คำถามติดแท็ก security

คุณให้สิทธิ์การเข้าถึงทรัพยากรเครือข่ายไปยังบัญชีLocalSystem(NT AUTHORITY \ SYSTEM) อย่างไร พื้นหลัง เมื่อเข้าถึงเครือข่ายบัญชี LocalSystem ทำหน้าที่เป็นคอมพิวเตอร์ในเครือข่าย : บัญชี LocalSystem บัญชี LocalSystem เป็นบัญชีท้องถิ่นที่กำหนดไว้ล่วงหน้าที่ใช้โดยผู้จัดการควบคุมบริการ ... และทำหน้าที่เป็นคอมพิวเตอร์ในเครือข่าย หรือพูดในสิ่งเดียวกันอีกครั้ง: บัญชี LocalSystem ทำหน้าที่เป็นคอมพิวเตอร์ในเครือข่าย : เมื่อบริการทำงานภายใต้บัญชี LocalSystem บนคอมพิวเตอร์ที่เป็นสมาชิกของโดเมนบริการมีการเข้าถึงเครือข่ายใดก็ตามที่ได้รับอนุญาตให้ใช้กับบัญชีคอมพิวเตอร์หรือกลุ่มใด ๆ ที่บัญชีคอมพิวเตอร์เป็นสมาชิก เราจะให้สิทธิ์การเข้าถึงคอมพิวเตอร์กับโฟลเดอร์และไฟล์ที่แชร์ได้อย่างไร หมายเหตุ : บัญชีคอมพิวเตอร์มักจะมีสิทธิ์น้อยและไม่ได้อยู่ในกลุ่ม ดังนั้นฉันจะอนุญาตให้คอมพิวเตอร์เข้าถึงหนึ่งในหุ้นของฉันได้อย่างไร พิจารณาว่า " ทุกคน " มีการเข้าถึงอยู่แล้ว? หมายเหตุ : เวิร์กกรุ๊ป | Account | Presents credentials | |----------------|----------------------| | LocalSystem | …

65 windows  security  authentication  local-system 

ฉันอ่านบันทึกย่อบางส่วนเกี่ยวกับบริการ DNS สาธารณะใหม่ของ Google : ประโยชน์ด้านประสิทธิภาพ ประโยชน์ด้านความปลอดภัย ฉันสังเกตเห็นภายใต้หัวข้อความปลอดภัยในย่อหน้านี้: จนกว่าจะมีการแก้ปัญหาทั้งระบบแบบมาตรฐานสำหรับช่องโหว่ DNS ได้รับการดำเนินการในระดับสากลเช่นโปรโตคอล DNSSEC2 ตัวแก้ไข DNS แบบเปิดจำเป็นต้องใช้มาตรการบางอย่างอย่างอิสระในการบรรเทาภัยคุกคามที่รู้จัก มีการนำเสนอเทคนิคมากมาย ดูที่IETF RFC 4542: มาตรการในการทำให้ DNS ยืดหยุ่นมากขึ้นต่อคำตอบที่ปลอมแปลงสำหรับภาพรวมส่วนใหญ่ ใน Google Public DNS เราได้ดำเนินการแล้วและเราขอแนะนำแนวทางต่อไปนี้: การจัดสรรทรัพยากรของเครื่องจักรมากเกินไปเพื่อป้องกันการโจมตี DoS โดยตรงบนตัวแก้ไขปัญหาเอง เนื่องจากที่อยู่ IP นั้นสำคัญสำหรับผู้โจมตีที่จะปลอมแปลงจึงเป็นไปไม่ได้ที่จะปิดกั้นการสอบถามตามที่อยู่ IP หรือเครือข่ายย่อย วิธีเดียวที่มีประสิทธิภาพในการจัดการการโจมตีดังกล่าวคือเพียงแค่รับภาระ นั่นคือการตระหนักถึงความตกต่ำ; แม้ใน Stack Overflow / Server Fault / Super User เรามักใช้ที่อยู่ IP เป็นพื้นฐานสำหรับการห้ามและบล็อกทุกชนิด หากคิดว่าผู้โจมตี …

