顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


文章 - argus

頁: [1]
1
最後我實在受不了了
預備把這部分外包
您有興趣嗎
請留下MSN

所有有興趣的人也可以跟我連絡
我的MSN
service@24cc.cc

引述: "wisely"
1.差不多, 更精確的說法是假如Intranet是192.168.1.0/24, 那DMZ2可以設為192.168.2.0/24, 而且與防火牆連結Intranet使用的network interface不一樣.
5.許多DB Security問題來自於前端介面, 以此例來說就是Web Service. 因為DB保護的再好, 如果前端程式設計有疏失, 也是沒有意義的, 因為在DB的角度看來, 同樣都是合法的帳號及密碼登入存取資料. 這部分涉及Web AP Development, 如果你不具備網頁程式開發經驗(例如ASP/PHP/JSP/CGI), 不清楚這部分是很正常的, 可以找你們單位負責這部分的同仁討論一下.
6.沒錯, Apache/Tomcat等AP的安全性要注意, 還有像是作業系統(Linux)安全性, 密碼強固性等等, 都必須兼顧, 作業系統不安全, 也是很難繼續維護DB安全性的(連sa password都能改了...).
8.ccc...有案子要做嗎??:P

引述: "argus"
1.您說的DMZ2 是說假如內部網路是192.168.1.x  ,然後設個192.168.2.xxxx是這樣?
2.這個我門有規劃了,只有一個人可以寫入
3.這個有想到
4.這個也有考慮到
5.這個聽不太懂,可以解釋一下嗎
6.您是說例如apache有漏洞這樣???
7.這倒不會,主要還是內部的DB有重要,但是DB外面的人不能查
8.請留下MSN............
引述: "wisely"
原有設計在個人感覺上的確不"夠"安全, 當然這要看你們的需求而定, 一點建議, 請參考.



先決條件:
1.Web Server/Service必須提供
2.DB data不能洩漏, 不能被竄改, 不能資料遺失 (CIA)
3.Web Service必須能存取DB

幾項建議:
1.DB不要放在內部網路, 可以的話, 獨立一個網段, 也就是設個DMZ2, 與Web Server, Intranet都區隔開, Intranet實在不安全, 要知道有多不安全, 可以問Birdman...XD
2.DB本身規劃不清楚, 不知道所有Data都在一個DB內還是分別有多個不同的資料庫. 建議針對DB Users分別設定權限, 採"least priviledge"方式, 只能讀取就不要有寫入權限, 不該讀取就不要給讀取權限, 不應該存在的使用者就不應該存在, 然後每個使用者採取強密碼保護.
3.DB system administrator的密碼記得不要用default password.
4.DB定期備份, 同時針對對安全的需求程度考量異地備份, 異地備援, 並設計回復計劃定期測試回復流程.
5.Web Service進行code review或penetration test, 確認網站程式設計有無漏洞, 例如SQL Injection, Cross-Site scripting這些常見的問題.
6.Web Server本身系統安全性, 作業系統安全性一樣要注意, 這方面不詳述. web server本身啟動iptables跟啟動tcpwrapper也差不多, 使用了並不能因此增加多少安全性.
7.Web Service如果要跟使用者傳輸比較"敏感"或機密的資料, 建議使用SSL tunnel保護.
8.如果還是有太多疑問不清楚, 建議可以尋求外部專家協助, 有興趣可以跟我聯繫...:P
:P  :P  :P  :P  :P

2
您給我的這一篇
很複雜....有點看不懂
我只是要設主機上面的防火牆
這樣哪裡設的不好
可以指教我嗎
謝謝
引述: "kenduest"
引述: "argus"
這是我朋友給我的
不知道這樣設對嗎??


/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp ! --syn --sport 1:1023 --dport 1024:65535 -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -j ACCEPT
/sbin/iptables -A INPUT -s 127.0.0.1 -j ACCEPT
/sbin/iptbales -A INPUT -s 59.120.172.174 -j ACCEPT
/sbin/service iptables save

謝謝各位大大喲!!!


