Tag: 安全

防火墙+负载均衡器作为集群入口点 – 该怎么办?

我必须为我的公司build立一个生产环境,但是我对新架构的一个组件有一个问题。 我画了一张快照,告诉你今天是如何完成的,明天应该如何理解。 一切都使用Debian。 编辑:一切都存储在云,实际上在一个小主机,但我打算迁移到DO 今天 服务器可以访问互联网,并在NAT后面。 服务器安装了该post末尾所述的安全堆栈。 服务器直接在VM中安装软件。 这里的模式imgur Tomorow 服务器位于专用networking中。 Apache和MySQL在Docker容器中运行。 服务器位于负载平衡器/代理/防火墙之后。 如果需要,我可以运行PHP容器的集群。 编辑 – 根据答案imgur的新模式 我在哪里 老问题 入口点是我的问题,我不知道哪个软件用于代理/负载平衡。 我真的不明白我是否应该在群集模式下使用docker,因为我有两个不同的容器。 我不知道是否应该使用nginx,因为我已经有Apache处理HTTP请求。 我不明白如何容器可以访问互联网下载configuration文件为例(存储在外部git回购傀儡文件)。 实际上,我正在阅读大量的内容,并试图学习好的做法(比如在一个容器之外存储数据),但它仍然有点不清楚。 我有另一个应用程序与节点运行,我想应用相同的架构,只是用一个PM2 /节点容器replaceApache / PHP的容器,这就是为什么我问负载平衡。 我也可能需要PHP应用程序的负载平衡。 也许我完全错误的build筑更新,我应该留在今天的工作? 但是我觉得pipe理2台服务器的安全性是更危险的,因为我有更大的攻击面。 我也听说CSF会默认阻止docker工人,所以我必须编写额外的规则,我想避免它,但它会在群集模式下的docker工人开箱即用? 编辑:答案帮助我来到这一点,纠正我,如果我错了 安全 如果我理解你的消息,我应该按照2中的模式来设置。 首先我过滤所有传入的TCP / UDP连接到防火墙,阻止试图扫描端口的IP地址等。 然后我有我的代理将根据我打的端口路由SSH / HTTP / SFTP到正确的容器。 由于traefik可以监视一个群,我想它足以关注发生了什么事情。 我想通过SSH隧道SSH访问我的数据库虚拟机,以避免从代理到数据库虚拟机的路由。 (我知道该怎么做) 缩放 通过使用traefik,我现在可以添加一个协调器服务器,并添加我需要扩展的Apache + PHP容器。 监控 Traefik提供监控pipe理服务的好方法。 日志被发送到ELK堆栈以便可视化。 我也考虑将安全日志发送到ELK堆栈。 听起来不错 […]

对于新鲜的Linux设置,我们是否仍然需要担心Heartbleed,Logjam等?

过了一段时间,当时发现了一堆严重的漏洞。 Heartbleed,Logjam,POODLE,FREAK等 过去一年没有这样的重大事件发生。 问题:如果我现在用Ubuntu 16.04 LTS(使用nginx webserver和postfix / dovecot邮件服务器)设置一个全新的Linux VPS,我可以安全地假设我对所有这些> 1年的漏洞?

GSuite使用SPF打开我的域滥用GMail?

Google针对GMail和GSuite的SPFbuild议是 v=spf1 include:_spf.google.com ~all 我担心的是,Google和GMail都是一样的。 如果我没有弄错,这意味着我可以从GSuite服务器发送我的个人域名,而不会被标记为垃圾邮件。 但是,这也允许任何拥有GMail帐户的人制作电子邮件,就好像它来自我的网域,只要他们通过Google的SMTP服务器发送(这将包含在SPFlogging中),这不会是违规行为的SPF。 这不是一个使用GSuite的人们的明显的安全漏洞,还是我错过了什么? 谢谢!

我能用Backtrack做些什么很酷的事情?

我一直有兴趣尝试BackTrack一段时间,但我不知道如何使用大多数的工具。 我知道那里有很多,但有一个简单的graphics方式来监视我的无线networking上的活动? 说明将不胜感激。

在Vista Business下禁用UAC和Windows安全中心警报

我们有几个closures用户帐户控制的Windows Vista商业版(原因是因为这些机器需要运行一系列与UAC不兼容的程序,因为这些机器没有互联网连接,所以这不是安全问题)。 但是我想知道是否有一种方法可以禁用每次启动计算机时出现的烦人的“popup”。 我知道防病毒软件和其他东西在Windows安全中心有“Not Monitored”标志,但是这对于UAC来说似乎不存在。 用户不断抱怨,我想知道是否有一个“registry黑客”或类似的closures。 谢谢!

使用个人笔记本电脑处理无线networking中的垃圾邮件或病毒感染主机的最佳方式是什么?

用个人笔记本电脑处理无线networking中的垃圾邮件或病毒感染主机(如大学的个人学生笔记本电脑)的最佳方式是什么? 什么政策和工具使用你的公司?

FreeBSD安全日志消息:“closures套接字后收到的数据”

我正在运行FreeBSD 7,我在/ var / log / security中得到了这个结果: +++ /tmp/security.AIKARuA1 2009-06-30 03:05:17.000000000 +0500 +TCP: [69.147.83.36]:80 to [115.186.130.56]:50488 tcpflags 0x10<ACK>; tcp_do_segment: FIN_WAIT_1: Received 1440 bytes of data after socket was closed, sending RST and removing tcpcb +TCP: [69.147.83.36]:80 to [115.186.130.56]:55740 tcpflags 0x10<ACK>; tcp_do_segment: FIN_WAIT_1: Received 1440 bytes of data after socket was closed, sending RST and removing […]

我怎样才能build立一个休闲代理

我有一个生活在国外的朋友不能访问某些国家特定的网站。 他想决定谁可以使用/不使用它。 所以我对你的问题是: 有一个小的,简单的应用程序,可以作为一个代理从Windows XP(家庭版),也是安全的? 编辑:除了端口80以外的其他端口呢? 特别从Spotify等网站stream式传输内容?

需要一个绝对的代理服务器来路由HTTPS,FTP等

我设法设置一个鱿鱼代理服务器作为一个HTTP代理,这是行之有效的。 但是,它不适用于HTTPS。 我正在考虑使用外部机器来设置HTTP,HTTPS,FTP等代理服务。我花了很长时间仔细研究可能在互联网上的帮助。 我认为一个SOCKS代理将同时保护我的数据(来自我在旅行中使用的互联网连接)并隐藏我改变的位置。 SOCKS代理路由最适合HTTPS,FTP和IM吗? 有没有推荐的SOCKS代理软件,我可以下载和安装在Windows / Linux服务器上? 将VPN服务器是一个更好的select?

Web服务器 – 连接到AD还是不?

你更喜欢在一个DMZ中运行他们的IISnetworking服务器吗?它是AD组织的一部分,或者你更愿意牺牲pipe理和用户控制的安全性吗? 我们目前在域之外运行我们的IIS框,这使我们能够与我们的防火墙保持单向的规则(除了1个SQL端口外,从DMZ到LAN的stream量都没有)。 但是,这意味着我现在必须使用非AD身份validation,并手动同步密码框。 哪个更安全? 在DMZ的Active Directory中find答案

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.