คำถามติดแท็ก best-practices

เราได้รับอีเมลเมื่อปีที่แล้วจากผู้ให้บริการโฮสติ้งของเราเกี่ยวกับหนึ่งในบัญชีของเรา - มันถูกบุกรุกและใช้เพื่อส่งมอบความช่วยเหลือที่ค่อนข้างใจดีของสแปม เห็นได้ชัดว่าผู้ใช้รีเซ็ตรหัสผ่านของเธอเป็นรูปแบบของชื่อของเธอ (นามสกุลคือสิ่งที่คุณอาจเดาได้ในครั้งแรก) เธอถูกแฮ็คภายในหนึ่งสัปดาห์บัญชีของเธอส่งอีเมลสแปมจำนวน 270,000 ฉบับและรวดเร็วมาก อุดตัน จนถึงตอนนี้ไม่มีอะไรผิดปกติโดยเฉพาะอย่างยิ่ง เกิดขึ้น. คุณเปลี่ยนรหัสผ่านเป็นสิ่งที่ปลอดภัยยิ่งขึ้นให้ความรู้แก่ผู้ใช้และดำเนินการต่อ แต่สิ่งที่ห่วงผมมากยิ่งขึ้นกว่าที่เป็นจริงของบัญชีของเราได้รับการโจมตี ผู้ให้บริการโฮสต์ของเราในความพยายามที่จะเป็นประโยชน์เสนอราคารหัสผ่านให้กับเราทางอีเมล์ ฉันประหลาดใจ เรากำลังจะต่อสัญญาของเราเร็ว ๆ นี้ - และนี่รู้สึกเหมือนเป็นผู้แจกไพ่ เป็นเรื่องธรรมดาเพียงใดที่ผู้ให้บริการโฮสติ้งจะสามารถค้นหารหัสผ่านจริงที่ใช้กับบัญชีได้ ทำมากที่สุดในผู้ให้บริการโฮสติ้งมีแผนกการละเมิดบัญชีที่มีการเข้าถึงมากกว่าพนักงานหน้าบรรทัด (และสามารถดูรหัสผ่านถ้าจำเป็น) หรือคนเหล่านี้ก็ไม่ได้ดังต่อไปนี้ปฏิบัติที่ดีที่สุดในการทำให้มันเป็นไปได้สำหรับการใด ๆของพนักงานของตนให้กับผู้ใช้เข้าถึง รหัสผ่าน? ฉันคิดว่ารหัสผ่านควรจะถูกแฮชและไม่สามารถเรียกคืนได้? นี่หมายความว่าพวกเขาเก็บรหัสผ่านของทุกคนในรูปแบบข้อความธรรมดาหรือไม่? มันเป็นเรื่องถูกกฎหมายหรือไม่ที่ผู้ให้บริการโฮสติ้งจะสามารถค้นพบรหัสผ่านของบัญชีในลักษณะนี้ได้? มันช่างน่าเหลือเชื่อเหลือเกินสำหรับฉัน ก่อนที่เราจะพิจารณาผู้ให้บริการที่เปลี่ยนแปลงฉันต้องการความมั่นใจว่านี่ไม่ใช่การปฏิบัติทั่วไปและผู้ให้บริการโฮสติ้งรายต่อไปของเราจะไม่ตั้งสิ่งต่าง ๆ ในลักษณะเดียวกัน รอคอยที่จะได้ยินมุมมองของคุณเกี่ยวกับเรื่องนี้

31 security  email  password  best-practices 

ฉันกำลังพยายามค้นหาเอกสารหรือแนวทางปฏิบัติที่ดีที่สุดสำหรับการจำลองเสมือนที่เกี่ยวกับการจัดสรร vCPU ต่อฟิสิคัลคอร์ (ของ CPU) หากเป็นเรื่องสำคัญฉันกำลังดู vmWare สำหรับการนำ virtualization ไปใช้ ตัวอย่างเช่น Intel Xeon CPU อาจมีคอร์ที่ 4, 8 และอื่น ๆ ฉันสนใจที่จะเรียนรู้เพิ่มเติมเกี่ยวกับการจัดสรรมากกว่าหนึ่ง vCPU ต่อหนึ่งคอร์ที่มีอยู่จริง ผู้ขายที่ฉันกำลังพูดถึงคิดอย่างแน่นอนว่าสามารถจัดสรรแกนเดียวให้กับ vCPU หลาย ๆ ตัวได้ สิ่งที่ฉันเห็นโดยทั่วไปในการวิจัยของฉันคือ "ดีขึ้นอยู่กับใบสมัครของคุณ" และในกรณีนั้นแอปพลิเคชันของฉันคือการแก้ไขรหัสการรวบรวม / การเชื่อมโยงการทดสอบและการจัดการการกำหนดค่า แน่นอนว่า VMs ทั้งหมดไม่จำเป็นต้องได้รับการกำหนดค่าด้วย vCPU หลายต่อแกน แต่ในกรณีทั่วไป