不對,應該說是這樣設定實在不好。

http://phorum.study-area.org/viewtopic.php?t=28959

==

3
這是我朋友給我的
不知道這樣設對嗎??
我提供了web,sendmail,java,webmin.ssh,ftp的服務



/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 10000 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 111 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
/sbin/iptables -A INPUT -p tcp ! --syn --sport 1:1023 --dport 1024:65535 -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -j ACCEPT
/sbin/iptables -A INPUT -s 127.0.0.1 -j ACCEPT
/sbin/iptbales -A INPUT -s 59.120.172.174 -j ACCEPT
/sbin/service iptables save

謝謝各位大大喲!!!

4
http://blackholes.us/

我是被這個封鎖了
它上面說整個台灣的IP都被封了
我該怎麼辦呀

救命!!!!!!!!!!!!!!!

5
Linux 討論版 / 在FC4上使用Backspace鍵的問題
« 於: 2005-06-19 16:42 »
請問FC4有啥特別的嗎????

6
1.您說的DMZ2 是說假如內部網路是192.168.1.x  ,然後設個192.168.2.xxxx是這樣?
2.這個我門有規劃了,只有一個人可以寫入
3.這個有想到
4.這個也有考慮到
5.這個聽不太懂,可以解釋一下嗎
6.您是說例如apache有漏洞這樣???
7.這倒不會,主要還是內部的DB有重要,但是DB外面的人不能查
8.請留下MSN............
引述: "wisely"
原有設計在個人感覺上的確不"夠"安全, 當然這要看你們的需求而定, 一點建議, 請參考.



先決條件:
1.Web Server/Service必須提供
2.DB data不能洩漏, 不能被竄改, 不能資料遺失 (CIA)
3.Web Service必須能存取DB

幾項建議:
1.DB不要放在內部網路, 可以的話, 獨立一個網段, 也就是設個DMZ2, 與Web Server, Intranet都區隔開, Intranet實在不安全, 要知道有多不安全, 可以問Birdman...XD
2.DB本身規劃不清楚, 不知道所有Data都在一個DB內還是分別有多個不同的資料庫. 建議針對DB Users分別設定權限, 採"least priviledge"方式, 只能讀取就不要有寫入權限, 不該讀取就不要給讀取權限, 不應該存在的使用者就不應該存在, 然後每個使用者採取強密碼保護.
3.DB system administrator的密碼記得不要用default password.
4.DB定期備份, 同時針對對安全的需求程度考量異地備份, 異地備援, 並設計回復計劃定期測試回復流程.
5.Web Service進行code review或penetration test, 確認網站程式設計有無漏洞, 例如SQL Injection, Cross-Site scripting這些常見的問題.
6.Web Server本身系統安全性, 作業系統安全性一樣要注意, 這方面不詳述. web server本身啟動iptables跟啟動tcpwrapper也差不多, 使用了並不能因此增加多少安全性.
7.Web Service如果要跟使用者傳輸比較"敏感"或機密的資料, 建議使用SSL tunnel保護.
8.如果還是有太多疑問不清楚, 建議可以尋求外部專家協助, 有興趣可以跟我聯繫...:P

7
所以報表有點問題
想要把資料砍掉重新輸出報表
請問是不是把maillog這個檔砍掉就可以
還是要怎麼做呢


謝謝喲

8
http://aw.hi29.net/awstats.pl?config=mail

請大家幫我看看
好怪喲
那個發信人和收信人的E-mail格式不對

怎麼會@後面 固定有個bsobs.net  真怪

9
那該怎麼辦呢??
救命呀!!!
快被罵死了!!!

引述: "calvinchiou"
引述: "jarrycho"
這問題我有遇到,自從upgrade 到 ailscanner 3.8X 版後,就出現這問題了,講真的,我也不太確定是否為這 mailscanner 的問題,因為這狀況出現的不多,後續我再upgrade 至3.9X 版後,這問題就更少了,一天可能才出現一封,不過這也不光是mailscanner 的問題,也跟user 使用何種郵件軟體有關係,就是「語系」的問題,outlook 裡看一下就知道了,如果還有spamassassin 的話,語系設定也指定一下好了!


