客户发送一个http POST请求,那么Apache httpd是否会在实际的POST数据已经传输到我们的服务器之前做出redirect响应,或者只有在接收到(未encryption的)客户数据之后才会发送redirect? 请指教。 在考虑您的意见后,我们将对networking设置进行以下更改: 单个客户虚拟机将被修改,以便它们不再侦听端口80.此外,redirectconfiguration将被删除。 防火墙将被configuration,以便任何端口80通信将被路由到一个特殊的服务器,具有唯一的目的是将正确的redirect响应返回给发件人。 为了最大程度地提高安全性,这个特殊的服务器与其他系统的VLAN不同,我们甚至可以使用Raspberry Pi等专用硬件代替标准虚拟机。 将为所有客户实例添加HSTS支持。 通过使用这种设置,我们可以certificate没有未encryption的stream量到达或离开客户networking,同时仍然提供用户友好的自动redirect到https。

encryption电子邮件和代理绕过伟大的防火墙

我有一些到中国旅行的朋友,他们想要收到电子邮件,使用Skype,浏览网页,而不用担心政府望着他们的肩膀。 我的第一个想法是设置一个encryption的代理,供他们用于浏览互联网和Skype。 也许他们也可以使用PGP发送邮件。 他们考虑过两家公司: MailVault (用于encryption邮件)和MetroPipe (用于安全代理)。 有没有人知道关于这些公司的更多信息? 另外,他们怎么能确定他们正在使用encryption的代理,所以他们不会意外浏览出来呢? 他们还应该考虑什么?

打入Windows 7?

我不确定这是一个serverfault还是超级用户的问题。 我的一个客户给我发了一个我应该工作的Windows 7盒子。 不幸的是,该机器join他的域名(我不能访问 – 合法或物理),本地pipe理员帐户似乎被禁用。 无论如何,我可以进入系统,并启用/创build一个具有pipe理员权限的本地帐户,因为我有物理访问权限? 还是我唯一的select将其寄回,让我的客户启用一个可用的账户,并将其重新寄回给我? 为什么它值得这个Windows 7专业。 编辑 根据Chunkyb2002关于caching域凭证的回答,我忘了提到有一个域用户是最后一次login。 据推测,这个人也设置了这台电脑,并有可能具有pipe理权限。 所以鉴于这个新的信息是否有可能,如果我得到的密码,Windows 7将让我login? 编辑2 我在caching的凭据!

使用.PDF文件实施一次性使用政策

我的组织有一些秘密文件(如法定要求保密文件),在某些人员和委员会团体进入公有领域之前就会出现。 这些文件需要在这段时间内予以说明,以防止“早期”释放。 这一切都是历史性的,所有有关方面都在一个封闭的房间里举行会议,把文件发送出去,举行会议,然后在所有人都离开会议室的时候收集。 我负责使用我们面向公众的Web服务器(运行Apache2的Xen HVM上的Debian 5.0.6)复制相同types的策略机制。 我立即不喜欢把原始资料保存在一个可以被整个世界访问的networking服务器上的想法,仅仅是原则上的,但是我们会把这个问题搁置一会儿。 这些文件必须是:1)只有感兴趣的各方才能访问,2)受保护文件的内容,3)不能被观看的人打印,4)以后不能保存以便重新分发。 我认为使用.PDF是最好的解决scheme。 我可以限制打印和编辑文件的能力。 明智地使用.htaccess和SSL可以防止整个世界下载它们。 这是一个单一的使用,非分配部分,我想不出一个体面的方式来实施。 一旦他们被下载,他们被下载。 没有任何我能想到的,可以防止某人将文档传递给不应该有密码的人阅读。 我需要的是一次性使用政策机制,就像.PDF的一次性密码一样。 使用密码一次,然后我们只是依靠Adobe的encryption(好或坏)。 无论如何,我对于如何实现这一目标已经感到厌倦了,我希望这里的一些好人能够帮助我产生一些想法,以便我可以向老板介绍这个项目的优缺点。 非常感谢你。 编辑:这是很多次,有人指出,任何技术系统要做到这一点很容易circulatingavigated诸如口述信息的文件给某人,拍照或截图或类似的东西。 这种威胁已经存在于“封闭的房间”模式中,虽然它肯定小得多。 我们可以或多或less地相信另一端的人,而不是他们的电脑。

对匿名攻击我的服务器的适当反应

如果我确定匿名尝试破解我的服务器是否有适当的响应? 或者是看看他们正在试图做什么,并确保我们被覆盖了它和类似的攻击? 干杯, 知更鸟

什么是最小的iptables规则上网冲浪?

我正在尝试为我的Linux iptables规则文件设置最小规则,以便能够上网。 在这里我做了什么: * filter -A OUTPUT -p tcp –dport 80 -j ACCEPT -A OUTPUT -p tcp –dport 443 -j ACCEPT -A OUTPUT -p udp –dport 53 -j ACCEPT COMMIT 只有这些规则,我不能上网。 我注意到,当我把-A INPUT -j ACCEPT ,它的工作原理,但我不明白为什么。 那么我需要什么input/输出端口来上网? 非常感谢。 问候 编辑 :它仍然无法正常工作。 这里是我的iptables -L Chain INPUT (policy DROP) ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED Chain […]

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.