chmeee's questions

尝试设置一个 linux 服务器来验证企业活动目录上的用户，我们遇到了一个问题。我们正在使用 SAMBA、winbind、krb5 和 PAM。

尝试从系统中列出用户时会出现问题。winbind 尝试在公司分支机构的所有受信任域中查找它们。由于无法从 linux 服务器访问它们，因此我们得到了超时。

我们如何告诉 samba 或 winbind 只查找父域中的用户而避免其余的？

我们希望用户来自company.com而不是来自branch1.comapny.com.

编辑：

SAMBA版本是RH4上的3.0.33。

我需要为客户查看 CheckPoint 防火墙的防火墙规则（有 200 多条规则）。

我过去曾使用FWDoc来提取规则并将它们转换为其他格式，但排除有一些错误。然后我手动分析它们以生成带有注释的规则的改进版本（通常在 OOo Calc 中）。

我知道有几种可视化技术，但它们都归结为分析流量，我想要静态分析。

所以我想知道，您遵循什么流程来分析防火墙规则？您使用什么工具（不仅用于 Checkpoint）？

出于信息泄露的原因，我被要求禁用对 Windows 机器上 USB 设备的访问。

虽然这可以通过 Active Directory 完成，但问题是该解决方案应该让我们在有限的授权期限内启用某些用户的访问权限。

如何使用 Active Directory 完成此操作（如果可能）？

如果没有，我可以使用哪个软件来做到这一点？

在虚拟化 Red Hat 服务器场中，出于安全原因，需要安装最小系统。最少安装有几个优点（甚至与安全无关）：

1. 更少的漏洞暴露（如果您不需要它，请不要安装它）
2. 更好的更新过程（更新的包更少，破坏系统的可能性更小）
3. 更好的性能（没有不需要的守护进程或进程）
4. 您拥有的软件越少，就越容易强化系统

不幸的是，这并不容易，因为 Red Hat 上的“最小安装”包含许多不必要的软件包。

由于场正在运行 Oracle iAS，因此还有一个额外的挑战。我被告知 iAS 依赖于本地图形环境。所以最后农场中的每台服务器都有 gnome、X 等。

我一直在网上搜索，一个解决方案似乎是制作一个仅安装必要软件包的 kickstart 脚本。但是我觉得这很困难，并且对之后如何维护系统依赖关系有几个疑问。

如何安装最小的 Red Hat 服务器？是否可以使用 kickstart 或者我在安装或更新中会遇到依赖问题？有什么方法可以避免为 iAS 安装图形环境？

由于需要集中日志，我们选择了 syslog 作为收集器，选择 Splunk（目前免费）作为分析工具，但始终存在哪些事件应该到达中央存储库以及来自哪些系统的问题。

从安全的角度来看，选择应该只处理那些感兴趣的日志。

您集中了哪些日志以及如何选择它们？

答案应说明设备、系统或软件的类型、日志/事件的类型以及选择它们的原因。

我们在我公司的安全小组中讨论了以下管理 SSL 私钥的选项中哪个更糟糕。

Web 服务器需要访问私钥以进行加密操作。应保护该文件免受未经授权的访问。同时，服务器应该自动启动，无需人工干预（如果足够安全的话）。

我们正在讨论三个选项：

1. 使用文件系统权限保护密钥。

2. 使用受密码保护的密钥并在每次重新启动时手动输入密钥。

3. 使用受密码保护的密钥并将密钥存储在文件系统中以自动重新启动。

我们的担忧如下：

1. 使用选项 1，重新启动是自动的，但妥协可能会复制私钥，并且由于不受保护，可用于解密通信或冒充我们的服务器。

2. 选项 2 似乎更安全，但它需要人工干预，如果它发生在非工作时间，系统管理员会担心。此外，密码应该与多个系统管理员共享，并且您知道共享的秘密不再是秘密。

3. 选项 3 具有前两个选项中最好的，但如果有人可以访问密钥，也可以访问密码:(，所以它看起来一点也不安全。

您如何管理服务器私钥的安全性？还有其他（更安全的）选项吗？