JDS's questions

所以，我有这些 Windows 2016 服务器。一切都加入了域。

它们在 Amazon EC2 中运行。

我正在使用 CIS 的建议进行一些系统强化。（供参考，PDF 标题为“CIS Microsoft Windows Server 2016 RTM (Release 1607) Benchmark”，可在此处下载：https ://www.cisecurity.org/benchmark/microsoft_windows_server/ ）

在 EC2 中，有一个似乎是 Bad Idea(TM) 的强化建议。那个是 CIS 第 2.3.1.1 节，确保“帐户：管理员帐户状态”设置为“已禁用”

我对此感到担忧的是 CIS 文件中同一部分的这一段：

如果您禁用管理员帐户，则在某些情况下可能会出现维护问题。例如，如果成员计算机和域控制器之间的安全通道由于某种原因在域环境中失败并且没有其他本地管理员帐户，则必须以安全模式重新启动以修复破坏安全通道的问题。

在 EC2 中，您无法启动到安全模式。没有物理控制台。唯一可用的恢复选项是“目录服务还原模式”，它与安全模式不同。

我已经采取了其他强化步骤来确保本地管理员得到强化。

这里推荐的最佳做法是什么？

前言：我是一名 Linux 管理员。我并没有真正“获得”（或喜欢）Windows。

我正在使用 CIS 建议修复 Windows 2016 服务器。它主要是根据 CIS 规范创建一个 GPO 集，并将其应用于相关服务器。我正在使用 Tenable 的 Nessus Audit Scanner 检查设置的有效性。

在这里您可以获得我正在使用的 CIS 规范：https ://www.cisecurity.org/benchmark/microsoft_windows_server/

（没有直接下载，但可以免费下载。）

许多确切的细节并不重要，所以对于这个问题，我将专注于一个具体的例子，我应该能够推断出解决其他问题。从广义上讲，问题似乎是我试图通过 GPO 应用注册表编辑，我想我不明白该怎么做。但是，CIS 指南对补救步骤非常具体。

因此，例如，我正在尝试应用 CIS 指南 19.1.3.1，“确保‘启用屏幕保护程序’设置为‘已启用’ ”

执行此操作的步骤如下所示：

要通过 GP 建立推荐的配置，请将以下 UI 路径设置为 Enabled：User Configuration\Policies\Administrative Templates\Control Panel\Personalization\Enable screen saver

好的，所以，我做到了。我知道 GPO 本身已应用，因为所有其他 GPO 设置现在都显示在服务器上。此外，Nessus Audit Scan 现在对我刚刚应用的大多数项目显示“OK”。

唯一似乎不起作用的项目是注册表设置项目。

当我检查注册表时，我发现我试图设置为某个值的键甚至不存在。对于此示例，该键是：

HKEY_USERS[USER SID]\SOFTWARE\Policies\Microsoft\Windows\Control Panel\Desktop:ScreenSaveActive

那么，如何让注册表设置通过 GPO 显示？

具体来说，如何使“用户配置”注册表项显示出来？

再次前言：我是 Linux 管理员。

有什么方法可以减少 Windows Server 安全日志消息的详细程度？例如，每个登录事件“4624”都有这个额外的文本来描述什么是登录事件。是的，我知道什么是登录事件。此时我什至知道事件 ID 4624 是什么。如果我不这样做，我可以查看详细信息。

例子：

    Computer = "dc1.example.com";
    EventCode = 4624;
    EventIdentifier = 4624;
    Logfile = "Security";
...snip...
...
...useful info...
...THIS:
This event is generated when a logon session is created. It is generated on the computer that was accessed.

The subject fields indicate etc etc etc etc - 1.6k worth!!

