我们正在考虑改变的安全流程之一是我们允许用户访问我们服务器的方式。我们有大约 20 台 Web 服务器,其中唯一的访问权限是 SSH,目前我们使用密码身份验证。随着基于密钥的身份验证更加安全,我必须考虑如何最好地管理这个过程。
如果我们有 8 个远程用户都使用不同的机器,我们如何控制密钥身份验证,因为这些机器中的每一个都需要服务器的密钥。管理是在客户端级别还是服务器级别完成的?当用户更换笔记本电脑或尝试从不同的机器/位置远程访问时会发生什么?
除此之外,我们正在研究:
更改 SSH 端口 我们已经禁用了 root 查看使用 PAM 白名单 IP 进行服务器访问的 google-authenticator?用于服务器跳跃的安全 SSH 服务器?
还有什么遗漏的吗?
我试图想出在 Linux VM 上创建一个超过 2TB 的逻辑卷的最佳方法。我需要制作一个 8TB 的逻辑卷,并且可以在我的 SAN 上访问这个数量。
我知道每个 VMDK 文件有 2TB 的限制,但想知道实现此目标的最佳方法是什么?
我知道我可以在更多虚拟环境中安装所有驱动器,但我需要将其作为一个数据存储显示在 linux 中。有没有一种方法可以使用 LVM 组合多个 VMDK 文件以显示为一个数据存储?
提前致谢
我正在尝试找出每周四凌晨 3 点运行无人值守升级的最佳方法,但只能看到每周运行一次的方法,但看不到给定时间。
我想到的一种方法是在星期四凌晨 3 点有一个由 cron 调用的脚本
以下脚本仅适用于安全更新
#!/bin/sh
sh -c 'grep precise-security /etc/apt/sources.list > /etc/apt/secsrc.list'
sh -c 'apt-get -o Dir::Etc::sourcelist="secsrc.list" \
-o Dir::Etc::sourceparts="-" update && \
apt-get --assume-yes upgrade'
对另一种方式有什么想法吗?
我们定期为不同地点的客户设置小型网络,以允许他们在不同的产品上工作,现在问题是什么应该是最佳安全实践。
目前我们有一个启用了 WPA2 的 wifi,大多数笔记本电脑都连接到这个,但有些会连接到连接到路由器的有线交换机。
我们正在考虑应该如何提高我们小型网络的安全性——我们在笔记本电脑上确实有安全措施,因此您可以通过一个简单的 Windows 用户帐户直接与其他人共享驱动器。
一些建议是:
我们有一个带有 ACL 控制和 mac 过滤的 LAN 交换机用于硬连线连接?
我们通过一个好的 Cisco 路由器让 acl 在 wifi 上工作?
所有机器上的 ipSec 策略?
IP过滤和固定IP?
我想人们担心任何人都可以插入交换机并访问网络。
概括:
保持一定程度的安全性,可以轻松复制到我们为客户所做的每个设置
这听起来像是一个不寻常的主题,但最近我在为我们的网络应用程序更改 DNS 服务器和某些名称服务器没有足够快地发布我们的域名方面遇到了重大问题。
所以我一直在考虑注册 DDNS 服务器并将我们所有的 IP/域放在那里,以便我们可以在需要时快速更改 - 好主意吗?
其次,他们是否需要或受益于创建我自己的动态名称服务器?如果需要,主要的好处是什么?
抱歉,如果这听起来像是一个悬而未决的问题,但我对我们所有域的 DDNS 概念很感兴趣