我正在尝试完全锁定必须存在于防火墙之外/直接路由到互联网的服务器,尽管我已经尽我所能强化了基础操作系统,但当我想到如果最坏的情况发生并且有人能够获得访问权限时,我感到恐惧,DRAC 可能会被用作我们管理网络的后门。 据我所知,不可能直接连接并运行任意命令,您需要用户名和密码 - 但是,如果给予无限的时间和根访问权限,我想暴力破解是可能的,所以,我想知道我该如何保护 DRAC ? 除了最后的崩溃屏幕功能之外,我真的想不出本地主机甚至需要访问 DRAC 的任何理由,因此,我想完全禁用本地访问。 从 drac 运行以下命令是否足够: racadm conf...
我正在编写一些安全技术指导指南 (STIG),并且有一条新规则,其中包含以下讨论文本: Web 服务器为每种 HTTP 状态代码定义了一组异常。根据 RFC 2068,每个异常类都有一个状态代码:100-300 的代码不是真正的错误;400 是客户端错误,500 是服务器错误。如果没有直接指定,则标头将添加到默认响应标头中。 如果在处理请求的过程中出现异常或例外情况,终止连接是更安全的,以防止畸形的请求利用潜在的协议漏洞。 支票正文为: 如果在处理请求时触发服务器级异常,请验证 Web 服务器是否会终止连接。 如果在处理请求时触发服务器级异常,而 We...
我正在尝试在半气隙环境中运行 Ubuntu 22.04。 该操作系统已使用 CSI 强化技术进行了强化。没有直接连接到互联网,但有一个 Nexus Repo 服务器代理 apt 存储库。 到目前为止,我们一直在使用 20.04,一切运行正常,但是当我们尝试修补 22.04 时,我们收到错误 Reading package lists... Done Building dependency tree... Done Reading state information... Done You might want to run 'apt --fix-broken...
我们有一台装有 Alma Linux 9.3 操作系统的服务器。默认情况下(以及所有当前类似 RHEL 的操作系统),它已fapolicyd启用。该服务器上还运行着一个应用程序服务器(WildFly/JBoss/Java)。部署的应用程序处理一些数据文件(由用户提交),在标准情况下运行良好。 然而目前,有一段时间应用程序需要每分钟处理 1000 个文件。在这种情况下,开销fapolicyd占用了大约 15% 的 CPU,我们认为这太多了。 我在互联网上找不到遇到类似问题的人。 fapolicyd我也很惊讶ServerFault 上没有标签。 问题: 有没...
我们目前使用 oscap 运行安全扫描,以验证 DISA STIG 中针对 Linux 机器的配置。我们发现了许多误报,我们正在尝试找出是否有办法使用定制文件来更新规则结果,以便最终结果显示为“误报”而不是“失败”。 我们想看看是否有办法通过定制文件来做到这一点,以便我们能够追溯 xccdf 文档中正在定制的规则。 感谢您的阅读。 ...
我正在使用名为的工具审核一台 ubuntu 服务器莱尼斯,它对配置文件执行了几个测试,并给出了加强服务器的建议。例如,它建议将 MaxAuthTries 的值从 6 减少到 3,这对我来说很有意义……但有一个建议我不明白: * Consider hardening SSH configuration [SSH-7408] - Details : Compression (set YES to NO) https://cisofy.com/lynis/controls/SSH-7408/ 我已阅读给定的链接SSH-7408,并做了...
许多文章建议删除不安全(损坏)的 SSH 密钥类型,以便拥有更安全的服务器。实际上,如果我只使用安全密钥类型连接到服务器,为什么还要删除不安全的密钥类型?如果我不删除这些密钥类型,可以执行的实际攻击是什么。 从SSH 审计: 禁用 DSA 和 ECDSA 主机密钥 从安全安全外壳: DSA 密钥必须正好是 1024 位,所以让我们禁用它。这里的第 2 项涉及 NIST 的缺点,也应该禁用。 ...
