您如何处理密码的存储,根据其使用的性质,您不能指望管理员记住这些密码?如:
我当然不想在这么多不同的领域重复使用一个密码。我们考虑过的选项:
当我尝试在家中安装受密码保护的 PFX 文件时,我想到了这一点,一次性使用密码存储在我上班时锁定的办公桌上的笔记本中。
用户做过的最狡猾的事情是什么?显然,我们都看到了很多来自不友好用户的恶意,但是来自所谓的友好用户呢?
就我而言,我认为它必须是ping 隧道:使用传出的 ICMP 数据包携带 SSH 隧道来绕过防火墙。[完全披露:我为此工具的 Windows 端口做出了贡献;)]
(作为社区维基重新开放)
我正在设置一些新的 Ubuntu 服务器,我想保护它们上的数据免遭盗窃。威胁模型是需要硬件的攻击者,或者需要数据的幼稚攻击者。
请注意本节。
威胁模型并没有包括智能攻击者希望的数据; 我认为他们会执行以下一项或多项操作:
将 UPS 接入电源线,以保持机器持续运行。
在计算机和网络终端点之间插入一对以太网桥接器,该桥接器将桥接无线网络上的流量,使主机保持网络连接的足够范围。
打开盒子并使用内存总线上的探针来抓取有趣的东西。
使用 TEMPEST 设备来探测主机正在做什么。
使用法律手段(例如法院命令)强迫我披露数据
等等等等。
所以我想要的是在加密分区上的磁盘上拥有一些或理想的全部数据,以及在某种外部媒体上访问它所需的关键材料。我能想到的两种存储密钥材料的方法是:
将其存储在可通过网络访问的远程主机上,并配置足够的网络以在引导过程中检索它。只允许检索分配给安全主机的 IP 地址(因此,如果加密数据是在另一个网络连接上启动的,则不允许访问加密数据),如果发现机器被盗,管理员可以禁用该地址。
将其存储在 USB 存储设备上,该设备在某种程度上比主机本身更难窃取。将它放置在远离主机的位置,例如在通向房间另一个角落甚至另一个房间的 5 米 USB 电缆的末端,可能会显着降低攻击者获取它的机会。以某种方式保护它,例如将它链接到固定不动的东西,甚至将其放入保险箱中,效果会更好。
那么我有哪些设置选项呢?正如我之前所说,我更愿意将所有内容(除了可能不包含 /etc 的小引导分区)加密,这样我就不必担心我将文件放在哪里,或者文件放在哪里”不小心降落了。
我们正在运行 Ubuntu 9.04,如果它有什么不同的话。
我有一台启用了远程登录的 Mac OS X 机器(运行 10.5 的 Mac mini)。我想打开 sshd 端口到 Internet 以便能够远程登录。
出于安全原因,我想禁用使用密码的远程登录,只允许具有有效公钥的用户登录。
在 Mac OS X 中进行设置的最佳方法是什么?
我不知道在哪里使用了 SELinux 以及它从攻击者那里保存了什么。我浏览了 SELinux 网站并阅读了基本但仍然没有获得有关 SELinux 的线索。对于提供 SSH shell、Apache 前端、基于角色的 Web 应用程序、MySQL DB、memcached 的 Linux 系统,几乎所有系统都有密码保护,那么我们为什么需要 SELinux?
我可以将多个 openvpn 客户端连接到单个 openvpn 服务器吗?以下设置适用于单个用户
这是服务器配置(openvpn.conf)
port 1194
proto udp
dev tun
secret openvpn-key.txt
ifconfig 192.168.2.1 192.168.2.2
keepalive 10 120
comp-lzo
persist-key
persist-tun
status server-tcp.log
verb 3
这是客户端配置
dev tun
proto udp
remote HOSTNAME_IS_HERE 1194
resolv-retry infinite
nobind
secret openvpn-key.txt
ifconfig 192.168.2.2 192.168.2.1
comp-lzo
verb 3
dhcp-option DNS 172.16.0.23
redirect-gateway def1
等/系统配置
*nat
:POSTROUTING ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.2.0/24 -d 0.0.0.0/0 -o eth0 -j MASQUERADE
COMMIT
一切正常,直到第二个用户尝试使用相同的 VPN 密钥等进行连接。如何允许多个用户?
我想要一个安全的邮件解决方案,因为我希望远离 Google 和其他查看我的私人数据的方。
设置我自己的邮件服务器需要多少 PITA?我应该选择具有良好隐私政策和加密数据的外部提供商吗?
我有一个运行 Debian 的 VPS(具有专用 IP + 反向 DNS),而且我是一名相当有能力的 Linux 管理员,已经设置了几个网络服务器、家庭网络,并在工作中监督系统管理员。
我目前在 VPS 上的安全性仅限于 iptables 和安装/运行我需要的最低限度(目前基本上是 irssi 和 lighttpd)。
设置邮件服务器时,是否需要考虑很多东西?如果我不实施多种解决方案,我的外发邮件是否会在其他服务器上被标记为垃圾邮件?设置可靠的垃圾邮件过滤是否困难?我可以轻松加密存储的邮件吗?
在防火墙高级安全管理器/入站规则/规则属性/范围选项卡中,您有两个部分来指定本地 IP 地址和远程 IP 地址。
是什么使地址有资格作为本地或远程地址,它有什么区别?
这个问题在正常设置中很明显,但现在我正在设置远程虚拟化服务器,我不太确定。
我得到的是一个有两个接口的物理主机。物理主机使用带有公共 IP 的接口 1。虚拟机通过公共 ip 连接到接口 2。我在两者之间有一个虚拟子网 - 192.168.123.0
编辑防火墙规则时,如果我把192.168.123.0/24放在本地ip地址区或远程ip地址区,windows有什么不同?它有什么不同吗?
我问这个问题的原因是我在使防火墙处于活动状态时在两者之间进行域通信时遇到问题。我在防火墙方面有丰富的经验,所以我知道我想做什么,但是这里发生的事情的逻辑让我无法理解,而且这些规则必须一一编辑很乏味。
编辑:这两个规则有什么区别:
我有一个 ip 为 192.168.1.1 的局域网端口,我认为没有区别
伊恩
我的网站是altoonadesign.com,如果您直接在浏览器中输入,它会将您带到正确的网站。但是,如果您搜索“altoona design”并单击指向我网站的链接,您将被重定向到恶意网站。
我在谷歌的 chrome 和 IE 的 bing 中尝试过这个。在不同的计算机上总是具有相同的结果。直接输入 url 会将您带到我的真实站点,单击搜索结果中的链接会将您重定向到恶意站点。
我不确定这是怎么发生的,如何撤消它,或者如何在将来防止它?
单击此处的链接也会将您带到恶意站点,因此单击链接似乎是它的作用,但是直接输入它不会重定向您...怎么回事?
我有一个小型服务器网络,我想提高总体安全性。我没有足够的时间/金钱/偏执来设置 VPN——我可以提高系统安全性的基本方法是什么?
一件事可能是要求用户发送他们的密钥并输入密码。这有点难用谷歌搜索,因为关于“ssh 密钥密码”的一切都是关于没有密码的 ssh。:-)
我一直想玩的一个方案是要求传入的连接仅来自 dyndns ip 地址的白名单。我知道一些安全负责人一想到这个想法就会呕吐,但事实是,利用一个盒子会增加非常显着的复杂性。
你怎么认为?外面还有什么?