65 security  domain-name-system  ip-address  spoofing 

เมื่อเร็ว ๆ นี้ฉันต้องซื้อใบรับรอง SSL แบบ wildcard (เพราะฉันต้องการรักษาความปลอดภัยของโดเมนย่อยจำนวนหนึ่ง) และเมื่อฉันค้นหาตำแหน่งที่จะซื้อครั้งแรกฉันรู้สึกสับสนกับจำนวนของตัวเลือกการอ้างสิทธิ์ทางการตลาดและช่วงราคา ฉันสร้างรายการเพื่อช่วยให้ฉันเห็นว่าผ่านกลไกการตลาดซึ่งส่วนใหญ่ของ Certificate Authorities (CAs) ปลาสเตอร์ทั่วไซต์ของพวกเขา ในท้ายที่สุดข้อสรุปส่วนตัวของฉันคือสิ่งที่สำคัญเพียงอย่างเดียวคือราคาและความพึงพอใจของเว็บไซต์ของ CA คำถาม:นอกจากราคาและเว็บไซต์ที่ดีแล้วมีสิ่งใดที่ควรค่าแก่การพิจารณาในการตัดสินใจซื้อใบรับรองไวด์การ์ด SSL

63 ssl  certificate-authority  security  ssl-certificate 

เรามีเซิร์ฟเวอร์ Exchange 2007 ที่ทำงานบน Windows Server 2008 ลูกค้าของเราใช้เซิร์ฟเวอร์อีเมลของผู้ขายรายอื่น นโยบายความปลอดภัยของพวกเขาต้องการให้เราใช้ TLS ที่บังคับใช้ มันใช้งานได้ดีจนกระทั่งเมื่อไม่นานมานี้ ตอนนี้เมื่อ Exchange พยายามที่จะส่งจดหมายไปยังเซิร์ฟเวอร์ของลูกค้ามันจะบันทึกสิ่งต่อไปนี้: การเชื่อมต่อที่ปลอดภัยไปยังโดเมนที่ปลอดภัยของโดเมน 'ourclient.com' บนตัวเชื่อมต่อ 'จดหมายภายนอกที่เป็นค่าเริ่มต้น' ไม่สามารถสร้างได้เนื่องจากการตรวจสอบใบรับรอง Transport Layer Security (TLS) สำหรับ ourclient.com ล้มเหลวด้วยสถานะ 'UntrustedRoot ติดต่อผู้ดูแลระบบของ ourclient.com เพื่อแก้ไขปัญหาหรือลบโดเมนออกจากรายการโดเมนที่ปลอดภัย การลบ ourclient.com ออกจาก TLSSendDomainSecureList ทำให้ข้อความถูกส่งสำเร็จโดยใช้ TLS แบบฉวยโอกาส แต่นี่เป็นการแก้ปัญหาชั่วคราวที่ดีที่สุด ลูกค้าเป็น บริษัท ระหว่างประเทศที่มีขนาดใหญ่และมีความปลอดภัยสูง ฝ่ายไอทีของเรามีการอ้างว่าไม่ทราบว่ามีการเปลี่ยนแปลงใด ๆ ในใบรับรอง TLS ฉันขอให้เขาซ้ำ ๆ เพื่อระบุอำนาจที่สร้างใบรับรองเพื่อให้ฉันสามารถแก้ไขข้อผิดพลาดในการตรวจสอบ แต่จนถึงขณะนี้เขายังไม่สามารถให้คำตอบได้ …