所有额外的冗长都破坏了我的日志服务！

我在互联网上找到了另一个有这个问题的人，我觉得这很令人惊讶！那个人有一个 Splunk 特定的解决方案。我更喜欢 Windows 原生解决方案，因为我没有使用 Splunk。

我将以此作为开头：我是一名 Linux 管理员。对我来说，窗户就像我开着一辆英国汽车——大部分操作都一样，但方向盘、按钮和操纵杆的位置不对，而且标签的拼写很有趣。

我有一台服务器是域成员。有从域应用的 GPO。够正常的。

当我在此服务器上运行 auditpol 时，我看到未在 secpol.msc 中设置且未在域 GPO 中设置的策略。我还比较了运行 gpresult 中应用的 GPO 列表，发现只有三个 GPO 被应用。（这个 3 GPO 列表是我希望看到的列表，所以这很好）。

例子：

在成员服务器上运行：

PS C:\Windows\system32> .\auditpol.exe /get /category:\*
System audit policy
Category/Subcategory                      Setting
System
  Security System Extension               No Auditing
  System Integrity                        Success and Failure
  IPsec Driver                            No Auditing
  Other System Events                     Success and Failure
  Security State Change                   Success
Logon/Logoff
  Logon                                   Success and Failure
...(truncated)...

和

PS C:\Windows\system32> .\gpresult.exe /v /r /scope computer
...(truncated)...
RSOP data for CORP\fflintstone on MGMTWIN01A : Logging Mode
-----------------------------------------------------------

OS Configuration:            Member Server
OS Version:                  10.0.14393
Site Name:                   XYZ
Roaming Profile:             N/A
Local Profile:               C:\Users\fflintstone
Connected over a slow link?: No


COMPUTER SETTINGS
------------------
    CN=MGMTWIN01A,OU=Windows,OU=Servers,DC=corp,DC=example,DC=com
    Last time Group Policy was applied: 11/2/2018 at 2:13:01 PM
    Group Policy was applied from:      corpdc01a.corp.example.com
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        CORP
    Domain Type:                        Windows 2008 or later
...(truncated)...
    Applied Group Policy Objects
    -----------------------------
        Default Domain Policy (CORP)
        Windows Allow RDP Access
        Windows Startup Script

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)
...(truncated)...

gpreseult 列为“已应用”的三个 GPO 都不包含在我的示例 auditpol 片段中列为“成功”或“成功和失败”的任何设置。

它们在哪里设置？我怎样才能找到这个？

我有两个应该相同的 Centos 7 系统（数据除外）。

我在服务器 A 上有一个服务器进程，该进程被拒绝写入特定目录。拒绝显示为 SELinux 拒绝。

在服务器 B 上，不会拒绝同一服务对同一目录的写访问。

我比较了两台服务器之间的文件权限、目录权限、ACL 和 SELinux 上下文，它们看起来相同——除了 A 得到“拒绝”错误而 B 没有。

作为一种解决方法，我将 SELinux 设置为“Permissive”，现在 A 上的服务器进程可以写入目录。

在这一点上，我真的只是在寻找可以解决其他问题的想法；如果需要，我很乐意提供技术细节。我在 Linux 管理方面经验丰富，但在 SELinux 方面经验并不丰富，所以在这一点上我很难过。

编辑——技术细节

我遇到问题的服务是 IPA。但实际上，它是与 IPA 捆绑在一起的 Apache，不允许写入 memcached 目录。具体来说，用户“apache”被拒绝写访问“/var/run/ipa_memcached/”。

以下是我运行的命令，它们在服务器之间返回的结果完全相同（PID 除外）。（这些是以root身份运行的，所以以“$”开头的行是命令，下面是输出）

$ semanage fcontext -l | grep memc
/var/run/memcached(/.*)?                           all files          system_u:object_r:memcached_var_run_t:s0
/var/run/ipa_memcached(/.*)?                       all files          system_u:object_r:memcached_var_run_t:s0
/usr/bin/memcached                                 regular file       system_u:object_r:memcached_exec_t:s0
/etc/rc\.d/init\.d/memcached                       regular file       system_u:object_r:memcached_initrc_exec_t:s0

$ ls -ldZ /var/run/ipa_memcached/; ls -lZ /var/run/ipa_memcached/
drwx------. apache apache system_u:object_r:memcached_var_run_t:s0 /var/run/ipa_memcached/
srwx------. apache apache system_u:object_r:memcached_var_run_t:s0 ipa_memcached
-rw-r--r--. apache apache system_u:object_r:memcached_var_run_t:s0 ipa_memcached.pid

