我很快就会尝试部署我的第一个网络应用程序,所以我的经验很缺乏。我记得在某处读到过,bot 会在暴露于 Internet 后的几分钟内进行端口扫描(也许这就是 Windows 95 系统被入侵所需的时间,自从我阅读这篇文章以来已经有一段时间了)。这个特定的服务器在 amd64 上运行 Ubuntu 9.10 服务器版本。
Web 应用程序本身应该完全通过 https,根据我刚刚在这里提出的这个问题。此外,该网站有一个文件上传部分,现在通过 http post 完成,该文件最终通过单独的(不幸的是无线)接口传送到另一台计算机以处理实际处理。
因此,在向世界公开的实际网络接口上,我认为应该公开端口 80 和 443,仅此而已。正如我之前所说,80 应该重定向到 443。这是理智的吗?还有什么我不知道的,我应该激活其他一些端口吗?使用 ruby DRb 通过端口 9000 和 9001 将文件移动到处理系统,因此这些文件也需要打开,但只能在第二个接口上打开。
另外,我应该使用什么防火墙程序来处理这样的两个网络接口?这里列出了一些,但我不确定哪个适合提供网页,或者即使这是一个特例。
我有一个使用 ssh 进行身份验证的应用程序。由于各种规定(HIPAA 等),用户只能在一定时间内登录,并且只能登录一次。
如果尝试另一个连接,我希望 sshd 自动断开用户连接。这个想法是:用户 1 已连接。用户 2 使用用户 1 的凭据尝试登录。两者都被踢了(我们不确定用户 1 或用户 2 是否合法)。
如果这种情况在 Y 分钟内发生 X 次以上,则帐户将被冻结,直到管理员将其解冻(很可能是由于密码重置)。
现在,用户被沙盒化在他们自己的scponly目录中;我不确定这是否重要。
试图杀死单个 sshd 连接就像玩 whackamole,我更喜欢这是 sshd 自己做的事情,而不是根级脚本。
编辑:这是在
2.6.31-22-server #73-Ubuntu SMP
我的limits.conf文件包含如下几行:
user1 hard maxlogins 1
user2 hard maxlogins 1
我的 sshd_config 文件包含以下行:
UsePAM yes
但是我仍然可以从多台不同的机器以 user1 身份登录。我在这里做错了什么,以便我至少可以阻止 user1 进行多次登录?
我需要做什么才能摆脱旧的 UPS?电池不再工作,此时设备可能已完全耗尽,因为其上的设备偶尔会完全重启。所以,我不会把它给别人或捐赠它,因为它只是一个坏硬件,而且已经超过五年了。
那么,我该如何处理这个东西呢?我在南加州,我认为这可能是相关的,因为处置计划可能因地区而异。
编辑回应回应:电池回收场所和技工车库会回收电池还是整个装置?这东西是不是有其他电路或环境问题,还是我需要关心的只是电池?
我和我的一个朋友正在考虑开始我们自己的业务,涉及代码和一些相当先进的 IP(至少,我们喜欢认为 IP 是先进的)。我想在家庭服务器系统上设置一个代码存储库(可能是 subversion)和一个错误跟踪服务器(可能是fogbugz),我们都可以通过笔记本电脑从远程位置通过 VPN 进入。我还希望这个服务器是一个远程构建系统,运行某种 hudson 脚本,也许通过 ant,来进行自动测试和构建验证。
我的问题是:设置此系统的最安全方法是什么?我有 1000 美元的硬件和软件预算。我有一个使用 Apple Wireless 基站的现有家庭无线网络、一台运行 10.5 和 Windows 7 的 macbook pro,以及一台运行 Windows 7 的家用机器,我真的只是用来玩游戏和玩弄。
具体来说:
我意识到这是一个很大的问题,而且不一定直截了当。当我搜索这些问题的答案时,我得到了很多信息,但没有一个是完全直接的。因此,如果有人知道我错过的指南或几篇博文,我将不胜感激。