63 windows-server-2008  security  exchange-2007  certificate  tls 

เรามีชุดบริการ Windows ที่ทำงานบนเซิร์ฟเวอร์ของเราซึ่งทำงานหลายอย่างอัตโนมัติโดยไม่ขึ้นอยู่กับข้อยกเว้นของบริการหนึ่งที่ดูแลบริการอื่น ๆ ในกรณีที่หนึ่งในบริการไม่สามารถตอบสนองหรือหยุดบริการนี้พยายามเริ่มบริการใหม่และหากมีข้อผิดพลาดเกิดขึ้นระหว่างการพยายามส่งอีเมลถึงทีมสนับสนุนแทนเพื่อให้สามารถเริ่มบริการได้เอง หลังจากทำวิจัยเล็กน้อยฉันได้พบ 'โซลูชัน' ไม่กี่อันที่มีตั้งแต่วิธีแก้ปัญหาที่กล่าวถึงในKB907460ไปจนถึงการให้บัญชีภายใต้บริการที่ใช้สิทธิ์ของผู้ดูแลระบบ ฉันไม่พอใจกับวิธีการเหล่านี้อย่างใดอย่างหนึ่ง - ฉันไม่เข้าใจผลที่ตามมาของวิธีแรกตามที่อธิบายไว้ในบทความฐานความรู้ของ Microsoft แต่ฉันไม่ต้องการให้สิทธิ์ผู้ดูแลระบบในการเข้าใช้งานบัญชีซึ่งบริการกำลังทำงานอยู่ . ฉันได้ดูอย่างรวดเร็วผ่านนโยบายความปลอดภัยในพื้นที่และนอกเหนือจากนโยบายที่กำหนดว่าบัญชีสามารถเข้าสู่ระบบเป็นบริการได้หรือไม่ฉันไม่เห็นสิ่งอื่นซึ่งดูเหมือนว่าหมายถึงบริการ เรากำลังใช้งานบน Server 2003 และ Server 2008 ดังนั้นความคิดหรือตัวชี้จะได้รับอย่างสง่างาม! ชี้แจง:ฉันไม่ต้องการที่จะให้ความสามารถในการเริ่ม / หยุด / เริ่มต้นบริการทั้งหมดให้กับผู้ใช้หรือกลุ่ม - ฉันต้องการที่จะสามารถที่จะให้สิทธิ์ในการทำเช่นนั้นในที่เฉพาะเจาะจงเฉพาะบริการเพื่อผู้ใช้หรือกลุ่ม คำชี้แจงเพิ่มเติม:เซิร์ฟเวอร์ที่ฉันต้องให้การอนุญาตเหล่านี้ไม่ได้อยู่ในโดเมน - เป็นเซิร์ฟเวอร์ที่เชื่อมต่ออินเทอร์เน็ตสองเครื่องที่รับไฟล์ประมวลผลและส่งไปยังบุคคลที่สามรวมถึงการให้บริการเว็บไซต์สองแห่งดังนั้น นโยบายกลุ่ม Active Directory เป็นไปไม่ได้ ขออภัยที่ฉันไม่ได้ทำให้ชัดเจน

61 windows  permissions  group-policy  security  windows-service 

ฉันดูแลเซิร์ฟเวอร์ Cloud-based (VPS) จำนวนหนึ่งสำหรับ บริษัท ที่ฉันทำงาน เซิร์ฟเวอร์นั้นมีการติดตั้ง Ubuntu น้อยที่สุดที่เรียกใช้บิตของการรวบรวมข้อมูล LAMP / ขาเข้า (rsync) ข้อมูลมีขนาดใหญ่ แต่ไม่เป็นส่วนตัวการเงินหรืออะไรแบบนั้น (เช่นไม่น่าสนใจ) เห็นได้ชัดว่าผู้คนที่นี่ถามตลอดเวลาเกี่ยวกับการกำหนดค่าไฟร์วอลล์และสิ่งที่ชอบ ฉันใช้วิธีการมากมายในการรักษาความปลอดภัยเซิร์ฟเวอร์เช่น (แต่ไม่ จำกัด เฉพาะ) ssh บนพอร์ตที่ไม่ได้มาตรฐาน ไม่มีการพิมพ์รหัสผ่านเฉพาะคีย์ ssh ที่รู้จักจาก ips ที่รู้จักสำหรับการเข้าสู่ระบบและอื่น ๆ https และเชลล์แบบ จำกัด (rssh) โดยทั่วไปจะรู้จักเฉพาะคีย์ / ips ที่รู้จักเท่านั้น เซิร์ฟเวอร์มีความทันสมัยและได้รับการติดตั้งเป็นประจำ ใช้สิ่งต่าง ๆ เช่น rkhunter, cfengine, lynis denyhosts และอื่น ๆ สำหรับการตรวจสอบ ฉันมีประสบการณ์ที่กว้างขวางของผู้ดูแลระบบ Unix …