$ sudo -u apache id -Z
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

$ ps auxZ | grep http
system_u:system_r:httpd_t:s0    apache   12321  0.0  6.6 674224 124860 ?       Sl   19:07   0:06 (wsgi:ipa)      -DFOREGROUND
system_u:system_r:httpd_t:s0    apache   12322  0.0  1.3 324060 26040 ?        S    19:07   0:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0    kdcproxy 12319  0.0  1.2 628032 23604 ?        Sl   19:07   0:00 (wsgi:kdcproxy) -DFOREGROUND
system_u:system_r:httpd_t:s0    kdcproxy 12320  0.0  1.2 628032 23604 ?        Sl   19:07   0:00 (wsgi:kdcproxy) -DFOREGROUND
system_u:system_r:httpd_t:s0    root     12314  0.0  1.3 298704 24652 ?        Ss   19:07   0:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0    root     12318  0.0  0.5  53880 11096 ?        S    19:07   0:00 /usr/libexec/nss_pcache 4423694 off /etc/httpd/alias
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 root 17615 0.0  0.0 112648 972 pts/0 R+ 21:11   0:00 grep --color=auto http

$ find /var/run/ipa* | xargs getfacl
getfacl: Removing leading '/' from absolute path names
# file: var/run/ipa
# owner: root
# group: root
user::rwx
group::---
other::---

# file: var/run/ipa/services.list
# owner: root
# group: root
user::rw-
group::r--
other::r--

# file: var/run/ipa/renewal.lock
# owner: root
# group: root
user::rw-
group::---
other::---

# file: var/run/ipa_memcached
# owner: apache
# group: apache
user::rwx
group::---
other::---

# file: var/run/ipa_memcached/ipa_memcached.pid
# owner: apache
# group: apache
user::rw-
group::r--
other::r--

# file: var/run/ipa_memcached/ipa_memcached
# owner: apache
# group: apache
user::rwx
group::---
other::---

编辑发现问题

audit2why向我展示了真正导致我的问题的原因

grep jsilverman /var/log/audit/audit.log* | grep denied| audit2why
...
/var/log/audit/audit.log.1:type=AVC msg=audit(1471293346.098:440365): avc:  denied  { create } for  pid=13668 comm="httpd" name="krbcc_A_jsilverman" scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:memcached_var_run_t:s0 tclass=file

Was caused by:
The boolean httpd_manage_ipa was set incorrectly.
Description:
Allow httpd to manage ipa

Allow access by executing:
# setsebool -P httpd_manage_ipa 1
... (and more, similar messages) ...

这导致比较 selinux 设置

服务器 A

$ getsebool  -a| grep httpd_manage_ipa
httpd_manage_ipa --> off 

服务器 B

$ getsebool  -a| grep httpd_manage
httpd_manage_ipa --> on

现在，这怎么可能发生？另外，如何从 B->A 克隆 ​​selinux 设置？

我到处搜索，但找不到明确的答案：是否有在 T2.medium 上运行的官方 Ubuntu 14.04 AMI for HVM？（或 T2.any，实际上）

看起来答案是“不”。

所以推论的问题是：为什么不呢？为什么 Canonical 限制 Ubuntu 在 T2.medium 上运行？

最后一个推论问题：我找到了一个在 T2.medium 上运行的社区 AMI。这是我唯一的选择吗？社区 AMI 与官方 AMI 有何不同？

编辑

我仍然得到我所描述的经验，但它是不一致和错误的。我在此处添加详细信息，以防对其他人有所帮助。我截了一些截图。

1. 通过 EC2 Web UI 启动，T2.MEDIUM 和许多其他实例大小显示为灰色。我通过 EC2->Instances->Launch Instance (button)->Search for "ubuntu"->Choose "Ubuntu Server 14.04 LTS (HVM)" 到达这里

2. 从 Ubuntu 云映像目录 ( https://cloud-images.ubuntu.com/locator/ ) 启动，我可以通过浏览目录并单击链接到 AWS EC2 启动实例向导的 AMI ID 本身来选择相同的 AMI ID .

