Articles of 安全

匿名login和Everyone的Exchange 2003默认权限

匿名login和每个人都在我们的Exchange 2003服务器中具有以下顶级权限: 读 执行 读取权限 列出内容 阅读属性 列出对象 创build公用文件夹 在信息存储中创build指定的属性 这些是“默认”设置吗? 特别是“Read”和“Execute”权限是否有问题? 我们有一个简单的小型企业设置,Outlook客户端连接到本地networking上的服务器,OWA从networking外部用于浏览器和智能手机访问。 谢谢

保护服务器上的PHP包

我是一名PHP开发人员,最近决定将我的Magento扩展中的一个扩展为商业广告。 我已经下载并configuration了MageParts CEM服务器 ,并且在模块包的许可和交付方面都是完美的。 唯一的问题是,包存储的目录可以被任何人访问。 我在一个.htaccess文件中试过,但现在不能工作。 <Files services.wsdl> allow from all </Files> deny from all 客户正在收到403 Forbidden回应。 我有没有在.htaccess文件中做错了什么,或者有更好的方法来保护目录? 任何帮助将不胜感激。

Solaris上的虚拟用户

是否可以重新创buildpam_userdb.so的function以使应用程序在Solaris上validation虚拟用户(仅适用于某个特定服务)? 情况是:上级要求我们使用只支持基于密码的身份validation的文件分发工具,并在明文中传输密码。 由于将要传输的数据量很大,使用SSL隧道是不切实际的。 该应用程序是pam-aware的,所以我们可以为它configuration一个特殊的authentication栈。 在我们的linux服务器上,我们将pam_userdbconfiguration为使用单独的passwd数据库,所以没有人可以使用密码直接login: someapp auth sufficient pam_userdb.so db=/etc/someapp-passwd try_first_pass 在Solaris上似乎没有任何等价物。

确保访问IIS上的网站

我有一个在IIS7.5上运行的网站。 我想要求访问网站的凭据(固定用户/密码)。 我不需要对这些证书做任何事情 – 只是为了确保用户知道他们。 我想使其对网站透明(它不应该“关注”网站)。 有没有这样做一个优雅的方式? 谢谢

确保数据logging器和网站之间的HTTPstream量,选项

有一些IP数据logging器(测量温度,湿度,光照水平)坐在一堆仓库/商店内,每个仓库/商店都不同于我的观点。 这些数据logging器通过通道清晰的HTTP(基本authentication)提供信息。 另外,我的服务器(通过HTTP再次发送命令)到数据logging器,重新启动,进行固件升级等。我今天assembly的方式是在private-192.168.XX范围内分配IP地址,每个与一个唯一的TCP端口#和ADSL路由器做端口映射,使这些可见我的服务器轮询这些数据logging器(在每个站点)每5分钟,下载base64编码的数据。 数据logging器不能进行软件升级(我无法控制它们),但是我会以某种方式确保信息从ADSL路由器到我的服务器的stream动。 今天,这样的客户数量不多,可以pipe理,但是我想扩大规模,寻找一个可以很好扩展的解决scheme,为我提供必要的安全保障,并且具有成本效益。 我对这里的'安全'的期望是: – 没有冒险/窥探 – 没有中间人 – 没有篡改 – 没有欺骗假设我的主要兴趣在于确保我的服务器和ADSL路由器是安全的。 在仓库里面,我并不担心。 在ADSL路由器上,我有了防火墙,并且在数据logging器和创build的映射对应的特定端口上插入了明显的漏洞。 VPN可以成为答案吗? 什么是一些替代品,陷阱,陷坑等 欣赏解释,指针,build议等 TIA,〜i ++

如何禁止postfix发送到外部域

我有一个本地postfix服务器,我希望它只能中继电子邮件到唯一的本地域(localdomain.be): myhostname = localdomain.be mydomain = localdomain.be alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = $myhostname mydestination = $myhostname relay_domains = $mydomain default_transport = smtp relayhost = mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 10.0.0.0/24 mailbox_size_limit = 64000000 message_size_limit = 1000000 recipient_delimiter = + inet_interfaces = all inet_protocols = all smtp_host_lookup = native 此configuration工作正常,以允许本地和外部目的地域的中继邮件,但我希望它是不可能发送到其他域(即:gmail.com)。 relay_domains是应该确保,但它似乎并没有真正的过滤,因为我仍然可以发送到我的Gmail地址。

如何将安全基准应用于2008 R2?

我已经设置了一个具有Active Directory域服务angular色的Windows 2008 R2服务器。 我想应用专门的安全 – 有限function(SSLF)安全基线,但我不确定如何去做这件事。 我已经下载并安装了Security Compliance Manager工具。 我想我需要使用这个文件,但我不确定哪一个,以及如何将它应用到2008服务器。 我对这一切都很新,所以一步一步的指南将不胜感激。

IIS和PHP限制IO权限

我已经通过fastCGI模块安装了php。 有没有办法将模块(php.exe)的读写权限限制在只调用它的IIS站点的目录(+ subdirs)? 我需要这个来防止一个IIS PHP站点访问文件在它自己的目录之外。 这个怎么做? 有没有在php.ini或IISconfiguration中的设置? 我相信这样的function可能存在,因为当服务器上的文件被请求时,网站的根path也是已知的,所需要的就是IIS将此path传递给php模块,并且php模块应该在其末尾只允许此path中的IO操作。 PS:我知道可以通过为每个网站使用不同的Windows帐户来实现这一点,这不是一个选项。

VPN错误619:在Cisco路由器WRT310N后面

我在所有的论坛上都进行了很多的研究,而且这个错误对于所有提出的解决scheme来说都是非常普遍的。 我会尽量给予尽可能多的细节和尝试解决scheme。 我在Cisco WRT310N路由器后面运行CentOS PPTP服务器。 来自外部不同操作系统的多个客户端发生同样的错误619,同时closuresWindows防火墙和禁用防病毒function。 我相信这是一个路由器和IP路由问题,而不是客户端问题。 当我从与VPN服务器相同的路由器上的客户端进行连接时,它在我使用192networking地址时起作用 – 但不能与公共IP地址一起使用。 我已经尝试telnet到外部服务器端口1723,我进入了。我打开了路由器上的VPN端口(1723),VPN udp端口(500),和GRE端口(47)路由到VPN服务器的IP。 另外,服务器的路由器在DSL调制解调器之后。 当这个站点: http : //www.chicagotech.net/casestudy/vpnerror619.htmbuild议PPoE身份validation应驻留在路由器而不是调制解调器时,我有一丝希望。 但是我仍然空着。 那么有人知道问题是什么?

试图通过端口80进行通信的LSASS.exe

我们正在运行独立的Web服务器(Windows 2008 + IIS 7),我们的防病毒软件阻止LSASS.exe(C:\ Windows \ system32 \ lsass.exe)通过端口80build立出站连接。 为什么LSASS这样做? (我应该担心吗?)