Woodstock's questions

我希望得到一些可以使用的方法的帮助......

我正在构建一个将使用 SSH-CA 的解决方案（即，通过证书完成身份验证的 SSH）。

流程很简单：

1) 用户生成密钥对

2) 使用 HSM 进行身份验证并获得公钥签名

3) SSH 服务器验证签名和证书并允许访问

（有额外的位，但基本上就是这样）。

这是我的问题，我可以监控证书请求和 SSH 交互，但是如何监控用户的操作？

由于这是针对 devOps 人员的，他们需要 root，所以大多数人都将以 root 身份登录到 SSH 会话。

我仍然需要将发布的命令与实际的员工姓名或 ID 联系起来。

有什么聪明的主意吗？

我想过使用：

• 利用LD_PRELOAD提供一个基本的面包屑路径。

• 使用多个证书颁发机构，每个用户一个。

• UNIX 组的使用，采用组的组。

但它们都是棘手的解决方案。

我在我的 linux 机器上使用 ssh，我想确保它尽可能防水，只允许通过ed25519椭圆曲线加密 sigs 进行 ssh。

我以为我设置正确，禁用密码，没有 PAM 等。

它似乎工作正常，但今天我注意到我没有authorised_keys指定文件，并且我已经PubkeyAuthentication注释掉了。

当密码身份验证设置为否时，这些内容是否隐式设置为是？

这个设置好吗？

#       $OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key

# Ciphers and keying
#RekeyLimit default none

# Logging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin prohibit-password
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#PubkeyAuthentication yes

# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile     .ssh/authorized_keys .ssh/authorized_keys2

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
#PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

# Set this to 'yes' to enable PAM authentication, account processing

我有一堆 EC2 实例——我想在其中一个实例上禁用 CPU 功能（即 CPU 的涡轮增压）。

这可能吗？

我假设我需要 BIOS 访问权限，但我在网上看不到任何有关它的信息。

亚马逊不为“基本”计划提供“技术”支持。

有任何想法吗？

如果我什至可以在操作系统级别做到这一点，那就太好了（Windows Server 2012）。

我在 Ubuntu 12 上运行 LAMP 堆栈，其主要功能是提供基于 PHP 的 API。

我只想向公众公开一个文件，名为：api.php

它需要引用我拥有的配置文件，/cfg/api-config.php其中包含数据库密码，以便 API 可以写入数据库等。

所以我只希望api.phpapache 被“服务”并公开。

我放入 /cfg 的配置文件必须可以被 api.php 读取，但不能被任何可能访问该站点的人读取。

我没有.htaccess，只是httpd.conf按照下面的配置。

<VirtualHost *:44448>
    DocumentRoot "/api"
    ServerName localhost:44448
    ServerAlias Server.local
    DirectoryIndex index.html
    CustomLog "/var/log/apache_access.log" combined
    ErrorLog "/var/log/apache_error.log"

    SetEnv APPLICATION_ENV development
    php_flag magic_quotes_gpc off

    <Directory "/api">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride All
        Order allow,deny
        Allow from all
    </Directory>
</VirtualHost>

我的/cfg和/api文件夹的权限是：我的敏感配置文件的drwxr-xr-x权限和数据库密码位于/cfg/api-config.php-rw-r--r--

我想知道是否有人可以告诉我这是否设置正确且安全？

借此：

A）除 之外的所有文件/api/api.php都不是公开的，并且无法访问我的服务器文件。

B）任何访问该站点的人也无法读取带有 db 密码（用于 api）的配置文件？

我试图通过在/cfgwith中创建一个新文件夹来测试这一点chmod 777，但我似乎无法访问它，这很好！

我们的一个客户正在尝试迁移到 64 位 Windows。他们没有 ODBC++ dll，我们的解决方案与 2003 服务器（32 位）附带的版本相关联。

但是，当查看从 Windows 2003 迁移到 Windows 2008 的 32 位 ODBC++ dll 时，它似乎是无效的。谁能建议我如何让 32 位 ODBC++ dll 在 64 位 Windows 2008 环境中工作？