注意：两个 URL 中的 AMI ID 相同！

服务器：Ubuntu 14.04 上的 OpenVPN 2.3.8

如何在设定的时间后强制会话断开连接？

我希望 VPN 会话持续不超过 24 小时。目前，客户端似乎能够无限期地保持连接。

我查看了--inactive参数，这与我想要的非常接近，但我也想在 24 小时后强制断开连接。即 VPN 会话不应持续超过 24 小时。

编辑OpenVPN 终止脚本

我创建了一个脚本来执行此操作；它以每小时一次的 cron 作业运行。我已经在 Github 上发布了它：https ://github.com/poolpog/kill-openvpn-clients

这适用于 Ubuntu 14.04 和 Centos 7。

我需要限制以 root 身份运行的用户数量。即在 CLI 上以 root 身份登录。

基本上，我一次只希望一个用户能够以 root 身份运行命令。这里的目的是审计。

我查看了 /etc/security/limits.conf 中的设置限制，但 pam_limits.so 模块似乎只影响登录。或登录shell。没有把握。但无论具体如何，它确实会阻止用户多次通过 SSH 连接到一个盒子，但不会阻止多个用户通过“sudo su”成为 root。因此，设置limits.conf 仍然可以允许多个用户一次以root 身份登录。

这是我尝试的限制这一点的limits.conf行：

root            hard    maxlogins            1

接下来我尝试限制@admins 组中的用户。我认为这些用户是唯一允许 sudo su 到 root 的用户（基于我们现有的自定义 sudo 规则）。

@admins            hard    maxlogins            1

这似乎做了我想要的，但似乎笨重/错误。称之为直觉——我不太了解我认为这个错误的地方。

最后，“为什么？”。为什么我有这个要求？

我们正在尝试实施控制以满足 PCI-DSS 3.1 要求 8.5“不要使用组、共享或通用 ID、密码或其他身份验证方法”——强调“共享”。在 Windows 环境中，您只需授予用户执行任何操作的权限，并且没有人共享主管理员帐户。Linux 环境的设计使得在某些情况下，您确实希望以 root 身份登录。在 Linux 环境中必须有一种符合 PCI 的方法来解决这个问题。

简单地说：我想确保我的身份验证路径沿整个路径加密。

（例如，从笔记本电脑->SSH 主机加密；从 SSH 主机->身份验证服务器；以及从 SSH 主机->其他主机）

我在跑步

• Centos 7 上的 FreeIPA 作为中央身份验证服务器。
• 运行 freeipa-client Ubuntu 软件包 3.3.4-0ubuntu3.1 的 Ubuntu 14.04 客户端

这被配置为使用 Kerberos 票证对我们环境中的服务器进行身份验证，一旦连接到登录服务器。即从登录服务器到环境中其他服务器的SSH。

登录服务器是我最不确定的组件。它的配置如下：

[domain/mydom.example.com]

cache_credentials = True
krb5_store_password_if_offline = True
krb5_realm = MYDOM.EXAMPLE.COM
ipa_domain = mydom.example.com
id_provider = ipa
auth_provider = ipa
access_provider = ipa
ipa_hostname = loginhost.mydom.example.com
chpass_provider = ipa
ipa_server = _srv_, ipaserver.mydom.example.com
ldap_tls_cacert = /etc/ipa/ca.crt
[sssd]
services = nss, pam, ssh, sudo
config_file_version = 2

domains = mydom.example.com
[nss]

[pam]

[sudo]

[autofs]

[ssh]

[pac]

我认为这是不支持或不可能的，但也许有人欺骗了 EC2 这样做。

我有一组为我的任务适当配置的 10 个实例。

我想使用自动缩放自动打开/关闭它们。与从 AMI 启动新实例相反。我还希望实例永远不会被终止，而只是被关闭。

这在 EC2 中甚至可能吗？

我正在尝试将 Zenoss 4.2.X 配置为在登录表单中使用启用 SSL 的 URL。

我有 nginx 作为 SSL 反向代理向 Zenoss 发送请求，监听端口 8080。这有效。

但是，登录表单使用“ http://10.1.2.3:8080/zport/acl_users/cookieAuthHelper/login ”作为 POST 操作。这是一个非首发！