27 virtualization  vmware-vsphere  best-practices  vcpu 

ฉันรู้ว่านี่เป็นอัตนัยและขึ้นอยู่กับตัวแปรหลายอย่าง แต่ฉันสงสัยว่าขั้นตอนใดที่คนส่วนใหญ่ต้องทำเมื่อพวกเขาต้องการวินิจฉัยการสูญหายของแพ็กเก็ตในระบบที่กำหนด

27 best-practices  packetloss  packet 

เราเพิ่งซื้อใบรับรองไวลด์การ์ด SSL สำหรับโดเมนของเรา เราแปลง certs ทั้งหมดเป็นที่เก็บคีย์ Java แต่ตอนนี้เราถามตัวเองว่าเราควรเก็บไว้ที่ใดเพื่อใช้ในภายหลัง ผู้คนใช้การควบคุมแหล่งข้อมูลเช่น BitBucket สำหรับไฟล์ประเภทนี้หรือเพียงแค่สร้างทุกครั้งที่ต้องการหรืออย่างอื่น? เราสงสัยว่ามีวิธีแก้ปัญหามาตรฐานหรือ "แนวปฏิบัติที่ดีที่สุด" รอบการจัดเก็บใบรับรองเหล่านี้เพื่อใช้ในอนาคตหรือไม่

26 ssl-certificate  certificate  best-practices 

ต้องการปรับปรุงโพสต์นี้หรือไม่? ให้คำตอบโดยละเอียดสำหรับคำถามนี้รวมถึงการอ้างอิงและคำอธิบายว่าทำไมคำตอบของคุณถึงถูกต้อง คำตอบที่ไม่มีรายละเอียดเพียงพออาจแก้ไขหรือลบออกได้ หวังว่าเราทุกคนจะรู้ว่าคำแนะนำในการตั้งชื่อฟอเรสต์ของ Active Directory คืออะไรและค่อนข้างง่าย กล่าวคือสามารถสรุปได้ในประโยคเดียว ใช้โดเมนย่อยของชื่อโดเมนที่จดทะเบียนแล้วและเลือกโดเมนที่ไม่ได้ใช้จากภายนอก ตัวอย่างเช่นถ้าผมจะนำมารวมกันและลงทะเบียนhopelessn00b.comโดเมนป่า AD ภายในของฉันควรตั้งชื่อinternal.hopelessn00b.comหรือหรือad.hopelessn00b.comcorp.hopelessn00b.com มีเหตุผลที่น่าสนใจอย่างท่วมท้นที่จะหลีกเลี่ยงการใช้ชื่อโดเมน "ป้ายกำกับ" ปลอมหรือชื่อป้ายกำกับเดียวแต่ฉันพบว่ามีเหตุผลที่น่าสนใจคล้ายกันในการหลีกเลี่ยงการใช้โดเมนรูท ( hopelessn00b.com) เป็นชื่อโดเมนของฉันและใช้โดเมนย่อยเช่นcorp.hopelessn00b.comแทน . จริงๆเหตุผลเดียวที่ฉันสามารถหาได้คือการเข้าถึงเว็บไซต์ภายนอกจากภายในต้องมี A nameการบันทึก DNS และพิมพ์www.ชื่อของเว็บไซต์ในเบราว์เซอร์ซึ่งเป็น "meh" สวยพอ ๆ กับปัญหาที่เกิดขึ้น แล้วฉันจะพลาดอะไร ทำไมมันมากดีกว่าที่จะใช้ad.hopelessn00b.comเป็นชื่อป่าของ Active Directory ของฉันมากกว่าhopelessn00b.com? เพียงเพื่อบันทึกเป็นนายจ้างของฉันจริง ๆ ที่ต้องเชื่อ - เจ้านายชายเป็น peddling กลับและหลังจากให้ฉันไปข้างหน้าเพื่อสร้าง AD ป่าใหม่ชื่อcorp.hopelessn00b'semployer.comสำหรับเครือข่ายภายในของเราเขาต้องการติดกับ AD ป่าชื่อhopelessn00b'semployer.com( เหมือนกับโดเมนที่ลงทะเบียนภายนอกของเรา) ฉันหวังว่าฉันจะได้รับเหตุผลที่น่าสนใจหรือเหตุผลที่วิธีปฏิบัติที่ดีที่สุดคือทางเลือกที่ดีกว่าดังนั้นฉันจึงสามารถโน้มน้าวเขาได้ว่า ... เพราะดูเหมือนจะง่ายกว่าการเลิกโกรธและ / หรือหางานใหม่อย่างน้อยสำหรับ …

