我运行了一个 VPS,我想使用 UFW 保护它,只允许连接到端口 80。但是,为了能够远程管理它,我需要保持端口 22 打开并使其可以从家里访问。
我知道可以将 UFW 配置为仅允许从特定 IP 地址连接到端口:
ufw allow proto tcp from 123.123.123.123 to any port 22
但是我的 IP 地址是动态的,所以这还不是解决方案。
问题是:我使用 DynDNS 进行动态 DNS 解析,那么是否可以使用域而不是 IP 创建规则?
我已经试过了:
ufw allow proto tcp from mydomain.dyndns.org to any port 22
但我得到了 ERROR: Bad source address
我需要不时安全地擦除硬盘,并使用了各种工具来做到这一点:
cat /dev/zero > /dev/diskcat /dev/urandom > /dev/diskshredbadblocks -w所有这些都有一个共同点,即它们需要很长时间才能运行。
在一种情况下 cat /dev/urandom > /dev/disk杀死了磁盘,显然是过热了。
是否有一种“足够好”的方法来实现及时使磁盘上的任何数据无法使用?覆盖超级块和几个具有战略意义的块或类似的东西?
磁盘(包括旋转和 ssd)来自捐赠的计算机,之后将用于在其上安装 Linux-Desktops,分发给买不起计算机但需要一台计算机的人。
捐赠计算机的磁盘通常不会被加密。有时捐助者甚至不会事先考虑删除文件。
更新:
从目前得到的答案来看,似乎没有偷工减料。我最好的选择可能是设置一台实验室计算机来一次擦除多个磁盘。要求大公司捐款的另一个理由:-)
谢谢大家!
如何检查哪些 .rsa、.pem 和其他文件被“加载”或“活动” ssh-add?我只是有这样的恐惧:
$ scp -i /home/dotancohen/.ssh/dotancohen.pem someUser@1.2.3.4:~/files.tgz .
Warning: Identity file /home/dotancohen/.ssh/dotancohen.pem not accessible: No such file or directory.
files.tgz 100% 89MB 1.5MB/s 00:59
$ scp someUser@1.2.3.4:~/all_git.tgz .
files.tgz 100% 89MB 1.7MB/s 00:54
在验证服务器确实需要.pem密钥后,我现在想知道在我不知道的情况下加载了哪些其他密钥!
我最近听说了很多关于创建暗网站点的信息。我也经常使用Tor 浏览器。
该tor服务在我家中的 Debian 服务器上运行,并安装了:
sudo apt-get install tor
我有一个想法Tor网络是如何工作的,还可以使用的torify在一段时间一次,在Linux和MacOS,做一些测试与ssh和wget通过Tor网络。
我注意到了 /etc/tor/torrc
#HiddenServiceDir /var/lib/tor/hidden_service/
#HiddenServicePort 80 127.0.0.1:80
但是,如何从那里去?.onion网站/名称是如何创建的?
在 Linux 中设置此类服务的基础知识是什么?
所以我刚刚安装并运行了rkhunter,它向我显示绿色 OKs / Not founds 除了:/usr/bin/lwp-request,如下所示:
/usr/bin/lwp-request [ Warning ]
在日志中它说:
Warning: The command '/usr/bin/lwp-request' has been replaced by a
script: /usr/bin/lwp-request: Perl script text executable
我已经跑了rkhunter --propupd和sudo apt-get update && sudo apt-get upgrade这并没有帮助。几天前我安装了 Debian 9.0,我是 Linux 的新手。
关于该怎么做的任何建议?
编辑:此外chkrootkit给了我这个:
发现以下可疑文件和目录:
/usr/lib/mono/xbuild-frameworks/.NETPortable
/usr/lib/mono/xbuild-frameworks/.NETPortable/v5.0/SupportedFrameworks/.NET Framework 4.6.xml
/usr/lib/mono/xbuild-frameworks/.NETFramework
/usr/lib/python2.7/dist-packages/PyQt5/uic/widget-plugins/.noinit
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit
/usr/lib/mono/xbuild-frameworks/.NETPortable
/usr/lib/mono/xbuild-frameworks/.NETFramework
我想这是一个单独的问题?或者这根本就没有问题?我不知道如何检查这些文件/目录是否正常且需要。
编辑:注意我曾经也收到“检查密码文件更改”和“检查组文件更改”的警告,即使我没有更改任何此类错误。较早和较晚的扫描未显示任何警告 - 这些只显示一次。有任何想法吗?
我正在尝试使用Capistrano设置部署脚本 在一个步骤中,cap deploy:setup脚本正在连接到我的服务器并尝试运行创建目录的命令。然后我看到一个错误:msudo: sorry, you must have a tty to run sudo
有一个建议的解决方案可以在我的服务器上禁用 requiretty。https://unix.stackexchange.com/a/49078/26271
我想知道这样做是否安全?
在共享的 unix 主机上,如果我有一个文件sensitive-data.txt 并且我发出:
chmod 600 sensitive-data.txt
root 用户还能读取我的文件吗?具体来说,我想知道将我的密码存储在 mercurial hgrc 文件中是否安全。
更新
决定使用 mecurial 密钥环扩展,因为它非常容易设置:
pip install mercurial_keyring
然后添加到 hgrc:
[extensions]
mercurial_keyring =
但是,我仍然对这个问题的答案感兴趣。
我想知道 UNIX 信号的安全性。
SIGKILL会杀死进程。那么,当非 root 用户的进程向 root 用户的进程发送信号时会发生什么?进程是否仍然执行信号处理程序?
我遵循公认的答案(gollum 的),然后输入man capabilites,然后我找到了很多关于 Linux 内核的信息。来自man capabilities:
NAME
capabilities - overview of Linux capabilities
DESCRIPTION
For the purpose of performing permission checks, traditional UNIX
implementations distinguish two categories of processes: privileged
processes (whose effective user ID is 0, referred to as superuser or
root), and unprivileged processes (whose effective UID is nonzero).
Privileged processes bypass all kernel permission checks, while
unprivileged processes are subject to full permission checking …我知道最好用 来创建临时文件mktemp,但是命名管道呢?
我更喜欢尽可能符合 POSIX 标准,但只有 Linux 是可以接受的。正如我在dash.
我正在编写一个程序来测试学生编写的程序。恐怕我不能相信他们,我需要确保它不会对运行它的计算机造成严重影响。
我正在考虑让一些崩溃测试用户对系统资源的访问受限并以该用户身份运行程序,但从我目前在网上发现的情况来看,制作虚拟系统将是最安全的选择......
有人可以帮助我选择正确的方法吗?安全对我来说是一个大问题。另一方面,我不想要一个矫枉过正的解决方案,并且浪费很多时间来学习我并不真正需要的东西。
security ×10
debian ×2
linux ×2
disk ×1
dynamic-dns ×1
executable ×1
firewall ×1
performance ×1
permissions ×1
pipe ×1
rkhunter ×1
root ×1
shell ×1
signals ×1
ssh ×1
sudo ×1
tor ×1
tty ×1
ufw ×1