59 security  firewall  configuration  vps 

เห็นได้ชัดว่าพวกเราที่นี่เป็นผู้ดูแลระบบพิมพ์กี่คนเรามีรหัสผ่านจำนวนมากที่กระจายอยู่ในระบบและบัญชีจำนวนมาก บางคนมีลำดับความสำคัญต่ำอื่น ๆ อาจก่อให้เกิดอันตรายร้ายแรงต่อ บริษัท หากค้นพบ (คุณไม่เพียงแค่รักพลังหรือไม่) รหัสผ่านที่ง่ายและจำได้ง่ายไม่เป็นที่ยอมรับ ตัวเลือกเดียวคือรหัสผ่านที่ซับซ้อนจำได้ยาก (และพิมพ์) ดังนั้นสิ่งที่คุณใช้ในการติดตามรหัสผ่านของคุณ? คุณใช้โปรแกรมในการเข้ารหัสให้กับคุณ (ต้องใช้รหัสผ่านอื่นในการเปิด) หรือคุณทำสิ่งที่ซับซ้อนน้อยกว่าเช่นกระดาษที่เก็บไว้ในคนของคุณหรือมันเป็นหนึ่งในตัวเลือกเหล่านั้น?

59 security  password 

ฉันชอบความคิดในการเข้าถึงเซิร์ฟเวอร์ผ่านกุญแจดังนั้นฉันไม่จำเป็นต้องพิมพ์รหัสผ่านทุกครั้งที่ฉันsshใส่กล่องฉันยังล็อคrootรหัสผ่านของผู้ใช้ (ไม่ใช่) ( passwd -l username) ดังนั้นจึงไม่สามารถเข้าสู่ระบบได้โดยไม่ต้องใช้รหัส แต่ตัวแบ่งทั้งหมดนี้ถ้าฉันต้องป้อนรหัสผ่านสำหรับsudoคำสั่ง ดังนั้นฉันอยากจะตั้งค่ารหัสผ่านsudoเพื่อทำสิ่งต่าง ๆ ให้สอดคล้องกับการเข้าสู่ระบบแบบไม่มีรหัสผ่าน อย่างไรก็ตามฉันยังคงมีความรู้สึกว่ามันอาจย้อนกลับมาที่ฉันในทางที่ไม่คาดคิดมันก็ดูเหมือนจะไม่ปลอดภัยอย่างใด มีคำเตือนใด ๆ ในการตั้งค่าเช่นนี้หรือไม่? คุณจะแนะนำ / ไม่แนะนำให้ทำเช่นนี้กับบัญชีผู้ใช้บนเซิร์ฟเวอร์หรือไม่? ชี้แจง ฉันกำลังพูดถึงการใช้งานsudoในเซสชันผู้ใช้แบบโต้ตอบที่นี่ไม่ใช่สำหรับบริการหรือสคริปต์การดูแลระบบ ฉันกำลังพูดถึงการใช้คลาวด์เซิร์ฟเวอร์ (ดังนั้นฉันจึงไม่สามารถเข้าถึงเครื่องที่มีอยู่จริงในเครื่องและสามารถล็อกอินจากระยะไกลเท่านั้น) ฉันรู้ว่าsudoมีการหมดเวลาระหว่างที่ฉันไม่ต้องป้อนรหัสผ่านอีกครั้ง แต่คอนเสิร์ตของฉันไม่ได้เกี่ยวกับการสูญเสียเวลาพิเศษในการพิมพ์รหัสผ่าน ความคิดของฉันแม้ว่าจะไม่ต้องจัดการกับรหัสผ่านเลยเพราะฉันคิดว่า: ถ้าฉันต้องจดจำได้ทั้งหมดมันสั้นเกินไปที่จะปลอดภัยหรือนำกลับมาใช้ใหม่ ถ้าฉันสร้างรหัสผ่านที่ยาวและไม่ซ้ำกันสำหรับบัญชีระยะไกลของฉันฉันจะต้องเก็บไว้ที่ใดที่หนึ่ง (โปรแกรมจัดการรหัสผ่านท้องถิ่นหรือบริการคลาวด์) sudoและเรียกมันเวลาที่ฉันต้องการที่จะใช้ทุก ฉันหวังว่าฉันจะสามารถหลีกเลี่ยงได้ ดังนั้นด้วยคำถามนี้ฉันต้องการเข้าใจความเสี่ยงข้อแม้และข้อตกลงการแลกเปลี่ยนที่เป็นไปได้ของการกำหนดค่าที่เป็นไปได้มากกว่าข้ออื่น ติดตาม 1 คำตอบทั้งหมดบอกว่ารหัสผ่านsudoไม่มีความปลอดภัยเนื่องจากจะช่วยให้เพิ่มสิทธิ์ "ง่าย" หากบัญชีผู้ใช้ส่วนบุคคลของฉันถูกบุกรุก ฉันเข้าใจ. แต่ในทางกลับกันถ้าฉันใช้รหัสผ่านเรามีความเสี่ยงแบบคลาสสิกทั้งหมดกับรหัสผ่าน (สั้นเกินไปหรือสตริงทั่วไปซ้ำในบริการต่าง ๆ ฯลฯ ) แต่ฉันเดาว่าถ้าฉันปิดใช้งานการพิสูจน์ตัวตนด้วยรหัสผ่าน/etc/ssh/sshd_configเพื่อให้คุณยังต้องมีกุญแจในการเข้าสู่ระบบฉันสามารถใช้รหัสผ่านsudoที่ง่ายกว่าเพื่อให้พิมพ์ได้ง่ายขึ้นใช่ไหม นั่นเป็นกลยุทธ์ที่ถูกต้องหรือไม่? ติดตาม 2 หากฉันมีรหัสเพื่อเข้าสู่ระบบrootผ่านทาง ssh หากใครบางคนสามารถเข้าถึงคอมพิวเตอร์ของฉันและขโมยกุญแจของฉันได้ (พวกเขายังคงได้รับการป้องกันด้วยรหัสผ่านของระบบปฏิบัติการ!) …

58 linux  security  password  sudo 

หลังจากอ่านคำถามนี้เกี่ยวกับการประนีประนอมเซิร์ฟเวอร์ฉันเริ่มสงสัยว่าทำไมผู้คนยังคงเชื่อว่าพวกเขาสามารถกู้คืนระบบที่ถูกบุกรุกได้โดยใช้เครื่องมือตรวจจับ / ล้างข้อมูลหรือเพียงแก้ไขช่องโหว่ที่ใช้ในการประนีประนอมระบบ ด้วยเทคโนโลยีรูทคิทต่างๆและสิ่งอื่น ๆ ที่แฮ็กเกอร์สามารถทำได้ผู้เชี่ยวชาญส่วนใหญ่แนะนำให้คุณติดตั้งระบบปฏิบัติการใหม่ ฉันหวังว่าจะได้แนวคิดที่ดีกว่าว่าทำไมผู้คนจำนวนมากไม่เพียงแค่ถอดและกำจัดระบบจากวงโคจร นี่เป็นจุดสองสามอย่างที่ฉันอยากเห็น มีเงื่อนไขที่รูปแบบ / การติดตั้งใหม่จะไม่ทำความสะอาดระบบหรือไม่? คุณคิดว่าระบบสามารถทำความสะอาดภายใต้เงื่อนไขประเภทใดและเมื่อใดที่คุณต้องทำการติดตั้งใหม่ทั้งหมด คุณให้เหตุผลอะไรกับการติดตั้งแบบเต็มใหม่ หากคุณเลือกที่จะไม่ติดตั้งใหม่คุณจะใช้วิธีการใดเพื่อมั่นใจอย่างมั่นใจว่าคุณได้ทำความสะอาดและป้องกันความเสียหายที่อาจเกิดขึ้นอีกครั้ง

