标签: security

我收到了一个关于“您不需要强大的 mysql 用户密码，因为为了使用它，他们已经可以访问您的服务器”的论点。我们谈论的是一个 4 位密码，它是一个实时商业网站上的标准英语词典单词。

在不以我自己的知识和经验影响答案的情况下，我想向他们展示一些来自无私的 3rd 方来源的回应。有人关心这个吗？编程/实用答案将不胜感激。

在 LAMP 环境（通过 yum 安装 sshd）中设置最大登录尝试次数的最简单方法是什么？是否有软件包或简单的防火墙规则？

这个 Hacker News 故事是关于 FTP 的缺点。我可能设置 FTP 的唯一原因是它很容易。

我scp已经知道并使用过，但有时我想与某人共享文件而不授予他们ssh访问我的服务器的权限。我希望他们能够上传和下载文件，但没有别的，我想将它们限制在一个目录中。我还希望他们的连接像ssh.

满足这些条件的 FTP 替代品有哪些？

我们是否应该删除 root 密码、禁用远程登录并基本上要求管理员使用 sudo 来执行管理操作？

我试图阻止来自我从运行 Windows 2008 和 IIS7 的服务器托管的每个站点的各种 IP 地址。我在 IIS7 管理器的功能视图 ( http://technet.microsoft.com/en-us ) 的“IPv4 地址和域名拒绝规则 (IIS 7)”中找到了有关如何使用拒绝规则执行此操作的各种信息/library/cc733090(WS.10).aspx )，但我没有任何这样的图标。

如何在我的 IIS 管理器中获得该 UI？

我在互联网上发现了这个，同时在 FreeBSD 中建立了一个 FTP 服务器。

将 nologin 放入 /etc/shells 可能会创建一个后门，这些帐户可以通过该后门与 FTP 一起使用。

（见：http : //osdir.com/ml/freebsd-questions/2005-12/msg02392.html）

谁能解释一下这是为什么？为什么复制 nologin 并将其放入 /etc/shells 可以解决此问题？

我知道有数以千计的人在将集成 Windows 身份验证与 IIS 一起使用时遇到问题的报告，但它们似乎都导致网页不适用或我已经尝试过的解决方案。我之前已经部署了几十个这样的站点，所以要么服务器/配置发生了一些奇怪的事情，要么我已经研究了太久而没有看到明显的情况。

简而言之，一切都在我的本地机器上完美运行，但在生产服务器上却崩溃了，据我所知，它具有完全相同的配置。

在本地机器上：

• 该机器运行的是 Windows 7 Ultimate、Service Pack 1、IIS 7.5。
• 该站点已成功测试，使用 IIS 和 VS Web 开发服务器。
• IIS 站点配置禁用了除Windows 身份验证之外的所有身份验证方法。
• 本地机器不在任何域中。
• 设置的提供程序是 Negotiate 和 NTLM（不是 Negotiate:Kerberos）。
• 扩展保护关闭。
• 所有经过测试的浏览器（IE、Firefox、Chrome）都会显示质询提示，并允许我使用我的（本地）Windows 帐户登录到localhost域。
• 所有经过测试的浏览器也使用不透明的本地 IP 地址工作 - 因此浏览器本身似乎并不关心该站点是“本地”还是“远程”。
• 我在网页上添加了一条显示行，显示当前登录的用户，它准确地显示了我的期望（无论我使用哪个本地用户登录）。

在远程机器上：

• 服务器运行的是 Windows Server 2008 R2、IIS 7.5。
• 加载网页会立即导致401.2 错误：由于身份验证标头无效，您无权查看此页面。 从来没有出现过挑战提示。
• IIS 站点配置禁用了除Windows 身份验证之外的所有身份验证方法。
• 远程机器不在任何域中。
• 设置的提供程序是 Negotiate 和 NTLM（不是 Negotiate:Kerberos）。
• 扩展保护关闭。
• 在远程计算机（远程桌面会话）上，无论域是localhost还是外部 IP 地址，Internet Explorer 中都会出现相同的错误。 …

我们的机器运行基于 RedHat 的发行版，例如 CentOS 或 Scientific Linux。如果安装的软件包存在任何已知漏洞，我们希望系统自动通知我们。FreeBSD 使用ports-mgmt/portaudit端口来做到这一点。

RedHat 提供yum-plugin-security，它可以通过 Bugzilla ID、CVE ID 或建议 ID检查漏洞。此外，Fedora 最近开始支持yum-plugin-security。我相信这是在 Fedora 16 中添加的。

截至 2011 年底， Scientific Linux 6 不支持 yum-plugin-security。它确实附带/etc/cron.daily/yum-autoupdate，它每天更新 RPM。但是，我认为这不仅仅处理安全更新。

CentOS 不支持yum-plugin-security.

我监控 CentOS 和 Scientific Linux 邮件列表的更新，但这很乏味，我想要一些可以自动化的东西。

对于我们这些维护 CentOS 和 SL 系统的人来说，有没有什么工具可以：

1. 自动（Progamatically，通过 cron）通知我们我当前的 RPM 是否存在已知漏洞。
2. 或者，自动安装解决安全漏洞所需的最低升级，这可能yum update-minimal --security在命令行上？

我已经考虑使用yum-plugin-changelog打印出每个包的变更日志，然后解析某些字符串的输出。是否有任何工具可以做到这一点？

我正在一个新机器上为 SSH 设置基于密钥的身份验证，并且正在阅读一些提到设置UsePAM为no与PasswordAuthentication.

我的问题是，如果您已经拥有并设置为UsePAM，no那么设置为的目的是什么？PasswordAuthenticationChallengeResponseAuthenticationno

假设您想创建一个指向私有位置的子域（可能是数据库的位置，或者您不希望人们尝试通过 SSH 连接的计算机的 IP 地址），因此您添加了一个名为 something 的 DNS 记录像这样：

private-AGhR9xJPF4.example.com

除了知道子域的确切 URI 的人之外，这是否会“隐藏”给所有人？或者，是否有某种方法可以“列出”特定域的所有注册子域？