我在一个有 100 个用户的 Windows 2003/2008 公司网络上。我的任务是增加所有最终用户工作站的 RAM。
问题是我们的环境中混合了不同的计算机。有些是戴尔,有些是惠普,还有一些是我们从头开始构建的工作站。不用说,这些机器都不共享相同的内存类型或速度。
我知道我可以去这 100 台计算机中的每台计算机中的每一台查找内存信息。但我宁愿找到一个更省时、更优雅的解决方案。
有没有办法让我远程清点/审核这些机器,以找到特定的内存类型(SDRAM、DDR、DDR2 等)、速度和插槽配置?
谢谢,非常感谢任何帮助。
在我们的其中一台服务器上,我们有一个文件一直神秘地被删除。我想做的是让一个程序监视这个文件,并让我知道它何时/如何/由谁删除。我们有相关文件的备份,因此将其放回去并不麻烦,但会导致我们的网站停机。
有没有软件可以做到这一点?有什么免费的吗?操作系统是 Windows Server 2003 SP2 32 位。
我们有一个 CentOS 操作系统,今天早上它对外部网络流量没有响应。它是一个虚拟机。我能够重新启动虚拟机。重新登录后,我在 /var/log/messages 文件中发现以下内容,一遍又一遍地重复,直到重新启动:
Jan 21 06:53:01 PBX kernel: audit: backlog limit exceeded
Jan 21 06:53:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: printk: 8 messages suppressed.
Jan 21 06:54:01 PBX kernel: audit: audit_backlog=321 > audit_backlog_limit=320
Jan 21 06:54:01 PBX kernel: audit: audit_lost=1130 audit_rate_limit=0 audit_backlog_limit=320
我在另一个论坛上读到以下命令可以识别积压流量的来源:
[root@PBX log]# aureport --start today --event --summary -i
Event Summary Report
======================
total type
======================
486 USER_ACCT
486 CRED_ACQ
486 USER_START
485 LOGIN
477 CRED_DISP
477 USER_END
6 USER_LOGIN …我在服务器上运行了一个论坛脚本,不知何故,少量附件开始丢失。我想知道是什么在删除它们以及在什么时间删除它们。如何设置 Linux auditd (auditctl) 来监视目录树(附件存储在多级目录树中)以监视那里的文件删除?
可能我应该为此使用其他工具吗?
用户 A 有两个 SSH 私钥,随着时间的推移,他在多台服务器上使用了这个公钥,他丢失了其中一个,并创建了一对新的。
用户 A 如何通知我(系统管理员),他丢失了他的密钥,以及我如何管理他有权访问的所有服务器(我没有用户 A 有权访问的所有服务器的列表)。换句话说,我如何回忆与此私钥关联的公钥。
在基于 LDAP 的身份验证中,所有服务器都将与单个服务器存储库进行通信以进行身份验证,如果我删除服务器上的访问权限或修改密码,则当用户 A 丢失密码时,所有使用此 LDAP 进行身份验证的系统都会受到保护。
当您雇用某人/企业进来时,您如何确保他们不会有一个会为您的系统安装后门程序的流氓员工?有什么方法可以信任任何人吗?大公司是如何做到的?似乎有这么多可能的空缺,以至于有人流氓的可能性很大。
最好自己研究一下吗?您是否聘请自己的团队来建立信任关系?
基本上,在授予某人对您的系统和网络进行黑客测试的合法权利时应该采取哪些步骤?
我是一名程序员,但我工作的公司一直在发展,并且已经超出了为我们提供服务的 2 人 IT 承包商团队。
我们现在正在为我们的 IT 需求寻找几种不同的解决方案(小型公司 30 台计算机,3 台服务器)。
我收到了一家 IT 公司的技术审计提案。问题是我不知道他们是否涵盖了他们应该涵盖的所有基础,以及他们是否给我们提供了合理的价格。
以下是他们所说的包含在他们的技术审计中的内容列表:
IT路线图和预算计划
网络信息
资产盘点
安全
备份和灾难恢复
电信和电话系统
我知道其中大部分是什么,我认为它们需要检查,但其中一些我有点不知所措。比如“符合 IT 标准”——什么 IT 标准?最好在哪里查找这些内容?
最后他们说要做到这一点,他们将向我们收取 3500 美元。对于我们这样规模的公司来说,这是一个相当大的变化。
那么,对于列出的服务来说,这是一个公平的价格吗?
这份清单中是否有任何明显的遗漏应该包括在内?
在确定这家公司是否适合我们的 IT 需求时,我应该注意什么?(技术审计将成为他们成为我们永久 IT 提供商的前兆。)
我们最近遇到了一种情况,分配给生产服务器的弹性 IP 地址神秘地与该服务器断开关联。我们过去在其他(幸运的是,非生产)服务器上也发生过同样的事情。我们在控制台中有几个管理员,但没有人承认错误。有什么方法可以审计 AWS 控制台活动吗?
我正在使用 auditctl 并为 crond 获取大量日志记录事件。我不想记录任何 cron/crond 事件。
node=127.0.0.1 type=CRED_DISP msg=audit(1405678801.149:5571): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=USER_END msg=audit(1405678801.150:5572): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: session close acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=USER_ACCT msg=audit(1405678921.158:5573): user pid=2017 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: accounting acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=CRED_ACQ msg=audit(1405678921.158:5574): user pid=2017 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=LOGIN msg=audit(1405678921.159:5575): login …【Windows 2008 R2文件系统审核】
当我删除文件时,会出现两条事件日志审核消息:4663表示请求删除文件和4660确认删除。Thay 可以通过属性连接Handler。
当我重命名文件时,会出现两条事件日志审核消息:4663这意味着请求删除文件和4663创建新文件(但只有文件夹路径,没有文件名)
当我将文件从一个文件夹移动到另一个文件夹时,出现与重命名相同的图片(因为移动实际上是重命名,OK)
当我创建一个新文件时,没有事件出现。
所以,问题: 1. 我在审计文件创建时缺少什么?2. 审计文件重命名我遗漏了什么?
我的 AuditPol.EXE 导出(DACL 和 SACL):
Category/Subcategory Setting
System
Security System Extension Failure
System Integrity Failure
IPsec Driver Failure
Other System Events Failure
Security State Change Failure
Logon/Logoff
Logon Success and Failure
Logoff Success and Failure
Account Lockout Success and Failure
IPsec Main Mode Success and Failure
IPsec Quick Mode Success and Failure
IPsec Extended Mode Success and Failure …