58 hacking  security 

ในเว็บไซต์ของฉันฉันมีหน้า "ซ่อน" ที่แสดงรายการผู้เข้าชมล่าสุด ไม่มีลิงก์ไปยังหน้า PHP เดี่ยวนี้และตามหลักวิชาแล้วฉันรู้ว่ามันมีอยู่จริง ฉันตรวจสอบหลายครั้งต่อวันเพื่อดูว่าฉันมีเพลงใหม่ อย่างไรก็ตามประมาณสัปดาห์ละครั้งฉันได้รับผลกระทบจากที่อยู่ 208.80.194. * ในหน้านี้ที่ซ่อนอยู่ซึ่งคาดคะเนได้ สิ่งที่แปลกคือ: ลึกลับคน / บอทไม่ได้เข้าชมใด ๆอื่น ๆ หน้าเว็บไซต์ของฉัน ไม่ได้หน้า PHP สาธารณะ แต่เพียงหน้าซ่อนนี้ที่พิมพ์ผู้เข้าชม มันเป็นเพลงยอดฮิตและ HTTP_REFERER ว่างเปล่า ข้อมูลอื่น ๆ มีการเปลี่ยนแปลงอยู่เสมอ Mozilla / 4.0 (ใช้งานได้; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; FunWebProducts; .NET CLR 1.1.4322; SpamBlockerUtility 4.8.4; yplus 5.1.04b) ... แต่บางครั้งMSIE 6.0แทนที่จะเป็น …

56 security  forensics 

ฉันต้องการอนุญาตให้ผู้ใช้บางรายใช้บัญชีผู้ใช้อื่นโดยไม่ต้องรู้รหัสผ่านของบัญชีนั้น แต่ไม่อนุญาตให้เข้าถึงบัญชีผู้ใช้อื่น (เช่นรูท) ตัวอย่างเช่นฉันต้องการอนุญาตให้ Tom the DBA เป็นผู้ใช้ oracle แต่ไม่ใช่ผู้ใช้ Tomcat หรือรูท ฉันคิดว่าสามารถทำได้ด้วยไฟล์ / etc / sudoers - เป็นไปได้ไหม ถ้าเป็นเช่นนั้นได้อย่างไร

53 linux  security  sudo 

ฉันคิดว่าฉันเกือบจะติดตั้ง iptables เสร็จแล้วในระบบ CentOS 5.3 ของฉัน นี่คือสคริปต์ของฉัน ... # Establish a clean slate iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -F # Flush all rules iptables -X # Delete all chains # Disable routing. Drop packets if they reach the end of the chain. …

53 linux  security  firewall  iptables  icmp 

"เราขอแนะนำอย่างยิ่งให้คุณไม่อนุญาตให้บุคคลทั่วไปเข้าถึง S3 กลุ่มของคุณ" ฉันได้ตั้งนโยบายสาธารณะที่ละเอียดมาก (s3: GetObject) สำหรับที่เก็บข้อมูลหนึ่งที่ฉันใช้เพื่อโฮสต์เว็บไซต์ Route53 รองรับนามแฝง bucket อย่างชัดเจนเพื่อวัตถุประสงค์นี้ คำเตือนนี้ซ้ำซ้อนหรือฉันกำลังทำอะไรผิดหรือเปล่า?