我继承了强化客户端,这些客户端上应用了许多策略。此客户端上运行着一个应用程序,它应该显示 Windows 打印对话框,但它并没有弹出。 没有配置有关打印机的策略,我不知道哪些策略阻止了此对话框的出现。我怎样才能找出是哪一个?也许有人知道要测试哪些策略。 如果我逐一禁用所有策略,测试将花费很长时间。希望有人知道可能是哪一个。 ...
我熟悉如何在 Ubuntu 服务器上强化 IPv4,但当我使用 ip6tables 对 IPv6 使用相同的规则时,IPv6 连接会丢失,导致Destination unreachable: Address unreachableping 时出错。您能建议如何解决这个问题吗?我的逻辑如下: #IPv6 #Reset all rules (F) and chains (X) ip6tables -F ip6tables -X #Force SYN packets check ip6tables -A INPUT -p tcp ! --syn -m state...
在我们的项目基础架构中,我们有一个基于 bind9 的名称服务器。此名称服务器配置为主要和权威的,因此非常重要。问题是,我是否应该安装和配置 fail2ban 以保护此 DNS 服务器?这样做值得吗?我尝试搜索 Bind9/named 的 fail2ban 配置,但只有少数几个,而且似乎人们很少这样做(至少很少发布)。 如果有任何区别,Bind9 正在暴露 53/udp 端口的 docker 容器中运行。 ...
我正在设置一个 Open Ldap 服务器 (ds-389),但是,我找不到很多好的资源来定义可以应用于目录的配置或模式的安全性或强化指南。 有没有人有任何好的链接或参考资料来讨论如何适当强化 Open Ldap 服务器配置? 我找到了一些参考资料和一个旧的 CIS 基准,但似乎 CIS 不再为 Open LDAP 提供基准。 ...
语境:在 Debian 上,强化 PHP 时我禁用并删除了一些未使用的 PHP 模块:例如,对于 wddx,我删除了: /etc/php/7.3/*/conf.d/20-wddx.ini /etc/php/7.3/mods-available/wddx.ini /usr/share/php7.3-xml/xml/wddx.ini /usr/lib/php/*/wddx.so 当我升级时,PHP 模块重新出现在 /usr/share/php7.3-xml/xml/wddx.ini 和 /usr/lib/php/*/wddx.so 中,尽管 dpkg 没有在...
我是我们小教堂的志愿 IT 协调员。我们目前使用 Synology NAS 作为文件服务器、监控控制器、Web 服务器、电子邮件服务器和 DNS。它在大多数方面表现不错,但在 Web 服务器应用程序方面表现不佳。 我们使用外部流媒体服务来直播我们的周日服务。不过,最近,我们的 ISP 为我们升级了光纤接入服务。我想利用增加的带宽将视频流转移到我们自己的硬件上,并升级 Web 服务器和 DNS 服务器(Synology 的 DNS 包不支持 DNSSEC)。 我正在使用回收的 Supermicro X9SCM-F 主板和 Xeon E3-1230 v2 CPU...
尝试使用 OpenSSH_7.4p1 设置高度受限的 SFTP 服务器,以便远程脚本上传数据。目标是黑洞,其中脚本可以使用用户级密钥执行“put”,并且无法执行其他服务器命令。一切都很顺利,直到最后一步,我尝试使用此子句中的选项来限制命令sftp集:-P-psshd_config Match Match user globalstat ChrootDirectory /inbound ForceCommand internal-sftp -d data -p put -P df,pwd,rm,mkdir,rmdir,get,rename,sy...
我正在尝试在 Windows 2019 上找到此强化的配置设置: 从 IIS GUI 阻止 IIS 站点配置更改,即使对于管理员也是如此。 应该可以使用文本编辑器更改站点 web.config。 我在以前的服务器上进行了此强化,但找不到相关设置。 它似乎不是来自 applicationhost.config 或 IIS 功能委派。 当配置此强化并且管理员尝试更改站点设置时,应该出现以下错误: 请不要告诉我尝试其他强化措施。 我需要精确配置它。 ...