Вопросы Теги

fail2ban для apache2, кажется, не работает

Централизованные учетные записи

Централизованное ведение счетов было бы первым шагом для движения для. Одно место для учетных данных и одно место только - или по крайней мере только одна основная запись, копируемая в другие системы, таким образом, существует только одно место для создания изменений включая отключение учетных записей.

Стандартная программа для следования, когда кто-то оставляет потребности, которые будут помещены на месте. Это может быть очень ручным для начала, но все еще должно быть записано и затем придерживалось всюду по всей компании.

Владельцы System

Кто бы ни ответственен за определенную систему, и все системы должны иметь владельца и администратора, должен придерживаться предписания, например, когда кто-то уезжает, и сделайте необходимую очистку если любой в их системе (системах).

Никакие общие учетные записи

Я просто запретил бы совместно использованные учетные записи - все должно быть персональным включая логины маршрутизатора/переключателя и другие устройства, где люди по некоторым причинам не думают, что это возможно. Это, всегда.

Рандомизируйте или удалите локальные административные пароли учетной записи для компьютеров, не используйте их ни для чего.

Ресурс/сервисные учетные записи должен быть повторно создан, когда изменения необходимы или обновляют до систем, которые могут управлять паролями сервисной учетной записи автоматически в фоновом режиме (например, использующий Windows 2008 R2 для систем Windows). Если бы зависимость не может быть найдена, я возложил бы ответственность за нее на отсутствие документации или системы, которая принимает слишком много oldschool, думающий как пароли жесткого кодирования в сценариях. Выбросьте те решения быстро.


Да, это могло бы быть твердо или невозможно сделать, но всегда бороться к Утопии - быть промежуточным там, все уже приплывает намного более гладкий ^^

Существует много понятий и программных продуктов вокруг управления жизненным циклом Идентификационных данных, которое многие компании обеспечивают - включенная Microsoft. Но поскольку 50 человек больше всего были бы политиками на бумаге imo, и строгий прагматический подход к IT-системам - сокращают количество систем, придерживаются DRY (не Повторяйте Себя), принцип и только покупает системы, которые интегрируются хорошо с существующей платформой (платформами).

2
задан 17 December 2010 в 18:24
2 ответа

Я думаю, что вторая строка в апаче-noscript.conf уничтожает первого.

Попробуйте это:

failregex = [[]client <HOST>[]] (File does not exist|script not found or unable to stat): .*
            [[]client <HOST>[]] script '.*' not found or unable to stat
2
ответ дан 3 December 2019 в 12:14

Если нет значение по умолчанию action Я отсутствую, Вы имеете нет action строка. Здесь является моим (который работает):

[apache-noscript]

enabled  = true
filter   = apache-noscript
action   = iptables-multiport[name=NoScript, port="http,https"]
logpath  = /usr/local/www/sites/*/logs/*_error_log
bantime  = 172800
maxretry = 5

Я упростил соответствие regex до 1 строки:

failregex = [[]client <HOST>[]] (File does not exist|script not found or unable to stat)

Делает iptables -L -v -n по крайней мере, покажите, что цепочки правильно настраиваются?

0
ответ дан 3 December 2019 в 12:14

Теги

Похожие вопросы