我需要将 Zenoss 配置为在登录表单的 POST 操作字段中使用不同的 URL。我搜索了互联网和 Zenoss 文档无济于事。我找到的最接近的答案没有显示这个问题。

我尝试了以下方法：

• 在 ZENHOME/etc/zope.conf 中设置<cgi-environment>如下：

  <cgi-environment>
      HTTPS ON
      HTTPS_PORT 443
  </cgi-environment>
  

  但这会导致https://10.1.2.3/....不正确的 302 重定向。SSL 仅在 nginx 代理上。

• 我尝试server_name在nginx中设置为fqdn，但登录表单中的URL仍然是http://10.1.2.3/...值

基本上，我只是在寻找一种让后端 SSL 反向代理保持不变的方法，但 UI 仅被重写以将“应用程序 URL”更改为 https:// 版本。

在许多 LAMP 应用程序中，都有一个配置指令来设置应用程序 URL。（例如 Moodle、Drupal、Worpress）。Zope有类似的东西吗？

使用 aws-cli 客户端 ( https://github.com/aws/aws-cli )，有没有办法使用日期范围过滤器查找实例？或者使用“早于 X 日期”或“最后 X 天”过滤器？

似乎唯一与日期相关的过滤器是指定确切的日期或带有字符串通配符的部分日期。例如，我发现指定日期如下：

aws ec2 describe-instances --filters "Name=launch-time,Values=2015-03\*"

例如，所有实例都在 2015 年 3 月启动。

我想要的相当于这个 POSIX “查找”命令，“查找过去 30 天的所有内容”：

find . -mtime -30

在所有其他条件相同的情况下，如果使用更大的磁盘，存储阵列的 IOPS 性能将如何变化。

例如，采用具有 10 X 100GB 磁盘的阵列。

测量连续 256kb 块写入的 IOPS（或任何 IOPS 指标）

假设结果测量的 IOPS 为 1000 IOPS。

将阵列更改为具有 10 X 200GB 磁盘的阵列。使用相同的 RAID 配置、相同的块大小等进行格式化。

人们会期望 IOPS 保持不变、增加还是减少？这种变化会大致呈线性吗？即增加2X或减少2X（因为我已经将磁盘容量增加了2X）

用 10 X 50GB 磁盘重复这些问题。

编辑：更多上下文

这个问题是我的系统管理员团队之间的一次对话，他们并不精通所有的存储。（适用于存储的许多方面，但不适用于管理 SAN 的细节或其他）。我们收到一大堆新的 Netapp 托盘，它们的每个磁盘的磁盘容量比我们现有的托盘更高——容量翻倍。有人评论说，新托盘的 IOPS 会因为磁盘更大而更低。然后出现了一个汽车类比来解释这一点。这两条评论都没有让我满意，所以我想把它交给 The Team，即 Stack-Exchange-land。

汽车类比是关于两辆汽车，具有不同的加速度，相同的最高速度，并运行四分之一英里。然后将距离更改为半英里。实际上，我不记得确切的类比，但由于我在 interwebz 上找到了另一个类似的类比，我认为这可能是一个常见的 IOPS 类比。

在某些方面，这个问题的实际答案对我来说并不重要，因为我们没有使用这些信息来评估购买。但我们确实需要评估将托盘连接到现有头部的最佳方式，以及划分骨料和体积的最佳方式。

我正在寻找一个难以搜索的简单问题的简单答案。

memcache 是否支持清除键的子集？还是清除调用总是会刷新整个缓存？

更具体地说，PHP 的 memcached（最后是“d”）客户端是否支持这个？（与 PHP 的 memcache 客户端相比，它不需要）它是否需要在服务器上支持这个？

我们有一个多租户服务，它为所有租户使用单个内存缓存服务器。为此，我们为键加上唯一的租户标识符。我们希望能够为每个租户刷新键，但看起来 memcache 的清除只支持清除整个缓存。