23 domain-name-system  active-directory  best-practices  split-dns 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นไปตามหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์ ปิดให้บริการใน4 ปีที่แล้ว ล็อคแล้ว คำถามและคำตอบนี้ถูกล็อคเนื่องจากคำถามอยู่นอกหัวข้อ แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ บริษัท ของฉันทำงานกับ บริษัท อื่นและเป็นส่วนหนึ่งของสัญญาพวกเขากำลังขอสำเนานโยบายความปลอดภัยด้านไอทีที่เป็นลายลักษณ์อักษรของ บริษัท ของฉัน ฉันไม่มีนโยบายความปลอดภัยด้านไอทีที่เป็นลายลักษณ์อักษรและฉันไม่แน่ใจว่าสิ่งที่ฉันต้องการมอบให้พวกเขาคืออะไร เราเป็นร้านค้าของ Microsoft เรามีตารางการอัพเดท จำกัด การเข้าถึงบัญชีเพื่อจัดการเซิร์ฟเวอร์ไฟร์วอลล์ใบรับรอง SSL และเราเรียกใช้ Microsoft Baseline Security Analyzer เป็นครั้งคราว เรากำหนดค่าบริการและบัญชีผู้ใช้ตามที่เรารู้สึกว่าปลอดภัยที่สุด (มันยากเมื่อคุณไม่สามารถควบคุมซอฟต์แวร์ที่คุณใช้งานได้) แต่ฉันไม่สามารถเข้าไปดูรายละเอียดได้ทุกบริการและเซิร์ฟเวอร์แตกต่างกัน ฉันได้รับข้อมูลเพิ่มเติมเกี่ยวกับสิ่งที่พวกเขาต้องการ แต่ฉันรู้สึกว่าพวกเขากำลังออกไปตกปลา คำถามของฉันคือนี่เป็นวิธีปฏิบัติมาตรฐานในการขอข้อมูลนี้หรือไม่? (ฉันไม่ได้ต่อต้านมันอย่างซื่อสัตย์ แต่มันไม่เคยเกิดขึ้นมาก่อน) และถ้านี่เป็นมาตรฐานมีรูปแบบมาตรฐานและรายละเอียดระดับที่คาดหวังว่าฉันควรจะนำเสนอหรือไม่?

23 best-practices 

เรากำลังใช้ผู้ให้บริการบุคคลที่สามเพื่อส่งอีเมลธุรกรรม ฉันเพิ่งสังเกตเห็นอัตราความล้มเหลวที่เพิ่มขึ้นสำหรับโดเมนที่ได้รับ การส่งล้มเหลวโดยมีข้อผิดพลาด "498 No MX สำหรับ example.com" การส่งจะลองใหม่หลังจากการหน่วงเวลาที่กำหนดและโดยทั่วไปแล้วจะประสบความสำเร็จหลังจากการลองใหม่สองครั้ง แต่บางครั้งก็เกินขีด จำกัด การลองใหม่และถูกทิ้งอย่างถาวร ฉันติดต่อฝ่ายสนับสนุนของผู้ให้บริการและพวกเขาบอกฉันว่านี่เป็นเพราะโดเมนที่ได้รับประกาศ MX จากผู้ให้บริการที่แตกต่างกัน $ dig mx example.com ;; ANSWER SECTION: example.com. 859 IN MX 25 mail05.example.com. example.com. 859 IN MX 20 mail11.example.net. พวกเขาอ้างถึงความจริงที่ว่ามีการใช้ MX ตัวหนึ่งexample.comและอีกอันกำลังใช้งานexample.netและนั่นเป็นการปฏิบัติที่ไม่ดีและอาจนำไปสู่ข้อผิดพลาดที่อธิบายไว้ข้างต้น นี่เป็นครั้งแรกที่ฉันได้ยินอะไรแบบนั้นและฉันจะโทรหา BS ทันที แต่ฉันคิดว่าฉันจะให้พวกเขาได้รับประโยชน์จากความสงสัยและได้ยินสิ่งที่คนอื่นพูดในหัวข้อ

