Articles of 安全

季度外部漏洞扫描,包括IP

我对ASV季度外部漏洞扫描的PCI DSS要求有疑问,特别是我需要在这些扫描中包含哪些公有IP。 该组织是一个零售连锁店(这些问题涉及实体部分 – 而不是他们的电子商务)。 除了内部业务需求外(如2FA远程访问等),任何实体场所都没有面向公众的服务。 我的问题: 1)某些地点有外部负载均衡器,多条互联网线路连接到不同的ISP。 所有这些互联网线路都映射到外围防火墙的相同外部接口,因此受到完全相同的防火墙规则的pipe理。 那么从安全的angular度来看,扫描其中一个IP就足够了,但是每个PCI DSS 3.0(或2.0)都允许这样做吗? 2)有MPLS路由器,它们具有公共IP,但是它们不能从MPLS之外到达。 他们需要扫描吗? (3)有为MPLSnetworking提供备份VPN的路由器,这些VPN具有只接受来自MPLSnetworking的连接的公网IP(不ping,所有端口都被过滤)。 他们需要扫描吗? 4)将公共IP映射到内部pipe理入侵检测系统(IDS)设备,只有我们的IDS提供者才能访问(通过外围防火墙的IP和端口限制以及IDS设备的安全性)。 他们需要扫描吗?

在NGINXnetworking服务器上将有效的url格式列入白名单

我想只在我们的RESTfulnetworking服务器/ API,使用正则expression式或其他东西白名单有效的URL模式。 但是,当用googlesearch一些例子时,我有点怀疑,因为没有太多的文档。 这样做不常见吗? 在我看来,这是任何networking服务器脚本的一个非常重要的部分。 我在这里俯瞰什么? 🙂

如何拒绝所有子目录中的shell执行?

我希望nginx拒绝那些在/ webroot / uploads里面有文件夹的用户 例如 /webroot/uploads/user1 /webroot/uploads/user2 /webroot/uploads/user1000 执行任何shell(php,pl,exe)。 shell通常隐藏在jpg或gif文件中。 像badfile.php.jpg一样 我也看到茂盛的二进制文件被上传到文件夹。 这里我的初步规则是: location ~ /webroot/uploads/(.+)\.php$ { deny all; } location ~ /webroot/uploads/(.+)\.pl$ { deny all; } 但我不确定它是否健壮。 所以我感谢你的帮助。

loginiptables

我在iptables中创build了规则来logging和编辑rsyslog.conf文件,将任何包含“iptables”的消息输出到不同的日志文件。 它似乎是login到这两个地方,默认邮件文件和我有新的ip.log文件。 我怎样才能login到新的? 这是rsyslog文件的内容: :msg, contains, "iptables" -/var/log/iptables.log & ~ 这是我在iptable中的规则: -I INPUT 1 -j LOG –log-prefix "iptables in: "

域pipe理员帐户可以做比域pipe理员帐户less

在Windows 2008R2服务器上,域pipe理员帐户的权限低于域pipe理员帐户。 例如,域pipe理员帐户无法在C:驱动器的根目录上安装服务或创build文件。 我已经检查过,域pipe理员组是本地pipe理员组的成员。 任何想法,为什么发生这种情况? 我们正在尝试禁用域pipe理员帐户。

如何为www / dir设置权限并确保没有安全威胁

我有一个特殊的情况 我有我自己的项目使用的VPS。 我的一个朋友要我主持他的wordpress博客。 现在我已经安装了我的VPS非常简单,所有项目都在/ www和Apache有写访问这些文件夹(万维网数据),我在Ubuntu的服务器12.04。 Mysql方面没有问题,这个wp安装有自己的DB / username-pass只能访问这个数据库。 但是我担心如果他的wp-admin密码被攻破,我的VPS的安全性也会受到影响。 我在想给我/ chown / www / projectX:我。 并给予写入权限,只有插件和图像上传目录。 但是如果所有东西都在相同的apache用户下运行,潜在的黑客可能会将恶意脚本上传到这些目录,从而访问服务器上的其他项目。 我有什么可以保护自己的吗? 至less部分? 我不想保证WP的这个特殊安装,我想从这个wp安装中保护我的其他项目。

Ubuntu服务器13:如何防止用户使用php浏览文件系统

我为几个没有shell访问权限的客户托pipe网站。 如何防止这些用户使用PHP浏览系统? 现在,我使用suphp作为自己的代码,但他们仍然可以查看其他用户的主目录中的文件等。

Linux安全模块(LSM)在虚拟服务器(vServer)上运行吗?

我有一个从1und1 10欧元/月的vServer,我知道这不是一个专用的机器(这意味着我有更less的控制)。 我知道我可以使用一些系统作为根,但内核是不可接触的。 所以我想知道LSM是否可以使用? 因为我期望LSM是一个内核特性,在我看来,这样的LSM只有在内核被提供了特性的时候才可以使用,对吧? 也许给出这个推理的问题可以被分解成: 第1部分)是否总是不可能有一个vServer做一些LSM的东西? 第2部分)还是有时可能在这样的vServer上有apparmor / sellinux等? 甚至3)有没有一种方法可以检查内核中是否启用了LSM 如果问题不明确,请随时添加评论。 如果问题是错误的(即如果不能清楚地说出是否可能,请帮助我指出问题!) 最后但并非最不重要的,如果这个问题似乎不合适(即如果它应该在U&L SE)告诉我!

故意泄露SSL证书有什么安全隐患?

我有一个网站( http://example.com ),它在javascript中向http://localhost:12345发出一些请求。 我想通过https打开这个网站,但由于混合的内容,一些浏览器引发警告。 如果我为localhost.example.com购买一个单独的证书,并将dns指向127.0.0.1,然后将其用于由JavaScript所做的请求,那么会有多大的安全问题? 本质上,证书将安装在客户端的服务器上。 据我所知,即使有人拥有localhost.example.com的证书,对* .example.com的请求也不能用它解密。 我有这个想法吗? CA在这种情况下如何行事? 他们会不会自己采取任何行动?

如何configurationfail2ban进行持续刷新

我有一个显示选举结果的页面。 有些人希望看到这些选举结果会在选举之夜继续点击刷新。 我不想阻止这种stream量 – 但我想在我的服务器上阻止简单的ping洪水等。 我应该如何configurationfail2ban以适应这些不同的规格?