标签: security

我想设置一个证书颁发机构，然后我可以将其导入到公司的所有浏览器和系统中，以便在使用 HTTPS 或 SSL 时摆脱所有那些讨厌的客户端警告。

为了：

1. 提高我网站的安全性
2. 降低带宽要求
3. 防止电子邮件地址收集

我想配置securetty来限制root直接访问。现在我很清楚我是否添加：

auth        required      pam_securetty.so 

进入/etc/pam.d/system-auth，在/etc/securetty中只保留“console”，ssh登录也会被禁止。如果我添加：

auth        required      pam_securetty.so  

进入/etc/pam.d/login，在/etc/securetty中只保留“console”，ssh登录不会被禁止。

现在我不是很清楚/etc/pam.d/login 和/etc/pam.d/system-auth 之间的区别。谁能给我一些参考或一些指导？非常感谢！

PS /etc/pam.d/login vs. /etc/pam.d/system-auth 也给出了一些关于它的信息，但我想获得更多信息以使我更清楚。

我们计划将我们的生产网络从无 VLAN 配置迁移到标记 VLAN (802.1q) 配置。下图总结了规划的配置：

一个重要的细节是，这些主机中的很大一部分实际上是单个裸机机器上的虚拟机。事实上，唯一的物理机器将是 DB01、DB02、防火墙和交换机。所有其他机器将在单个主机上进行虚拟化。

一直以来的一个担忧是，这种方法很复杂（暗示过于复杂），而且 VLAN 只是提供了一种安全错觉，因为“VLAN 跳跃很容易”。

考虑到由于虚拟化将多个 VLAN 用于单个物理交换机端口，这是一个有效的问题吗？我将如何适当地设置我的 VLAN 以防止这种风险？

另外，我听说 VMWare ESX 有一种叫做“虚拟交换机”的东西。这是 VMWare 管理程序独有的吗？如果没有，它是否可用于 KVM（我计划选择的虚拟机管理程序）？。这是如何发挥作用的？

我正在考虑将 SSH 隧道实现为一种廉价的 VPN 解决方案，供外部用户访问仅面向 Intranet 的 Web 应用程序。

我目前正在使用安装了 OpenSSH 的 Ubuntu Server 10.04.1 64 位。

我在 Windows 机器上使用 Putty 在本地端口上创建到我的 ssh 服务器的隧道。

start putty -D 9999 mysshserver.com -N

然后我使用 tell Firefox 在 localhost:9999 上使用 SOCKS 代理。

-N 标志将从客户端禁用交互式 shell。有没有办法在服务器端做到这一点？

除了禁用 root 访问，使用 rsa 密钥认证，并更改默认端口；为此，我还应该遵循任何其他明显的安全实践吗？我的目标是简单地能够隧道网络流量。

为了便于讨论，假设我有一个 Apache 网络服务器，它为 www.example.org 的网站提供服务。该域名解析为公网IP地址192.168.1.100（假装这是公网IP）。

关于将域名指向我的 ip 的人，我可以做些什么的讨论吗？证明任何人都可以将他们的域指向我的 IP。默认情况下，Apache 不会阻止这种情况，但管理员可以通过使用黑名单一次处理这些问题。

但是，诈骗者注册数十个（或更多）域以用于诈骗的情况变得越来越普遍。我担心以下可能的攻击：

1. 骗子注册了数百个域名，并将它们指向我的专用 IP 地址。
2. 骗子将搜索引擎引导到他们的骗局域，从而使用我的内容来提高他们在搜索引擎中的地位。
3. 之后，骗子将他们的域名移动到他们自己的服务器上，这些服务器承载着骗局/色情或竞争业务等，从而从他们在搜索引擎中的地位中获益。其中一些域也可能用于垃圾评论。
4. 利润！！

我相信我过去曾见过骗子使用此技巧，涉及数十个域。我们当时没有意识到诈骗的含义，并假设这些是配置错误的域。

这种邪恶的 SEO 技巧有术语吗？SEO伪装？DNS 转移？

如何使用 Apache 防止这种情况？我正在考虑基于使用默认值的“白名单”修复VirtualHosts，ServerNames&ServerAliases以便 Apache 仅响应这些列入白名单的 ServerNames 出现在“ Host:”标头中的请求。其他所有内容都将被拒绝（或重定向到特定页面）。但是，我不确定这是否是最好的方法。

例如，我已将域http://thisisnotserverfault.stefanco.com/配置为指向 Serverfault.com 的 IP。您可以在此处查看结果：http : //thisisnotserverfault.stefanco.com/。

我正在尝试使几个 ubuntu 框保持最新并打补丁（10.4.2 LTS），我得到的一个建议是设置无人值守升级（https://help.ubuntu.com/community/自动安全更新）。

过去我一直反对设置自动更新，主要是因为它会在更新过程中破坏某些东西的偏执狂。但是，现在我开始质疑这有多有效（以及与可能未打补丁的服务器相比，它的风险有多大）。这是一个明智的想法吗？

我们也在设置 Puppet，但是创建模块/将服务器迁移到 Puppet 似乎还有很长的路要走。

考虑这种情况：我有 linux 服务器，它每天通过 rsync 或类似的东西自动备份到某个远程位置。一切都很好，直到某个坏人获得了服务器的访问权限，找到了我的自动备份脚本并从备份服务器中删除了所有内容。

我试图找到一些远程备份实用程序，它只允许远程添加备份，但不能删除它们。我现在不知道如何制作任何使用 ssh 只写的东西，我试图找到一些不使用 ssh 的东西，但只找到了Box Backup。

我现在有可能，但我想知道是否有一些规范的方法来实现这一点。

我得到了很多答案，谢谢大家！

目前我正在使用 VisualSVN 服务器，它只能在我的家庭网络上访问。最终会有其他人访问它，但现在只有我，我希望能够去咖啡店（或任何地方）并且能够离开家工作。

目前我正在访问服务器http://user-pc:xx/svn/Projects/。当我设置我的路由器将端口 XX 转发到我的服务器时，我应该采取哪些步骤来保护服务器？

请记住，我是在 Windows 上执行此操作的，虽然我广泛使用常规命令提示符，但我使用 SVN 的时间并不长，而且到目前为止，除了 TortoiseSVN 之外，我还没有使用任何其他东西来处理它。

编辑：据我所知，攻击者可以做的唯一有害的事情是：猜测我的端口号、用户名和密码以进入存储库。然而俗话说的好，我不知道我不知道什么。

因此，我不一定要求逐步说明（尽管我当然也希望这样做），而是要求我在端口打开后可能进行的任何类型的攻击中需要考虑的事项。

我了解了针对 TLS 压缩的CRIME攻击（CVE-2012-4929，CRIME 是针对 ssl 和 tls 的 BEAST 攻击的继承者），我想通过禁用 SSL 压缩来保护我的网络服务器免受这种攻击，它已添加到 Apache 2.2.22（见错误 53219）。

我正在运行 Scientific Linux 6.3，它与 httpd-2.2.15 一起提供。httpd 2.2 上游版本的安全修复应该向后移植到这个版本。

# rpm -q httpd
httpd-2.2.15-15.sl6.1.x86_64

# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built:   Feb 14 2012 09:47:14
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9

我在我的配置中尝试关闭 SSLCompression，但这会导致以下错误消息：

# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: …