21 domain-name-system  mx-record  best-practices 

มันเป็นสถานการณ์ทั่วไปเมื่อผู้ดูแลระบบสร้างระบบสำหรับการสำรองข้อมูลอัตโนมัติและลืมมันไป หลังจากที่ระบบแจ้งผู้ดูแลระบบล้มเหลวระบบสำรองข้อมูลนั้นเสียก่อนหรือการสำรองข้อมูลนั้นไม่สามารถทำได้เนื่องจากข้อผิดพลาดบางอย่างและเขาไม่มีการสำรองข้อมูลปัจจุบันที่จะกู้คืนจาก ... ดังนั้นวิธีปฏิบัติที่ดีที่สุดในการหลีกเลี่ยงสถานการณ์ดังกล่าวคืออะไร?

21 backup  monitoring  backup-restoration  best-practices 

ที่สำนักงานที่ฉันทำงานสมาชิกไอทีอีกสามคนของเจ้าหน้าที่ไอทีได้เข้าสู่ระบบคอมพิวเตอร์ของพวกเขาตลอดเวลาด้วยบัญชีที่เป็นสมาชิกของกลุ่มผู้ดูแลโดเมน ฉันมีความกังวลอย่างมากเกี่ยวกับการเข้าสู่ระบบด้วยสิทธิ์ของผู้ดูแลระบบ (ภายในหรือสำหรับโดเมน) ดังนั้นสำหรับการใช้คอมพิวเตอร์ทุกวันฉันใช้บัญชีที่เพิ่งมีสิทธิ์ระดับผู้ใช้ปกติ ฉันมีบัญชีอื่นที่เป็นส่วนหนึ่งของกลุ่มผู้ดูแลโดเมน ฉันใช้บัญชีนี้เมื่อฉันต้องทำสิ่งที่ต้องใช้สิทธิ์ระดับสูงในคอมพิวเตอร์ของฉันหนึ่งในเซิร์ฟเวอร์หรือบนคอมพิวเตอร์ของผู้ใช้รายอื่น การปฏิบัติที่ดีที่สุดที่นี่คืออะไร? ผู้ดูแลระบบเครือข่ายควรเข้าสู่ระบบด้วยสิทธิ์เครือข่ายทั้งหมดตลอดเวลา (หรือแม้แต่คอมพิวเตอร์ในพื้นที่ของพวกเขาสำหรับเรื่องนั้น)?

20 windows  security  best-practices 

อาจเป็นคำถามที่ค่อนข้างโง่ แต่ บางครั้ง (ไม่ค่อยเกิดขึ้น) ฉันต้องย้ายเซิร์ฟเวอร์ในตู้แร็ค 1-2U ขึ้นหรือลง คุณคิดว่าวิธีใดที่ถูกต้องและมีประโยชน์มากที่สุดและทำไม? ลบเซิร์ฟเวอร์ออกจากรางแยกรางแนบกลับไปยังสถานที่ใหม่วางเซิร์ฟเวอร์กลับบนราง อย่างระมัดระวังทีละหลุม (หรือ 2-3 ในขั้นตอนเดียวถ้าเป็นไปได้) ย้ายรางพร้อมกับเซิร์ฟเวอร์ ทำทุกอย่างด้วยวิธีอื่น (อธิบาย) โปรดอย่าเขียนว่า "คุณต้องวางแผนชั้นวางก่อนประกอบ" ฯลฯ นี่เป็นความคิดที่ดีที่จะวางแผนทุกอย่าง แต่น่าเสียดายที่ชีวิตจริงไม่เหมาะอย่างยิ่ง :)

19 hardware  datacenter  best-practices  rack  rackmount 

ฉันเป็นผู้ดูแลระบบที่ บริษัท โฮสติ้งและส่วนใหญ่ฉันจัดการกับเครื่อง Linux แม้ว่าเราจะมีลูกค้าจำนวนมากที่มีเซิร์ฟเวอร์ Windows ในความสามารถของฉันฉันใช้ SMB สำหรับไฟล์ / เซิร์ฟเวอร์การพิมพ์บน LAN ในพื้นที่ของฉันเท่านั้น มีเหตุผลใดที่จะเปิด SMB หรือไม่ ฉันไม่เคยได้ยินเหตุผลที่แท้จริงใด ๆ ที่ทำให้มันมีการสัมผัสกับอินเทอร์เน็ตมีบางสิ่งที่ Windows ไม่รู้ว่าต้องมีหรือไม่

