Articles of 安全

SELinux – 阻止user_t域中的用户创build套接字

我需要不受信任的用户在Fedora 17机器上通过SSH执行Ruby和Python脚本,这对系统完整性和安全性影响最小。 一个SSH封装将确保只有Ruby和Python可执行文件将被运行(直接)。 用户的主目录(以及/ tmp)不可执行(Ruby和Python从/ usr运行)。 需要禁止用户创build套接字。 以及如何最大限度地减less恶人造成的损害的任何build议。 谢谢。

AWS EC2安全组源

我目前正在尝试configuration一个安全组,并允许我的另一个实例的MS SQL连接。 我希望能够指定安全组的名称作为源。 但连接没有通过。 实例的防火墙有一个允许端口连接的规则。 事实上,如果我指定机器的IP作为源,它的工作原理。 只是不是安全组的名称。 对于同一端口还有两个其他规则,它们只针对特定的IP。 我究竟做错了什么?

只允许使用TeamViewer的域名login

TLDR 如何将TeamViewer设置为仅允许通过Windows( 域控制器 )进行身份validation的login,同时禁止其他任何login方法? 我最近开始了一个系统pipe理员的工作,很多时候使用TeamViewer。 另一位pipe理员最近离开了,由于TeamViewer的工作原理,他们仍然可以访问我们所有的系统。 我想将整个环境迁移到域authentication。 该文档显示,设置Windows身份validation(域)很容易,但我想确保这是在此处使用TeamViewer会话进行身份validation的唯一方法。 我还找不到任何明确的说明。 我认为,我们拥有TeamViewer 5和6的许可。 现在我们在环境中有7个,但是我认为大多数都在试用版,所以我很可能会回到5或6。

如何保护多个实例的tomcatpipe理器

我有多个使用CATALINA_BASE方法设置的Tomcat实例。 我需要为它们中的每一个启用tomcatpipe理器应用程序,并根据用户组来分别保护它们。 我在每个实例的BASE / conf / Catalina / localhost位置下都有一个manager.xml安装程序,指向CATALINA_HOME安装的webapps位置。 这在所有的实例中共享应用程序。 它看起来像web.xml文件是修改基于用户名或组的安全约束的位置。 如何根据我正在使用的实例来定义特定的安全性约束,而不是让所有有效的用户都可以访问所有实例? 我是否需要在所有实例下安装pipe理器应用程序,还是有另一种方法可以使用?

保护Apache和Nginx免受慢速读/写和类似攻击?

有很多文章解释攻击networking服务器(通用或特定)的许多方法,甚至列出了减轻这种攻击的一般规则,例如: 不要接受广告窗口大小不正常的连接 删除发送请求超过X秒的连接 当客户端由于完整的接收窗口而不能接受数据时,在30秒后发送RST或FIN 限制来自同一IP的连接数量 删除多个X重复标题(如Range ) 等等… 是否准备好使用,在特定于web服务器(我们使用Apache和Nginx)或全系统(Linux)的prodconfiguration示例上进行testing,这些示例涵盖了大多数常见攻击?

Ubuntu 12.04服务器snort 2.9.2.3在第一个VTR规则更新后不loggingNMAP扫描

我从Ubuntu库和Oinkmaster一起安装snort 2.9.2.3。 我没有运行LAMP只是嗅探loggingPCAP和警报日志文件。 开箱即用的安装snort工作。 对服务器运行nmap扫描logging在/var/log/snort/alert 。 我不知道这个规则有多老,所以我更新了Oinkmaster。 在我更新到最新的VRT规则之后,snort将不再启动。 所以我在snort.conf上做了一个sdiff,这个sdiff和我现有的文件的最新规则一起发现了一些差异,最后对新的snort.conf中的目录位置进行了一些调整并使用它。 现在snort会启动,但是不再对服务器运行nmap扫描。 我查看了系统日志,发现这些看起来相关的错误。 Sep 18 18:07:43 svr08 snort[3492]: Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log Sep 18 18:07:43 svr08 snort[3492]: Verifying Preprocessor Configurations! Sep 18 18:07:43 svr08 snort[3492]: WARNING: 'ignore_any_rules' option for Stream5 UDP disabled because of UDP rule with flow or flowbits option. Sep 18 18:07:43 svr08 snort[3492]: ICMP […]

如何安全地控制对后端密钥服务器的访问?