我的mailscanner 是4.40.11-1版本的比你的3.9x還新,還是有這個問題...

10
不好意思
實在是煩惱到快要抓狂了
抱歉!!!
還是在煩惱中!!!
引述: "coffeefish"
引述: "argus"
1.當然必要
不然我就把DB server放在內部網路就好了
也就不會那麼多擔心了
2. 這好像跟沒說差不多!!!
引述: "coffeefish"
1﹑Web Server存取後端DB是否為必要?如果必要那就沒有選擇餘地非做不可。
2﹑Web Server取後端DB的方法很多,您可以請教一下DB廠商,我想這樣就可以解決。
3 ﹑您是MIS人員,不管怎樣出了事您都必須要負起責任。
4﹑您可以請教專業的資安廠商,選擇符合貴公司的需求。至於股東能否接受,端賴於您的溝通能力。畢竟MIS人員除了技術部分,還有一大部分是『溝通協調』。加油!

不好意思!寫了一些您認為沒有作用的廢話!
我不是貴公司的資訊部門員工,所以我不清楚貴公司的系統架構以及需求,
僅能以您所提出的問題給予我的經驗(顯然不足以有可取的地方)。
但您知道以WEB SERVER讀取DB資料有哪些嗎?
我可以在DMZ裡裝一台DB SERVER作單向的replication嗎?
讓WEB SERVER不直接ACCESS後台主DB SERVER?
但是,不說清楚貴公司的DB是哪一種如何給您建議,那效能的考慮??USER的忍受程度??所有的東西似乎不是三言二語就可以解決的!
這是您作為貴公司MIS人員所必須要瞭解的地方。
最後還是要說聲『不好意思』沒能提供您所需要的資訊,我以為透過討論可以增長見聞、吸收別人的經驗。顯然.........

11
您講的非常正確
不過有這麼扯的嗎??
DB 沒有設密碼?
引述: "Birdman"
若真的有web程式需要跟後端DB撈資料的需求
在資源允許下,也可以讓後端DB主動餵資料(抄寫)部分網頁需要的資料
給DMZ的DB,當然這台DMZ的DB只給web程式使用
至少,當這台DMZ的DB資料不慎被改變時,會被後端餵上來的資料覆蓋
不過,這要考慮到網頁資料的抄寫的時間差,是否符合 貴公司要求的即時性
當然,web上的程式安全性一定要好好的注意,DB欄位也可以加入一些檢查等等

還有上述其他大大的建議,firewall的rule、架構上的問題,種種的小細節都要注意,防火牆也只是您case裡的一項工具,您可要好好的計畫,我們看過很多很嚴密的防護措施,但是DB的sa或root沒設密碼.........@@"..

風險沒有等於零,只有高或低,誰都沒有把握說出沒有風險的話,若有.....
那就代表全部是風險(因為完全沒有概念及基本認知),當然,我們要盡量降低風險,但花時間去證明,去拍胸口保證不會被入侵,還不如反過來思考,當這些防線被突破,可以用什麼樣的機制來因應,來回復運作,搞不好還更實際一點

12
1.當然必要
不然我就把DB server放在內部網路就好了
也就不會那麼多擔心了
2. 這好像跟沒說差不多!!!
引述: "coffeefish"
1﹑Web Server存取後端DB是否為必要?如果必要那就沒有選擇餘地非做不可。
2﹑Web Server取後端DB的方法很多,您可以請教一下DB廠商,我想這樣就可以解決。
3 ﹑您是MIS人員,不管怎樣出了事您都必須要負起責任。
4﹑您可以請教專業的資安廠商,選擇符合貴公司的需求。至於股東能否接受,端賴於您的溝通能力。畢竟MIS人員除了技術部分,還有一大部分是『溝通協調』。加油!

13
我不算是專家了
只是稍微懂一點

公司是大家的,股東當然會有意見
盡量讓大家滿意
比較不會有爭執啦


引述: "netman"
呵... 你是專家啊... 怎會聽股東說的才能決定安全否?

