我们的几台服务器拥有 Oracle 维护许可证。我们的硬件供应商询问服务器机房是否有互联网连接。我们的政策是,出于安全原因,该房间内的所有机器都与互联网隔离。但是维护人员问:“那我们如何才能在您的服务器上进行维护工作?”
我的问题是,我们的服务器是否需要互联网连接才能像许可证验证系统一样进行维护。或者他可以离线做吗?如果我们的生产服务器有互联网连接,这本身不是一种风险吗?
我在运行多个脚本时遇到问题,因为 PHP-FPM 无法写入我的会话文件夹:
"2009/10/01 23:54:07 [error] 17830#0: *24 FastCGI 在 stderr 中发送:"PHP 警告:
未知:打开(/var/lib/php/session/sess_cskfq4godj4ka2a637i5lq41o5,O_RDWR)
失败:第 0 行未知中的权限被拒绝 (13)
PHP 警告:未知:无法写入会话数据(文件)。请验证
session.save_path 的当前设置是正确的
(/var/lib/php/session) 在第 0 行的 Unknown 中“同时读取上游”
显然这是一个许可问题;我的会话文件夹的所有者/组是网络服务器的用户 NGINX。PHP-FPM 就像运行一样nobody,因此将它添加到 nginx 组并不是那么简单。
一个临时的解决办法是设置的权限/var/lib/php/session来777-我有一种感觉,这不是“最佳实践”虽然。
当您需要为文件夹分配守护程序写入权限但它作为 运行时,最佳实践是nobody什么?
曾几何时,南美洲有一个美丽温暖的虚拟丛林,那里住着一个鱿鱼服务员。这是网络的感知图像:
<the Internet>
|
|
A | B
Users <---------> [squid-Server] <---> [LDAP-Server]
当Users请求访问 Internet 时,squid询问他们的姓名和护照,通过对他们进行身份验证LDAP,如果 ldap 批准了他们,那么他就授予了他们。
每个人都很高兴,直到一些嗅探器在用户和鱿鱼 [路径 A] 之间的路径中偷走了护照。这场灾难的发生是因为鱿鱼使用了Basic-Authentication方法。
丛林中的人们聚集在一起解决问题。一些兔子提供了使用NTLM方法。蛇更喜欢,Digest-Authentication而Kerberos树木则推荐。
毕竟,丛林人和所有人提供的许多解决方案都令人困惑!狮子决定结束这种局面。他喊出解决规则:
然后,一只猴子提供了一个非常合理、全面、聪明的解决方案,让他成为了新的丛林之王!
你能猜出解决方案是什么吗?
提示:squid和
之间的路径LDAP由狮子保护,因此解决方案不必固定它。
注意:对不起,如果故事无聊和混乱,但大部分都是真实的!=)
Run Code Online (Sandbox Code Playgroud)/~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( (""""") )///) (\\\( \^^^/ )///) (\\\( )///) …
我正在考虑使用 git 将我的整个 linux 服务器置于版本控制之下。其背后的原因是这可能是检测恶意修改/rootkit 的最简单方法。我天真地认为检查系统的完整性是必要的:每周使用救援系统挂载 linux 分区,检查 git 存储库是否仍然未调整,然后发出 git status 以检测对系统所做的任何更改.
除了明显的磁盘空间浪费外,还有其他负面影响吗?
这是一个完全疯狂的想法吗?
它甚至是检查 rootkit 的安全方法,因为我很可能至少必须排除 /dev 和 /proc 吗?
我即将在普渡大学攻读 4 年的信息安全学位。该学位不需要任何编程课程。所以我唯一能参加的时间是偶尔的选修课。所以我的大部分学习都是靠我自己。在我高三开始时,我决定完全转向 Linux。到目前为止,我一直在学习一些 Linux 和安全方面的知识。但是,我也相信学习一些编程语言对我来说也很重要。
基本上,我计划在学习如何使用 Vim 的同时学习编程。所以这很可能是一个缓慢的过程。不过,最终我认为这将是值得的。正如我所说,我将进入安全领域,所以我将主要创建与安全相关的应用程序,其中大部分将与网络相关。我还想开始开发 Android 应用程序,但这将在以后的道路上进行。
话虽如此,我有一些想法。我想从 JavaScript 开始,因为它是跨平台的,而且我之前看到过它的建议。我也听说了很多关于 Ruby 的事情,或者可以用 C 走自然的 Linux 路线。我应该往哪个方向走?
假设有人与我在同一个网络上并欺骗他们的 MAC 地址以匹配我的:
除了发布负责某个 DNS 区域的人员的电子邮件地址之外,这是否真的很重要?
在我们的 BIND 配置中,我们将一个邮件列表作为我们域的负责人,但我们很确定这是否是好的做法。
地区有任何依赖此电子邮件地址的服务吗?在更糟糕的情况下,该字段中的无效电子邮件会损害我们的 DNS 权限吗?
我希望我的问题符合本网站的范围。
我正在开发一个CMS。目前,我的登录用户在会话中被锁定到他们的 IP 地址。不幸的是,我的用户群中的一小部分经常在两个或多个 IP 地址之间跳转。他们中的大多数人可能使用负载平衡器。从技术上讲,没有必要将用户会话锁定到一个 IP 地址。我没想到客户会为我网站上的单个页面请求在多个 IP 地址之间切换。
我现在想知道,允许我的客户端不断地在 IP 地址之间跳转以获取页面请求的风险是什么(例如,xxx.xxx.xxx.xxx 请求 CSS 文件,yyy.yyy.yyy 请求 JavaScript 文件。 yy)?我通常应该允许还是禁止?
我从不在 Windows 服务器上使用 Internet Explorer。我有什么理由应该升级 Internet Explorer(从 6 或 7 版到 7 或 8 版)?
security windows-server-2003 windows-server-2008 internet-explorer