我需要安全地encryption数据库中的数据,这样如果数据库被转储,黑客无法解密数据。 我打算在另一台机器上创build一个简单的密钥服务器,并允许数据库服务器访问它(受密钥服务器上的IP地址限制,以允许数据库服务器)。 密钥服务器将包含encryption/解密数据所需的密钥。 但是,如果黑客能够在数据库服务器上获得一个shell,他们可以从密钥服务器请求密钥,从而解密数据库中的数据。 我怎么能防止这种情况(假设所有的防火墙都在,DB不直接连接到互联网等)? 即是否有一些方法可以用来保护从数据库服务器到密钥服务器的请求,这样即使黑客在数据库服务器上有一个shell,他们也无法提出相同的请求? 来自数据库服务器的签名请求可能会使发出这些请求变得不那么简单 – 我想这会增加攻击密钥服务器所花费的时间,黑客可能不会有太多东西。 据我所知,如果有人能在数据库服务器上获得一个shell,那么一切都会丢失。 这可以通过在数据库中为每个数据项使用一个密钥来减轻,所以至less没有一个“主”密钥,而是黑客需要访问的多个密钥。 确保从数据库服务器向密钥服务器发送请求的安全方法是真实可靠的。

将www-data添加到/ etc / sudoers以作为其他用户运行php-cgi的安全性影响

我真正想要做的就是让'www-data'用户能够以另一个用户的身份启动php-cgi。 我只是想确保我完全理解安全性的含义。 服务器应该支持共享主机环境,其中各种(可能不受信任的)用户通过chroot来访问服务器的FTP来存储他们的HTML和PHP文件。 然后,由于PHP脚本可能是恶意的,读/写别人的文件,所以我想确保每个用户的PHP脚本以相同的用户权限运行(而不是以www数据运行)。 长话短说,我在/etc/sudoers文件中添加了以下行,并且想通过社区运行它作为完整性检查: www-data ALL = (%www-data) NOPASSWD: /usr/bin/php-cgi 这一行应该只允许www-data像这样运行一个命令(没有密码提示): sudo -u some_user /usr/bin/php-cgi …其中some_user是组www-data中的用户。 这有什么安全影响? 这应该允许我像这样修改我的Lighttpdconfiguration: fastcgi.server += ( ".php" => (( "bin-path" => "sudo -u some_user /usr/bin/php-cgi", "socket" => "/tmp/php.socket", "max-procs" => 1, "bin-environment" => ( "PHP_FCGI_CHILDREN" => "4", "PHP_FCGI_MAX_REQUESTS" => "10000" ), "bin-copy-environment" => ( "PATH", "SHELL", "USER" ), "broken-scriptfilename" […]

Exchange 2007:需要哪些权限才能更改所有邮箱的文件夹权限?

需要哪些权限才能修改Exchange 2007中所有邮箱中文件夹的权限? 我正在寻找最低限度的特权设置。 我已经看到提示需要Organizational Administrator的angular色,但是这与我希望的最小权限设置相矛盾。

在局域网上运行的API服务在DMZ中为网站提供服务

我有一个正在编写内部网和外部网站的开发者团队。 该网站由DMZ内的两台服务器和一个负载均衡器组成。 DMZ有一个针对局域网(http / 80)开放的针孔,用于公开来自局域网的API服务。 例如WAN – > haproxy – > web01(+ web02) – > pinhole – > LAN服务(haproxy – > lan01 / lan02) 问题在于开发者把所有的服务都放在了局域网上,包括那些只运行网站的服务。 即web01 / 02在这一点上只是作为一个合并者。 更糟糕的是,局域网服务已经被绑定到我们的AD基础设施中,并且内部API暴露在DMZ中,因为内部/外部API都在端口80上运行。 开发人员不希望将他们的API拆分为“内部”和“外部”视图,而这些API目前没有authentication/授权。 由于使用本地文件存储,某些服务也只能在“lan01”而不是“lan02”上运行 – 即没有高可用性。 现在整个内部公司的信息结构(DNS,AD)依赖于外部网站的运作。 没有安全实践的概念,即某些LAN API作为“系统”级权限运行,并且无法控制开发人员所说的系统(因为他们具有域pipe理员凭证) 我build议将大部分网站提供服务移回非军事区,并locking这些服务,但被告知开发者无法区分什么是“局域网”应用程序和什么是互联网应用程序。 任何人都有如何处理这个问题的build议? 它看起来像一个等待发生的安全噩梦。