全世界沒人何人可跟別人做安全保證! 杜雷斯也不敢!  ^_^
就算你再弄更多的方案, 他還是可問你同樣的問題啊...
但出問題, 你當然要負責, 但得找出原因才能釐清歸屬.
至於原因如何解釋, 我相信你自己會想法子的了...

14
我也知道我說不清楚
就是因為不太會表達
所以才會沒有辦法說服股東

不相信iptables  ,哪請問有哪各更好呢
因為我懂的不多..........


我這一台只有WEB 80 port,其他的服務在ISP 機房主機

我現在的架構就是公司內部網路(資料庫也在裡面)

然後外部網路有一台WEB SERVER上面弄客IPTABLES
然後這WEB SERVER只能往資料庫丟資料和查詢

這樣說不知道您能聽的懂嗎
不好意思



引述: "梁楓"
安不安全,你現在講的太模糊...
不要太相信 iptables... 現在的世界裡,是根本沒有防火牆的
在現在的網路環境裡,百分之八十的攻擊來自於你不能設防的服務
比如web,email甚至dns

防火牆只是一隻看門狗,一但放行,就不能在給於限制

所以安不安全是要看你整體的架構的
如果你有心的話,就把你現在的架構劃出來給大家看看?

15
資料庫上只能允許公司"內部"同仁"查詢" 而已

因為有弄個網站
她們怕駭客從外部進來把資料庫的資料偷走啦

引述: "coffeefish"
資料庫上的user權限要做一個規劃,不需要寫入,刪除權限的就拿掉!應該就會安全一點!只是不知道貴公司的股東們是擔心哪個部分的!問一下會比較清楚!

16
我說出來
大家一定會笑我的

股東說你可以保證出了事你負責嗎

說這樣的簡單架quote="netman"]

引述: "netman"
能請問一下, 股東認為"如何"個危險法呢?
說來聽聽? 才能對症下藥啊...

17
跟VPN有關係嗎??

引述: "u8526425"
那弄個vpn如何 ?

18
既然是網站怎麼可能限制特定user呢?????
拔掉網路線??
把電腦也砸了如何???

引述: "mandel"
限制使用,只允許特定的user,特定的ip才能使用
如果還不行,那就用鎖國理論--把網路線拔了,這樣就「不危險」 :D

19
是這樣的!!!
小弟的公司最近要弄個防火牆

我規劃的架構大概是這樣的
請大家給我點指教

公司有一台"重要的資料庫"(真的很重要)
我把它放在網路內部
然後呢
WEB SERVER 放在 DMZ
然後在WEB SERVER這一台同時弄iptables
只開port 80
因為其他的服務放在機房的server

但是公司的股東們還是認為這樣"太危險"
請問一下
大家能給我更好的建議
或者這樣的規劃有問題嗎

20
我也想上

請問如果沒有時間上
可以花錢買講義嗎

謝謝

21
您這篇到最後的地方
有特別註明如果是sendmail就不知道了
那請問一下
到底sendmail可以??
感恩!!!
引述: "SaPow"
請參考

http://phorum.study-area.org/viewtopic.php?t=25542

看能不能解決你的問題

22
我要啟動的時候就出現
Can't locate Archive/Zip.pm in @INC (@INC contains: /usr/lib/MailScanner /usr/lib/perl5/5.6.1/i386-linux /usr/lib/perl5/5.6.1 /usr/lib/perl5/site_perl/5.6.1/i386-linux /usr/lib/perl5/site_perl/5.6.1 /usr/lib/perl5/site_perl/5.6.0/i386-linux /usr/lib/perl5/site_perl/5.6.0 /usr/lib/perl5/site_perl /usr/lib/perl5/vendor_perl/5.6.1/i386-linux /usr/lib/perl5/vendor_perl/5.6.1 /usr/lib/perl5/vendor_perl . /usr/lib/MailScanner) at /usr/lib/MailScanner/MailScanner/Message.pm line 47.
BEGIN failed--compilation aborted at /usr/lib/MailScanner/MailScanner/Message.pm line 47.
Compilation failed in require at /usr/sbin/MailScanner line 74.
BEGIN failed--compilation aborted at /usr/sbin/MailScanner line 74.