19 windows  security  server-message-block  best-practices 

ฉันมี php-fpm ในคอนเทนเนอร์ docker และในDockerfileฉันแก้ไขไฟล์ config fpm ( /etc/php5/fpm/pool.d/www.conf) เพื่อตั้งค่าบันทึกการเข้าถึงเพื่อไปที่/var/log/fpm-access.logและบันทึกข้อผิดพลาดเพื่อไปที่/var/log/fpm-php.www.log: # Do some php-fpm config # Redirect worker stdout and stderr into main error log # Activate the fpm access log # Enable display errors # Enable the error log RUN sed -i '/^;catch_workers_output/ccatch_workers_output = yes' /etc/php5/fpm/pool.d/www.conf && \ sed …

18 logging  php-fpm  best-practices  docker 

นักพัฒนาซอฟต์แวร์มีแนวคิดของ "dogfooding" ซึ่งเป็นที่ที่พวกเขาใช้ซอฟต์แวร์ที่พวกเขากำลังพัฒนาอยู่เป็นประจำ สำหรับบางโปรเจ็กต์การโต้ตอบโดยตรงที่มีให้นั้นสามารถประเมินค่าไม่ได้ในการดีบักระบบ ดังนั้นฉันถามชุมชน: อะไรคือการบริหารระบบเทียบเท่ากับ dogfooding?

17 best-practices 

ฉันรู้ว่ามันไม่ได้รับการสนับสนุนอย่างเป็นทางการตลอดไปและยังฉันเคยเห็นหรือได้ยินเกี่ยวกับการติดตั้งธุรกิจขนาดเล็กจำนวนมากของโฮสต์เดียวที่ใช้ AD DS และ Exchange พร้อมกัน สำหรับธุรกิจขนาดเล็กที่มีทรัพยากร จำกัด การออมนั้นน่าสนใจ ดังนั้นสมมติว่าเรารู้ว่าข้อกำหนดการใช้งานจะไม่เติบโตเกินกว่าผู้ใช้ 25 รายพูดพร้อมกัน 10 ข้อ วิธี "เลวร้าย" มันเป็นจริงวันนี้เพื่อเรียกใช้ทั้งตลาดหลักทรัพย์และ DS AD ในเครื่องเดียวกัน(ซอง virtualization ใด ๆ ) ? มีอะไรที่ไม่ดีเป็นพิเศษเกี่ยวกับมัน? (ตั้งชื่อเหตุผล 1 หรือ 2 อันดับแรกที่นึกถึง "Microsoft พูดอย่างนั้น") จะทำอะไรได้บ้างเพื่อบรรเทาอาการ "เลวร้าย" ถ้ามีอะไร? คุณสามารถสันนิษฐานได้ว่าธุรกิจดังกล่าวมีปัญหา: มีเซิร์ฟเวอร์ในสถานที่จริงเดียวกับ ISP เชิงพาณิชย์ที่สมเหตุสมผลหรือ มีกลุ่มของทรัพยากรเสมือนที่ถูกเคาะออกไปแล้วและพวกเขาไม่ต้องการที่จะใช้จ่ายมากขึ้น สถานการณ์ที่ฉันมีอยู่ในใจคือสถานการณ์ที่สองโดยมีเพียง VM เดียวที่อาจเป็นตัวเลือกสำหรับการเพิ่ม Exchange เพราะเป็น Windows VM เดียวและมีหน่วยความจำส่วนเกินเพียงพอที่จะทำให้เกิดขึ้น ไม่ว่าในกรณีใดการให้เหตุผลอาจไม่ใช่ทั้งหมดที่สมเหตุสมผล …

15 exchange  domain-controller  best-practices 

ฉันทราบว่า usermod -g ไม่ใช่วิธีปฏิบัติที่ดีที่สุดจากหลาย ๆโพสต์เช่นนี้แต่โดยปกติแล้วพวกเขาอธิบายว่าไม่ควรใช้ usermod เนื่องจากเป็นการเปลี่ยนกลุ่มหลักของผู้ใช้ โพสต์เหล่านี้ดูเหมือนจะไม่คำนึงถึงสวิตช์ -aG ซึ่งเพิ่งต่อท้ายกลุ่ม สิ่งนี้ยังคงใช้งานได้ไม่ดีหรือไม่ต่างไปจากการใช้ gpasswd -a?

15 linux  centos  redhat  users  best-practices