如何在 Ubuntu 上使用 iptables 设置出口规则?
在 Apache2/Ubuntu 上托管的 Ruby on Rails 应用程序上设置 SSL 需要采取哪些步骤?
我最近在玩实验室设置(Windows 2003 R2 x32 SP2、Windows XP SP3、Active Directory)并注意到如果我锁定了工作站,就会出现以下奇怪的行为:
我有一个锁定政策,规定帐户在三次无效尝试后被锁定。在解锁工作站时尝试此操作时,工作站正确地说该帐户在三次无效尝试后被锁定,但它让我继续尝试密码。如果我最终输入正确的密码,它将解锁工作站。
如果我在工作站锁定时更改用户密码, 旧密码和新密码都会解锁工作站。
如果我在工作站锁定时禁用用户帐户,他们 仍然可以登录并继续访问资源。
这种行为是正确的还是只是我的设置中的错误?有关如何缓解此问题的任何指示?
利用#1 的攻击向量是,如果黑客根据用户的生日、孩子姓名等的组合,拥有一个可能包含 200 个左右的可能密码的列表。然后他们依次尝试这些密码中的每一个,以查看它们是否正确(可能使用 USB 键盘楔来自动化它)。
因为他们在尝试三次后都没有被锁定,所以他们可以继续尝试直到获得密码。一旦他们有了密码,他们只需等待用户让管理员解锁他们的帐户,然后他们就可以以用户身份登录。
#2 和 #3 的问题是,如果有人刚刚被解雇,而您想阻止他们随身携带文件,并禁用他们的帐户/更改他们的密码,如果他们的工作站被锁定,他们仍然可以访问文件(或者我假设他们是否已经登录到他们的计算机)。
我在使用 Windows Server 2003 R2 SP2 和 Windows XP SP3 为强制用户配置文件授予域本地组权限时遇到问题。
我创建了一个名为 Sales 的全局组,并将 John 和 Mary 放在该组中。然后,我创建了一个名为 Sales Local 的 Domain Local 组,并将 Sales 组放入其中。我希望 John 和 Mary 使用相同的强制配置文件。
我以管理员身份登录并将配置文件复制到相应的文件夹 \server01\profiles\sales 并分配域本地组销售本地权限以使用配置文件。
我输入了新配置文件位置的适当路径,然后单击更改允许使用并选择销售本地域本地组(注意:我必须单击对象类型并选中组才能执行此操作)。
在服务器端,我将 ntuser.dat 重命名为 ntuser.man,然后尝试以 John 身份登录。
问题是约翰没有看到所有的个人资料。例如,他会看到我放在桌面上的文本文件,但他看不到我添加到桌面的“我的文档”文件夹图标。此外,如果您转到桌面-> 属性,您只会看到黑屏而不是主题选择,如果您尝试将“我的文档”文件夹添加到桌面,则会收到无法设置视觉样式的错误消息。
如果我将 Sales 设为 Global group 则不存在这些问题,但我认为使用 AG-DL-P,基于 Global 组授予资源权限不是“最佳实践”。另外,为什么我必须采取检查“组”的额外步骤来授予组对个人资料的权限?我看到一篇“howto”文章提到让“BUILTIN\Users”访问强制配置文件。这听起来不太安全。
我错过了什么?这是我的配置错误吗?一个已知的限制?
今天我有一个奇怪的设置,我想在 Windows 2003 R2 SP2 计算机上启用 Windows 防火墙,该计算机将充当 Active Directory 域控制器。
我没有在 Internet 上看到一个资源列出了执行此操作所需的内容,所以我想我会在此处列出它们,看看是否有人要添加/查看不必要的内容。
使用“子网”范围打开的端口:
- 42 | 技术支持 | 获胜(如果你使用它)
- 53 | 技术支持 | 域名系统
- 53 | UDP | 域名系统
- 88 | 技术支持 | Kerberos
- 88 | UDP | Kerberos
- 123 | UDP | NTP
- 135 | 技术支持 | RPC
- 135 | UDP | RPC
- 137 | UDP | 网络BIOS
- 138 | UDP | 网络BIOS
- 139 | 技术支持 | 网络BIOS
- 389 | 技术支持 | LDAP
- 389 | UDP | LDAP
- 445 | 技术支持 | 中小企业
- 445 | UDP | 中小企业
- 第636章 技术支持 | LDAPS
- 3268 | 技术支持 | GC LDAP
- 第3269章 技术支持 | GC LDAP
使用“任何”范围打开的端口(对于 DHCP)
- 67 | UDP | DHCP
- 2535 | UDP | DHCP
此外,您需要限制 RPC 使用固定端口而不是 > 1024 的所有端口。为此,您需要添加两个注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Registry value: TCP/IP Port
Value type: REG_DWORD
Value data: <-- pick a port like 1600 and put it here
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Registry value: DCTcpipPort
Value type: REG_DWORD
Value data: <-- pick another port like 1650 and put it here
...不要忘记在防火墙中添加条目以允许(TCP,子网范围)中的条目。
完成所有这些之后,我能够将客户端计算机添加到 AD 域(在 Windows 防火墙后面)并成功登录。
有没有办法设置默认 UPN 后缀来创建 Active Directory 的新用户?
