我们正在更新我们的 nginx 配置以删除一些旧的/不太安全的密码套件。
对于绝大多数情况,这不会导致任何问题,但是,旧版本的 Windows(以及非常早期的 Windows 10 版本)将无法协商连接,因为没有共同的密码套件。
我们采用“默认安全”的方法,但如果更改导致他们出现问题,则允许用户降级其部署的安全性。
我的问题是...
如果 SSL 协商失败,我可以让 nginx 重定向到错误页面吗?
[大概是通过 HTTP,尽管我可以忍受运行不同的、不安全的服务器/配置来提供单个错误文件]
我注意到 CloudFlare 已采用 HTTP 525 来指示“SSL 协商失败”,但在他们的情况下,它们是 2 跳,因此报告他们自己的下游连接失败,而不是处理连接到 cloudflare 本身的失败,所以我可以没有看到任何简单的方法来利用它(加上它是非标准的)。
我在虚拟机中运行 Centos 7(我认为这不重要,但对于上下文......)
在虚拟机内部,我正在运行软件来建立隧道。我已经可以接受来自主机的连接了,但我想强制所有出站流量通过隧道。
如何允许现有连接的返回数据包,同时确保除非超过 tun0,否则不会从框中建立新连接?
我已经看过这个问题iptables blocking all outbound connections但它看起来有点暴力......我一直在使用firewall-cmd并且输出iptables -L -n -v很冗长。
相反,使用Use specific interface for outbound connections (Ubuntu 9.04),我看不到如何将其应用于 centos。
如何可靠地确保所有出站流量要么通过 tun0 建立,要么根本不建立?
我正在尝试安装 XRDP,我遇到了以下问题:
[root@box ~]# yum -y install xrdp
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
* base: centos.serverspace.co.uk
* epel: mirrors.coreix.net
* extras: mirror.sov.uk.goscomb.net
* updates: mirror.sov.uk.goscomb.net
Resolving Dependencies
--> Running transaction check
---> Package xrdp.x86_64 1:0.9.10-1.el7 will be installed
--> Processing Dependency: xrdp-selinux = 1:0.9.10-1.el7 for package: 1:xrdp-0.9.10-1.el7.x86_64
--> Processing Dependency: xorgxrdp for package: 1:xrdp-0.9.10-1.el7.x86_64
--> Running transaction check
---> Package xorgxrdp.x86_64 0:0.2.10-4.el7 will be installed
--> Processing Dependency: xorg-x11-server-Xorg(x86-64) = 1.20.4 for package: xorgxrdp-0.2.10-4.el7.x86_64
---> Package xrdp-selinux.x86_64 1:0.9.10-1.el7 will be installed
--> Finished Dependency Resolution
Error: Package: xorgxrdp-0.2.10-4.el7.x86_64 (epel)
Requires: xorg-x11-server-Xorg(x86-64) = 1.20.4
Installed: xorg-x11-server-Xorg-1.20.1-5.6.el7_6.x86_64 (@updates)
xorg-x11-server-Xorg(x86-64) = 1.20.1-5.6.el7_6
Available: xorg-x11-server-Xorg-1.20.1-3.el7.x86_64 (base)
xorg-x11-server-Xorg(x86-64) = 1.20.1-3.el7
Available: xorg-x11-server-Xorg-1.20.1-5.el7.x86_64 (updates)
xorg-x11-server-Xorg(x86-64) = 1.20.1-5.el7
Available: xorg-x11-server-Xorg-1.20.1-5.1.el7.x86_64 (updates)
xorg-x11-server-Xorg(x86-64) = 1.20.1-5.1.el7
Available: xorg-x11-server-Xorg-1.20.1-5.2.el7_6.x86_64 (updates)
xorg-x11-server-Xorg(x86-64) = 1.20.1-5.2.el7_6
Available: xorg-x11-server-Xorg-1.20.1-5.3.el7_6.x86_64 (updates)
xorg-x11-server-Xorg(x86-64) = 1.20.1-5.3.el7_6
You could try using --skip-broken to work around the problem
You could try running: rpm -Va --nofiles --nodigest
现在,我知道它缺少依赖项,但是,它似乎在说它需要xorg-x11-server-Xorgversion 1.20.4。
然后它继续说版本1.20.1-5.6.el7_6已安装。
从我坐的地方看,4 在 1-5 的范围内,所以我不清楚问题是什么。它们似乎都适合正确的架构。
1-5 本身是一个版本字符串而不是一个范围,或者 - 如果不是 - 我错过了什么?
解决方案:感谢@zigam 的评论,这里有一个解决方法:
遇到同样的问题,我安装了手动存档的 xorgxrdp
yum -y install https://archive.fedoraproject.org/pub/archive/epel/7/x86_64/Packages/x/xorgxrdp-0.2.9-1.el7.x86_64.rpm然后yum -y install xrdp它可以工作
我有一个在 Hyper-V (Win Server 2008 R2) 主机上运行的 SUSE 实例。初始安装很好。在设置好 Apache、MySQL 等之后...我关闭了 VM 并对其进行了快照(因此如果出现问题我可以恢复)。
快照后,系统将无法启动。
具体我得到......
如果我选择“否”(不要尝试使用...-part1),它会将我转储到我不熟悉 ( $) 的提示。如果我回答是,它会等待-part1几秒钟,然后失败并让我进入相同的提示。
无论哪种情况,我都会得到:
sh: cannot set terminal process group (-1): Inappropriate ioctl for device
sh: no job control on this shell
我的工具集似乎非常有限(大概是内置的 shell 命令?)
