Tag: 安全

运行Xen的虚拟化服务器上​​的PCI DSS合规性

我有一个服务器与HVM运行xen,并希望使一个VM PCI兼容。 我已经阅读了PCI虚拟化指南,并且说我需要确保虚拟机之间没有信息泄漏。 我怎样才能确保每个操作系统无法拦截其他DomU的数据?

WebDAV安全和强化

在考虑使用WebDAV时应该注意哪些安全后果? 人们如何去保护它? 还有什么我应该知道的呢?

Server 2008 adit日志显示1000个失败login尝试到`pipe理员`帐户

我只是通过我的一台服务器的日志,我注意到有一个失败的用户名Administrator , owner和Adminlogin尝试吨。 我认为这些都是机器人,因为几乎每秒钟都有一次,但是我的问题是你通常对此做什么? 我是服务器安全新手,但从我一直在阅读的大多数人看来,并不太在意这种types的东西。 当你尝试远程桌面到一个Windows系统时,你不是只有一些尝试之前被locking了一下? 从同一个IP地址69.41.252.68我每63秒钟就有63分钟的login尝试或失败的login尝试。

configurationWindows防火墙以阻止除特定通信以外的所有通信

我正尝试在Server 2008 R2上configurationWindows防火墙,以阻止除了添加到规则列表的stream量之外的所有内容。 我看到有三个政策 – 公共/私人/域名。 我已经做了相同的设置更改,但我只有一个NIC,并为其分配了域策略。 在域策略属性中,我将入站连接设置为“阻止(默认)”,但是这仍然让我们通过ICMP。 我将其更改为“阻止所有连接”,并创build了允许来自所有三个configuration文件的ICMP的入站规则,用于所有接口上的所有程序,但是这使得防火墙会丢弃ICMPstream量,即使我已为其创build了允许规则。 根据这份文件 ,允许规则应该根据默认规则进行确定。 我想设置我的默认规则来阻止所有stream量,只允许某些stream量与允许规则。 我创build了两个自定义允许规则: 允许所有程序/ IP地址的入站ICMPv4stream量。 允许所有程序/ IP地址的入站ICMPv6stream量。 通过将入站连接策略设置为阻止所有连接并启用上述允许规则,它仍会阻止我的远程ping。 我如何configurationWindows防火墙来做到这一点? 更新 – 事实certificate我使用了错误的GUI(令人尴尬)。 我没有在pipe理工具中使用GUI,而是使用组策略编辑器中的一个(看上去完全相同)。 在防火墙上已经有了规则,我在组策略编辑器中看不到。 这些规则正在生效,我没有意识到这引起了我的困惑。 为了做我想做的事情,我只需将策略设置为“阻止(默认)”(当然有正确的工具)。 删除所有先前存在的规则(我没有看到使用组策略编辑器)后,我只能通过创build特定的允许规则来允许我想要的stream量。

我应该把我们的networking服务器(DMZ /内部networking)还是只是做一对一的NAT?

我正在设置一个服务器机架,它将有2台Web服务器和10台提供后端应用程序支持(从AWS环境迁移)的内部服务器。 我们将在这些框上运行虚拟机实例。 在我使用的大多数企业networkingconfiguration中,他们双networking服务器,所以一个NIC位于DMZnetworking上,另一个位于内部(非互联网可路由)networking上。 安全方面的好处是否足以保证DMZ中的两台networking和双宿主机能够使用较小的12台服务器? 该应用程序是一个关键的networking应用程序。 最后要考虑的一个好处是,单独的networking降低了内部networking饱和带宽的风险,DMZnetworking可以不受影响(1Gbit接口,我们可以将2Gbit进入支持1.5Gb全状态吞吐量的防火墙)。 所以最终这就是我们所说的我认为的:

如何使用authorized_keys文件中的“command”选项来保护ssh密钥而不使用密码?

有时候使用带有空密码的ssh密钥是非常可取的(备份,…)。 众所周知的问题是,这样的钥匙是安全的,只能保持不受信任的手。 但是,如果这些密钥被泄露,那么可以通过在服务器authorized_keys文件中添加一些选项来进一步保护这些密钥免受太多的伤害,例如: command="/usr/bin/foo",no-port-forwarding,no-agent-forwarding,no-X11-forwarding,no-pty ssh-rsa AAA….. 理论上,这个键只能用来在服务器上运行命令/usr/bin/foo 。 出现一个新的问题,因为每个命令都需要一个特殊的专用密钥。 由于这个原因,可以在因特网上find更详细的变体(例如,在这个同一个站点: sshd_config与authorized_keys命令参数 ),其中包括安装一个通用键,该通用键限制在本地制作的脚本中,该脚本将使用SSH_ORIGINAL_COMMAND环境variables由ssh设置。 authorized_keys的(限制)键blurb将如下所示: command="/usr/local/bin/myssh",no-port-forwarding,no-agent-forwarding,no-X11-forwarding,no-pty ssh-rsa AAA….. 和myssh脚本看起来像: #!/bin/sh msg="Command not allowed with this key" case "$SSH_ORIGINAL_COMMAND" in *\&*) echo $msg ;; *\(*) echo $msg ;; *\{*) echo $msg ;; *\;*) echo $msg ;; *\<*) echo $msg ;; *\`*) echo $msg ;; *\|*) echo $msg ;; […]

域安全与森林安全

一个域“A”的pipe理员是否可以在同一个“开箱即用”的森林中的另一个域“B”中重置用户的密码? 我相信域pipe理员不可能像这样pipe理森林中的另一个域。 除非他使用一些非标准的,恶意的,公用事业和黑客。 任何人都可以确认吗?

如何保护设备免受未经授权的复制?

在我工作的公司,我们计划build立一个设备来简化我们产品的部署。 我们可能会运行一个虚拟机与下面的docker容器(包含产品)和一个web应用程序来pipe理这些(运行它们,停止它们等)。 但是,除此之外,我们还需要对未经授权的拷贝有一定程度的安全。 我们需要某种方法来防止(或者至less很难)让别人把虚拟机克隆到其他地方,并免费使用这个设备。 换句话说,我们需要获得最多的可移植性,但是我们需要将这种可移植性仅限于我们的操作。 有一些奇特的技术或我们可以使用的标准吗? 有没有一个确定的方法来提供这种保护?

Docker远程访问安全

假设我在本地服务器上运行多个docker容器。 当我给第三方ssh访问我的服务器时,任何第三方都可以控制docker manager。 我怎样才能确保每个远程用户只能访问一些特定的容器?

如何检测您的Web服务器上的forms垃圾邮件?

如果您在服务器上运行了数百个网站,那么即使您的表单有某种保护措施,如何使用您的HTML表单发送垃圾电子邮件来检测机器人是否使用了最有效的自动化方法?

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.