例如,如果我将 corp.mydomain.com 作为我的 AD 域,并且我在 Domains and Trusts 下添加了一个备用 UPN 后缀,即 mydomain.com,那么在创建新域时有没有办法让该域成为默认域用户?
我知道我可以创建一个模板用户,然后当我复制它时,它将具有正确的默认后缀,但只是好奇是否有隐藏设置可以控制它。
我想知道是否有人有办法在 Windows 2003 R2 服务器上安装 Active Directory,没有任何技巧,并且在事件日志中没有错误/警告。
我传统上使用大约 15 步的“手动”过程来安装 AD,但我正在使用 Windows 2003 R2 做一个新服务器,并认为我会尝试“服务器管理器”的方式。因此,在我安装了 Windows 2003 R2 的干净副本并加载了 SP2 后,我从“管理您的服务器”窗口单击了“添加角色”并运行了“配置您的服务器”向导。我为第一台服务器选择了典型配置。
重新启动后,我注意到事件日志中有一些问题(有些熟悉):
The DSRestore Filter failed to connect to local SAM server. Error returned is <id:997>.解决此问题涉及从 中删除“dsrestore” ,然后根据Q322672HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\Notification Packages重置目录服务还原模式管理员帐户并重新启动。MS DTC could not correctly process a DC Promotion/Demotion event. MS DTC will continue to function and will use the existing security settings.这与KB923977相关,只需进入组件服务->我的计算机->属性->MSDTC->安全配置->单击确定,然后停止并重新启动 MSDTC。Time Provider NtpClient: This machine is configured to use the domain hierarchy to determine its time source, but it is the PDC emulator for the domain at the root of the forest, so there is no machine above it in the domain hierarchy to use as a time source.解决此问题涉及本文概述的漫长过程。
我没有看到我通常看到的将您设置HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl Perform Initial Synchronizations为 0 的 DNS 错误,这很好,但是,“按书本”进行全新安装仍然存在 3 个问题。
编辑: DNS 错误刚刚出现(错误 6702 DNS server has updated its own host (A) records...)所以我必须实施上述修复。所以这有四个问题。
所以我的想法是……Windows 2003 从那时起就已经存在了,嗯,2003 年……六年多以前了。它有无数的补丁、两个服务包,甚至还有一个 R2 更新。真的不可能在没有技巧的情况下安装无错误的 Active Directory 吗?我错过了什么?
我想确保我的 Windows 2008 服务器能够抵御 DDOS 攻击。
Microsoft Technet 上有一篇关于强化 TCP/IP 堆栈的文章,但最后一次修订是在 2006 年 1 月。还有另一篇专门针对Windows Server 2003的文章(有些重复) ,但我找不到针对 Windows Server 2008 的文章。
有谁知道这些保护是否已经在 Windows Server 2008 的 TCP/IP 堆栈中到位,或者它们是否仍然相关?
我在 Safari 上找到了一本名为Windows Server 2008 TCP/IP 协议和服务的书的一部分,内容如下:
Windows Server 2008 和 Windows Vista 中的 TCP 使用 SYN 攻击保护来防止 SYN 攻击压倒计算机。
和
Windows Server 2008 和 Windows Vista 中的 TCP 不再支持 TcpMaxConnectResponseRetransmissions、SynAttackProtect、TcpMaxHalfOpen 和 TcpMaxHalfOpenRetried 注册表值。
...但我找不到其他注册表值的提及,也找不到此信息的第二个来源。
我们的一个客户有一个由 CrystalTech 托管的 Windows 2008 Hyper-V 实例,有时父 Hyper-V 服务器会在子 VM 未正确关闭的情况下重新启动。
因此,当服务器重新联机时,VM 中的 SQL Server Express 服务不会启动,即使它设置为自动。事件日志中没有错误条目。如果您正常重新启动服务器,SQL Server Express 会自动启动。
有人遇到过这个问题吗?有什么解决办法吗?
附带说明一下,当服务器意外关闭时,是否有任何好的脚本/方法可以通过电子邮件发送通知?
另一方面,有人知道 Hyper-V VM 的任何好的主机吗?
识别 Windows 2008 服务器上的 DDOS 攻击的后续行动。
人们正在采取哪些措施来防止在托管环境中对其 Windows 2008 服务器进行 DDOS 攻击?
我对不涉及单独的硬件防火墙的方式特别感兴趣,而是可以通过软件或服务器本身的配置来完成的事情。
MS 有一篇名为How To: Harden the TCP/IP Stack的文章。有没有人对这些步骤的成功有经验(或想法)?