52 security  amazon-web-services  amazon-s3  amazon-route53 

ทุกครั้งที่ฉันได้รับคำขอแปลก ๆ เพื่อให้การสนับสนุนระยะไกลการแก้ไขปัญหาและ / หรือการปรับแต่งประสิทธิภาพในระบบ Linux บริษัท ขนาดใหญ่มักมีขั้นตอนที่กำหนดไว้แล้วอย่างดีในการให้การเข้าถึงระยะไกลแก่ผู้ขาย / ซัพพลายเออร์และฉันต้องปฏิบัติตามนั้น (ให้ดีขึ้นหรือแย่ลง.) ในทางกลับกัน บริษัท ขนาดเล็กและบุคคลทั่วไปหันมาหาฉันเพื่อสอนพวกเขาด้วยสิ่งที่พวกเขาต้องทำเพื่อจัดตั้งฉันขึ้นมา โดยทั่วไปแล้วเซิร์ฟเวอร์ของพวกเขาจะเชื่อมต่อโดยตรงกับอินเทอร์เน็ตและมาตรการรักษาความปลอดภัยที่มีอยู่ประกอบด้วยค่าเริ่มต้นสำหรับการแจกจ่าย Linux ของพวกเขา เกือบทุกครั้งที่ฉันจะต้องเข้าถึงระดับรูทและใครก็ตามที่จะตั้งค่าการเข้าถึงสำหรับฉันไม่ใช่ผู้เชี่ยวชาญระบบ ฉันไม่ต้องการรหัสผ่านรูทของพวกเขาและฉันก็ค่อนข้างแน่ใจว่าการกระทำของฉันจะไม่เป็นอันตราย แต่ฉันควรให้คำแนะนำง่ายๆอะไรกับ: ตั้งค่าบัญชีและแลกเปลี่ยนข้อมูลรับรองอย่างปลอดภัย ตั้งค่าการเข้าถึงรูท (sudo) จำกัด การเข้าถึงบัญชีของฉัน ให้หลักฐานการตรวจสอบ (และใช่ฉันรู้และเตือนลูกค้าเหล่านั้นเสมอว่าเมื่อฉันมีการเข้าถึงของผู้ดูแลระบบการซ่อนการกระทำที่เป็นอันตรายใด ๆ เป็นเรื่องเล็กน้อย แต่สมมติว่าฉันไม่มีอะไรจะซ่อนและมีส่วนร่วมในการสร้างหลักฐานการตรวจสอบ) สิ่งที่สามารถปรับปรุงได้ในขั้นตอนด้านล่าง ชุดคำสั่งปัจจุบันของฉัน: ตั้งค่าบัญชีและแลกเปลี่ยนข้อมูลรับรองอย่างปลอดภัย ฉันให้แฮชรหัสผ่านและขอให้บัญชีของฉันได้รับการตั้งค่าด้วยรหัสผ่านที่เข้ารหัสดังนั้นเราไม่จำเป็นต้องส่งรหัสผ่านแบบข้อความที่ชัดเจนฉันเป็นคนเดียวที่รู้รหัสผ่านและเราไม่ได้เริ่มด้วย รหัสผ่านที่คาดเดาได้ยาก sudo useradd -p '$1$********' hbruijn ฉันให้คีย์สาธารณะ SSH (คู่คีย์เฉพาะต่อลูกค้า) และขอให้พวกเขาตั้งค่าบัญชีของฉันด้วยคีย์นั้น: sudo su - hbruijn mkdir -p …

51 linux  security  sudo  root  audit 

ฉันสังเกตเห็นว่าไฟล์ sudoers และไฟล์ cron config ทำงานในลักษณะพิเศษเมื่อเทียบกับไฟล์ config อื่น ๆ บน Linux พวกเขาจะต้องแก้ไขด้วยเสื้อคลุมพิเศษแทนที่จะแก้ไขข้อความใด ๆ ทำไมนี้

51 linux  security  unix  configuration  sudo