如果我这样做,ls -al /dev/disk/by-id我会得到以下信息:
我不确定如何继续 - 据我所知,VM 正在识别 HDD(否则,我不会走这么远),但分区的 ID 正在寻找挂载是不正确的(请注意,列出的 ID 因20202020零件而异)。
我怎样才能告诉 Linux 使用新的 ID 或(失败)更改 ID 以匹配 Linux 的预期?
附录:经过更多的谷歌搜索,这似乎是由于升级问题造成的。我确实使用 YAST 在重新启动前安装了“重要”更新,所以这也可能是原因。当然,现在我不能 100% 确定运行的是哪个版本。cat /proc/version结果是:
场景:Clean Server 2008 R2 Install with IIS Role。
Installed Framework 3.5(服务器功能) Installed Framework 4.5 RC(MS 下载)
执行
C:\Windows\Microsoft.NET\Framework64\v4.0.30319>aspnet_regiis.exe -i
(我会-iru在现有服务器上使用,但这是一个干净的构建)。
通过文件系统发布(SMB 共享)
使用 .Net 4.0 Integrated App Pool 将文件夹转换为应用程序
停止/重新启动一切。
浏览localhost/TestApp结果为 403.14(禁止目录浏览)
我错过了哪一步?有问题的站点是 MVC4,目标是 4.5 RC 框架
可能重复:
防止服务帐户在本地或远程登录
我有一些帐户用于运行各种服务,例如SQL.Service,TFS.Application等...并希望将这些帐户标记为不支持 AD 中的交互式登录
大概我应该把它们放在一个特定的安全组中(我创建了一个名为MyOrg.Services)但我不知道如何将该组中的用户标记为服务而不是“真实”用户
我们最近设置了 Small Business Server 2008 并安装了在 SBS 安装期间添加的 Sharepoint。
我正在尝试将策略添加到网站集,如此处所述
但是,“站点集合管理”下列出的项目(在他的第一个屏幕截图中)与我的非常不同。具体来说,我看到:
回收站
网站集功能
网站层次结构
门户网站连接
现在我的第一个假设是权限问题,但我是设置它的人,我的用户名似乎已经在我找到的每个权限页面的正确位置(包括通过管理工具访问的那个)
我不确定是否需要设置其他权限,或者我们是否缺少/尚未启用某些模块。
有人可以指出我正确的方向吗?
非常感谢
我想知道是否有人可以帮助我 - 我是一名开发人员,必须为新的创业公司构建/运行一个小型网络,直到我们能够获得真正的网络管理员。
我几乎没有运行域的经验,所以我正在阅读我可以接触到的所有内容,但在 Forefront Client Security 方面遇到了障碍。
简而言之,我已经通过 WSUS 安装了它、部署了策略并启用了更新,但客户端 PC 没有下载/安装任何东西。
详细地:
首先,DC 是 SBS2008(称为服务器 A) 在服务器 B 上,我们安装了 Server 2k8 和 Forefront Client Security
我们在服务器 A 上将 WSUS 作为 SBS 的一部分。由于 frontfront 似乎想要安装自己的 WSUS,所以我们让它 - 所以我们将服务器 B 配置为服务器 A 的下游并以“副本”模式运行。
我在 FCS 中创建了一个策略并将其部署到 AD(我可以在组策略管理器中看到它)。它链接到 .local 位置(对不正确的术语表示歉意)。它的 Link Enabled 和 Enforced 都设置为“True”
现在我遇到的问题是我希望客户端 PC 能够找到新策略,意识到他们需要更新并下载/安装适当的 ForefrontCS 客户端。
从 FCS 文档的“部署”部分:
要将 Client Security 部署到客户端计算机,您必须首先将策略部署到这些计算机。在客户端计算机具有策略后,计算机将自动从您的分发服务器下载 Client Security。
我尝试在客户端 PC 上强制执行策略更新,然后注销/打开,但没有明显的变化。
查看 GPO 后,似乎它正在为客户端扫描设置所有配置(频率、更新服务器等),但我看不到任何与推出软件相关的内容(但正如我所说,我'是新的,所以在任何情况下都不一定会认出它)
我将不胜感激您可能拥有的任何建议/建议/指南链接。
提前谢谢了
为了完整性;所有服务器当前都在 Hyper-V VM 上运行。DC 和大多数其他服务器都是 64 位的。服务器 B - Forefront - 是 32 位的(我相信它必须是)。所有客户端 PC 目前都是 32 位的。
我想知道是否有人可以帮助我 - 在管理服务器方面,我是一个完全的新手,如果我遗漏了一些明显的东西,我深表歉意......
我们已经决定了使用元素周期表中的元素的命名约定(以 VM 主机作为分子)
虽然这暂时还可以,但当我们拥有这么多服务器时,我不喜欢输入“Unununium”或“Ununnulium”的前景。所以...我为化学符号添加了一些 DNS 条目(He->Helium、Li->Lithium 等)
当我尝试使用 DNS 别名对服务器进行 RDP 时,我收到证书警告,因为(显然)我要连接的名称与相关服务器不匹配。
虽然这只是 RDP 的烦恼,但我假设如果我将缩短的名称用于其他目的,它可能会产生影响。
所以,我的问题是 - 是否可以让我连接的服务器使用涵盖两者的证书?还是并排放置 2 个证书并自动选择正确的证书?
正如我所说,我是新手,所以我有点不清楚我可以使用哪些选项,如果有人能指出我正确的方向以获得一些有用的文档/指南,我将不胜感激。
非常感谢您提供的任何帮助
我应该提到,有问题的服务器正在运行 Windows Server 2008 Enterprise,并且客户端都将是相同的或 Windows 7