最近,我的监控服务通知我一些 Windows 2008 服务器(hyper-v 实例)已关闭。
我登录到 Hyper-V 盒子,发现一切都超级慢。我打开任务管理器,发现虽然 CPU 和 RAM 都很好,但我们的“公共”网卡上的网络利用率为 99%。
这持续了大约 10 分钟,在此期间我发现禁用其中一台服务器的入站连接导致网络饱和度下降到正常水平。我禁用了该服务器的入站连接以允许其他服务器运行,最终流量消失了。
我怀疑这是 DDOS 或常规的拒绝服务攻击,但它似乎很随机。有问题的服务器的可见性非常低,并且不会有很多价值来自有人将其关闭。
判断我是否遇到 DDOS 攻击的最佳方法是什么?还有什么你能想到的会导致这种情况的,如果有,我应该寻找什么?
编辑:这又发生了。我试过 netstat -noa 但没有看到任何有用的东西。我希望有一些我可以运行的命令或程序可以告诉我每个 IP 使用了多少带宽(即,它说网络利用率是 100%,但它是如何加起来的)。有这样的东西存在吗?
我有一个损坏的 VHD,我需要从中获取数据。它是一个 Windows 2003 x32 Hyper-V 虚拟机 (NTFS)。我有一个几乎相同版本的虚拟机,但上面没有可用的数据。
使用十六进制编辑器,我尝试在几页后将旧的 vhd 插入到工作中(随机尝试比较),但我似乎无法让它工作。
最好知道 VHD 文件结构,这样我就可以知道 FAT 在哪里,VM 标头在哪里等等,这样我就可以智能地插入字节。
有人对此有经验吗?
我们在 Windows 2008 Server (Hyper-V) 上有几个 VM,它们之间的路由存在问题。
设置是 Hyper-V 服务器运行 RRAS 并将其 NIC 上的 IP 映射到 VM 使用的内部 IP (192.168.1.X)。VM 使用 hyper-V 服务器作为出站流量的网关。这种设置的原因是我们的 ISP 通过 MAC 地址分配 IP,因此 VM 无法使用分配给服务器的外部 IP。
问题是虚拟机无法使用它们的外部 IP 地址相互通信。例如,如果服务器 A 是 4.2.2.1(外部 IP)/192.168.1.1(内部 IP),服务器 B 是 4.2.2.2(外部 IP)/192.168.1.2(内部 IP),则无法从 4.2 ping 4.2.2.2 .2.1. 您可以从 192.168.1.2 ping 192.168.1.1。我们还有一台服务器 C,它是 4.2.3.1(一个不同的子网),并且那台机器 ping 服务器 A 或服务器 B 没有问题。所以基本上除非机器在不同的子网上,否则它们不能相互通信。
我们不使用 192.168.1.X 进行通信的原因是为了这个特殊目的,我们正在设置一个监控服务器。此监控服务器将使用 FQDN(如 servera.myservers.net)来尝试 ping 服务器 B。因此我们需要知道是否存在 DNS 故障或其他问题。
一件奇怪的事情是,如果您从服务器 A 到服务器 C 进行跟踪,前两次尝试会超时,然后是连接,但您看不到它通过网关。
我们在 RRAS 后面的 Hyper-V 实例中运行 Windows 2003 R2 SP2 x32 服务器的 Windows 2008 DCE 服务器遇到了一个奇怪的问题。
本质上,此服务器会定期停止通过 RRAS 接收入站流量。通过 Hyper-V 管理器连接到服务器并断开并重新连接 NIC 允许入站流量再次工作。
有关设置的更多详细信息:服务器是带有 SP1 的 Windows 2008 Data Center Edition x64。该服务器有许多由我们的 ISP 关联的外部 IP。因为 ISP 将 IP 绑定到 MAC,所以我们使用带有 NAT 的 RRAS 将外部 IP 映射到 Hyper-V 服务器上的内部 IP。例如,我们在 192.168.1.X 上有一个 Hyper-V 虚拟网络,服务器为 192.168.1.1,一个 Hyper-V 实例的 IP 为 192.168.1.11。然后在 RRAS 中,我们通过 NAT 创建预留以将外部 IP 映射到该内部 IP。
尽管可能不相关,但还有一个单独的 192.168.0.X 网络将这个服务器与另一个服务器(通过 ISP 的专用网络)链接起来。我们使用 192.168.0.X 网络在两台 Hyper-V 服务器上的虚拟机之间进行快速通信。
此设置对其余 VM(包括另一个 Windows 2003 x32 设置)运行良好,但出于某种原因,此特定 Windows 2003 VM 喜欢每隔一段时间(大约每 10 小时一次,但不定期停止接受通过 RRAS 的入站流量) )。
发生这种情况时,VM 仍然可以使用 192.168.1.X 从 Hyper-V 服务器 ping 通,但无法从外部 ping 通。所以我怀疑冲突与此设置中的 RRAS 有关。
我在 Google 上搜索了各种相关的关键字,发现一些帖子引用了 Windows 2003 SP2 和 RRAS 的问题,特别是 TCP/IP 中的安全设置。据说 SP2 中有一些高级安全功能,在处理路由流量时会格外小心。我已经安装了相关的修补程序并仔细检查了注册表设置,但这似乎并不能解决问题。
有任何想法吗?