我用 Nginx 的 Auth_Basic 模块保护了一个 web 文件夹。问题是,我们可以尝试多个密码直到它起作用(暴力攻击)。有没有办法限制失败的重试次数?
我们有一些安全组,其中有很多规则。与其为了适应细微差别而不必为多个安全组重新创建相同的规则,是否可以复制一个安全组以用作起点,或使用继承等?
大多数情况下,当我对 linux box 等的加固进行任何搜索时,列表中总会有一段火星数据包(IP)的日志,没有任何进一步的解释。
net.ipv4.conf.all.log_martians =1
net.ipv4.icmp_ignore_bogus_error_responses =1
我已经做了一些谷歌搜索,但它看起来不像火星人数据包是攻击源左右。任何人都可以照亮吗?
谢谢
我被要求查明上周用户何时登录系统。现在 Windows 中的审计日志应该包含我需要的所有信息。我想如果我使用特定的 AD 用户和登录类型 2(交互式登录)搜索事件 ID 4624(登录成功),它应该为我提供所需的信息,但在我的一生中,我无法弄清楚如何实际过滤事件日志以获取此信息。是否可以在事件查看器内部使用,或者您是否需要使用外部工具将其解析到此级别?
我发现http://nerdsknowbest.blogspot.com.au/2013/03/filter-security-event-logs-by-user-in.html这似乎是我需要的一部分。我稍微修改了一下,只给了我最后 7 天的价值。下面是我试过的 XML。
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[(EventID=4624) and TimeCreated[timediff(@SystemTime) <= 604800000]]]</Select>
<Select Path="Security">*[EventData[Data[@Name='Logon Type']='2']]</Select>
<Select Path="Security">*[EventData[Data[@Name='subjectUsername']='Domain\Username']]</Select>
</Query>
</QueryList>
它只给了我最后 7 天,但其余时间都不起作用。
任何人都可以帮助我吗?
编辑
感谢Lucky Luke的建议,我一直在进步。下面是我当前的查询,尽管我将解释它没有返回任何结果。
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID='4624')]
and
System[TimeCreated[timediff(@SystemTime) <= 604800000]]
and
EventData[Data[@Name='TargetUserName']='john.doe']
and
EventData[Data[@Name='LogonType']='2']
]
</Select>
</Query>
</QueryList>
正如我所提到的,它没有返回任何结果,所以我一直在弄乱它。在我添加 LogonType 行之前,我可以让它正确产生结果。之后,它不返回任何结果。知道为什么会这样吗?
编辑 2
我将 LogonType 行更新为以下内容:
EventData[Data[@Name='LogonType'] and (Data='2' or Data='7')]
这应该捕获工作站登录以及工作站解锁,但我仍然一无所获。然后我修改它以搜索其他登录类型,如 3 或 8,它找到了很多。这让我相信查询工作正常,但由于某种原因,事件日志中没有登录类型等于 2 的条目,这对我来说毫无意义。是否可以关闭此功能?
DRAM 芯片非常紧凑。研究表明,相邻位可以随机翻转。
参考:
根据我的理解,DNS 使用 UDP 和端口 53。如果未阻止传入端口号 53 的 UDP 数据包,会发生什么不良情况?
更新:将允许来自或发往大学运营的本地 DNS 服务器或大学运营的权威 DNS 服务器的数据包。
我试图理解直接使用 root 进行 ssh 或在维护服务器的情况下创建辅助 sudo 用户之间的技术参数/安全影响。为了澄清这一点,我们讨论的是单个管理员拥有的服务器。对于在机器上工作的多人来说,很明显,为每个实际人员拥有唯一的用户和细粒度的权限可以带来审计跟踪的好处。
我的想法是,如果这是一个桌面站,那么这是有道理的,建议使用非root用户进行日常工作,但在服务器上,您通常登录来维护它,并且99%的时间您的所有活动都需要root权限。
那么,创建一个“代理”用户(无论如何都要 sudo 到 root,而不是直接提供对 root 的 ssh 访问权限)是否有任何安全优势呢?
我能想到的唯一好处是通过模糊性实现安全性,即机器人通常会尝试探测“root”用户。但从我的角度来看,如果 sudoers 的用户受到威胁,就等同于 root 用户受到威胁,所以游戏就结束了。
此外,大多数远程管理框架、NAS 系统、虚拟机管理程序都鼓励使用 root 用户进行 Web 登录。
基本上我要问的是,有没有人遇到过将 rsync 包装在 ssh 中的方法。
使用 OpenSSH v4.9+ sftp 有一些不错的选项,允许您对传入的连接进行 chroot 等 - 这是我会考虑的解决方案,但是我坚持使用 RHEL,并且 RHEL4 或 RHEL5 都不支持该版本SSH。
我目前的解决方案是使用客户端用户的密钥向服务器端添加这样的东西......
server% cat ~/.ssh/authorized_keys command="cd /srv/rsync/etl && tar --exclude './lost+found' -pcf - ./" ssh-rsa...
......因此客户端将被限制为一件事,只有一件事......
客户端% ssh -T -i ${HOME}/.ssh/id_rsa oracle@database.com > sensative.tar
这确保了连接以及服务器(来自客户端)的安全,但是效率低下,因为将一遍又一遍地检索所有文件。
我正在使用 rsync 做类似(或更好)的事情。
我听说基于 Linux 的系统更安全。显然他们没有病毒,也不需要防病毒软件。甚至我的大学也声称这一点 - 他们拒绝在他们的服务器上安装 Windows,这真是一种耻辱,因为我们想使用 .NET 框架来创建一些网站。
我认为 Linux 更安全的唯一原因是因为它是开源的,所以理论上错误会被更快地捕获和修复。
我对操作系统的工作原理有所了解,但还没有真正深入研究 Linux 和 Windows 如何实现其操作系统。有人可以解释使基于 Linux 的系统更安全的区别吗?