更怪的是我有先在別台不重要的練習過
都可以用
但是這一台卻不行
裝的過程中很怪
路進好像怪怪
惠一直說Missing file
可是明明就有
請救救我
引述: "atoo"
引述: "atoo"

弟的問題和你一模一樣,正在努力研究中
如果你有解答,記得來分享一下吧,謝謝


OK了
心得如下
如果./install.sh後,MailScanner不能用時,那就不要./install.sh了
把 剛才由 ./install.sh所安裝的RPM給 remove --nodeps掉(我不確定需要需要這一動)
然後把MailScanner套件所附的source RPM在自己機器build一次
build的時候可能會發生有套件無法build的情形,請自己去網路抓這套件回來裝
安裝其它套件時可能會發生conflict with perl 5.8.0 XXX的情形,那這套件就不用再裝了也沒關係
全都裝好後,再來裝mailscanner rpm
如果它要求dependence的套件時,自己再去網路上找來補上
再試一次...應該就成功了

ps.mailscanner tarball裏自行附了一個RPM叫 tnef , 這個直接裝即可

23
我照著步驟做完了
哪請問依下
怎麼知道我正確呢
引述: "sakana"
Sendmail 的防毒機制
可以使用 Mailsacnner + Clam Antivirus 來做具防毒功能的伺服器

建置環境
O/S: Redhat 9.0
Mail server: Sendmail
使用套件: clamav-0.65-1.1.i386.rpm
clamav-db-0.65-1.1.i386.rpm
MailScanner-4.30.3-2.rpm.tar.gz


1.取得MailScanner

http://www.sng.ecs.soton.ac.uk/mailscanner/

點選Download 選取您的版本並儲存

2.解壓縮檔案 小弟抓的是4.30.3-2版

#tar zxvf MailScanner-4.30.3-2.rpm.tar.gz

3.安裝MailScanner
#cd MailScanner-4.30.3-2
#./Update-MakeMaker.sh
#./install.sh

完成MailScanner 的安裝

4.取得防毒軟體 Clam AntiVirus
由rpmfind.org 下載 clamav套件
關鍵字 clamav and clamav-db

下載: http://rpmfind.net/

5.安裝clamav套件

#rpm -ivh clamav-db-0.65-1.1.i386.rpm
#rpm -ivh clamav-0.65-1.1.i386.rpm

6.修改Mail Scanner 設定讓Mail Scanner 和 Clam Anti Virus結合

#vi /etc/MailScanner
#vi MailScanner.conf

找尋 Virus Scanner = none
改成 Virus Scanner = clamav
儲存後離開 (:wq)

7.讓MailScanner 接手Sendmail的工作啟動防毒機制

#service sendmail stop
#chkconfig sendmail off
#chkconfig --level 2345 MailScanner on
#service MailScanner start

8.建立一個clam uptedate的log以查詢升級狀況
#touch /var/log/clam-update.log
#chmod 600 /var/log/clam-update.log
#chown clamav /var/log/clam-update.log

9.測試升級clamav 並寫入到log

#freshclam -d -c 6 -l /var/log/clam-update.log

10.將自動升級clam寫入crontab中
#crontab -e
0 * * * * /usr/bin/freshclam --quiet -l /var/log/clam-update.log

大功告成啦

24
工作機會 / 我的藥局需要一位正職員工
« 於: 2004-08-07 17:48 »
没人對這份工作有興趣嗎

25
工作機會 / 我的藥局需要一位正職員工
« 於: 2004-06-06 14:47 »
30歲以下女性
高中畢業可

工作性質是擔任藥師的助手!!!
地點在信義路六段

意者0968235538高藥師!!

26
我想學這個方法來搜尋我自己網站的東西

不過好像不太好用喲

27
我也覺得這個程式太棒了
棒呆了

28
Study-Area 公開討論版 / 這各站真是太棒了
« 於: 2002-11-30 11:34 »
我非常喜歡這各站
得到很多新知識

頁: [1]