サーバー管理者

10

大量のスパムを受信しているクライアントがいます。月の15日で、POP3の帯域幅はほぼ100 GBです。このドメインには7つの電子メールアカウントしかありません。SpamAssassinをインストールして5に設定し、10〜20個のフィルターを設定してほとんどのジャンクを拒否しました。POP3帯域幅に大きな変化は見られません。間違っている場合、サーバーは帯域幅を使い切ってメッセージを受信し、分析してスパムスコアを決定します。気付かないうちに、MXレコードの偽造に出くわしました。基本的に、偽のサーバーを最低および最高のMXレコードとして設定し、作業サーバーのMXレコードを中央に設定します。例えば： fake.example.com 1 realmx.example.com 2 fake2.example.com 3 理論は、スパムの大半はWindowsベースのゾンビから生成され、通常はスパムをフィルタリングしないバックアップサーバーであるため、スパムに対する最高のMXレコードを照会するものが非常に多いためです。最も低い偽のMXレコードは、残りのスパマー向けです。一般的に、スパマーは失敗後に再試行しません。誰もこれを試しましたか？それは役立ちますか？メールの配信に遅延や問題が発生しますか？他の誰かがより良い解決策を持っていますか？

14 spam mx-record spamassassin

5

robots.txtでブロックするボットとスパイダーはどれですか？

のために：ウェブサイトのセキュリティを強化する帯域幅の要件を減らすメールアドレスの収集を防ぐ

14 performance security robots.txt

3

電子メールが転送されると、元のヘッダーが失われますか？

メールが転送されるときに元のヘッダーが失われるのではないかと思いますか？

14 email forwarding

4

特定のSSL証明書の下でWindowのSSL Cipher-Suiteが制限されるのはなぜですか？

問題：Windows Server 2008 R2は、サーバーで特定の証明書を使用する場合、次のSSL暗号スイートのみをサポートします。 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA XP Cryptographic APIはデフォルトではAES暗号をサポートしないため、これによりXPクライアントはサーバーに接続できなくなります。その結果、Internet Explorerまたはリモートデスクトップを使用して接続しようとすると、サーバーログに次のエラーが表示されます。（MicrosoftのCAPIを使用しているため） Schannelエラー36874「リモートクライアントアプリケーションからTLS 1.0接続を受信しましたが、クライアントでサポートされている暗号スイートの一部がサーバーでサポートされています。SSL接続要求は失敗しました。」 Schannelエラー36888「次の致命的なアラートが生成されました：40。内部エラー状態は1204です」

14 windows-server-2008-r2 ssl-certificate ssl

12

ブルートフォーシングに対するSSHサーバーの保護

私は小さなSVNサーバー、古いdell optiplexを実行しているdebianを持っています。私のサーバーにはそれほど高い要求はありません。それはほんの少しのSVNサーバーだからです... 私はサーバーをより新しくてより良いオプティプレックスに更新し、古いサーバーを少し調べ始めました。問題が発生してから削除しました。ログを確認すると、その総当たり攻撃と、何らかの形で誰かが私のマシンに入ることに成功しています。この人は、「ルート」と「スワップ1」などの2つのディレクトリを持つ「knarkgosse」と呼ばれる追加のボリュームを作成しました。彼らが何をして何をするのかはよくわからないが、これが二度と起こらないようにしたい。パスワードは数か月ごとに変更するため、パスワードは常にランダムな文字と数字で構成されているため、これは少し奇妙に感じます...総当たりするのは簡単ではありません。 rootのログインを防ぎ、sudoersを使用して、SSHポートを変更できることは知っていますが、他に何ができますか？そこで、いくつか質問があります。 X回の不正な試行の後、5分間ログインしないようにするにはどうすればよいですか。または、誤った試行ごとに試行を遅くしますか？サーバーが接続できるある種の中央ブラックリストはありますか？「安全でない」IPアドレスを追跡し、決してアクセスを許可しないブラックリスト？サーバーに安全性を適用するには、さらに何ができますか？先ほど言ったように、Apache（www-dataユーザーの問題？）、svn、mysql、php、phpmyadmin、hudsonでDebian 5を実行しています。80、443、8080、8180、23、および22でポート転送を行うホームネットワーク上にあります。

14 ssh security brute-force-attacks

4

Iptables-ブリッジとフォワードチェーン

br02つのインターフェイスを含むイーサネットブリッジをセットアップしeth0、tap0 brctl addbr br0 brctl addif eth0 brctl addif tap0 ifconfig eth0 0.0.0.0 promisc up ifconfig tap0 0.0.0.0 promisc up ifconfig br0 10.0.1.1 netmask 255.255.255.0 broadcast 10.0.1.255 私のデフォルトのFORWARDチェーンポリシーはDROP iptables -P FORWARD DROP 次のルールを追加しないと、トラフィックはブリッジを通過しません。 iptables -A FORWARD -p all -i br0 -j ACCEPT 私が理解してiptablesいる限りでは、IPレイヤーの責任のみです。 ebtables イーサネットブリッジでトラフィックをフィルタリングする必要があります。それでは、なぜiptableのFORWARDチェーンにACCEPTルールを追加する必要があるのですか？

14 linux ubuntu iptables bridge

2

Windows 7のライセンス認証：KMSとMAK

Windows 7のKMSとMAKのライセンスアクティベーションの違い（および長所と短所）は何ですか？

14 windows-7 activation kms

3

データベースの公開鍵を使用したOpenSSH

authorized_keysファイルの代わりにデータベースから公開鍵を取得することは可能ですか？このような設定を使用して、公開鍵が変更または追加されるたびにauthorized_keysファイルを再作成することなく、複数のユーザーのgitリポジトリなどへのsshアクセスを管理したいと思います。

14 database ssh public-key

4

独自のフル機能の認証局を設定するにはどうすればよいですか？

認証局を設定して、会社のすべてのブラウザーとシステムにインポートして、HTTPSまたはSSLを使用している場合のこれらの厄介なクライアント警告をすべて削除することができます。

14 linux security ssl-certificate openssl rsa

5

1文字のホスト名は有効ですか？

RFC-952（仮定の下のポイント1の最後の文）は単一文字のホスト名を禁止しており、いくつかのサービスが単一文字のホスト名で動作することを拒否する経験がありました（7年以上前の2002年）標準に準拠していません）が、過去数年間で多くの単一文字のホスト名が使用されているのを見てきました。現在、単一文字のホスト名は有効ですか？（もしそうなら、適切な検証リファレンスは何ですか？）編集（答えからいくつかの情報を統合する）：DNSのさまざまな側面を含むいくつかのRFCで定義されているように見える1035年、1123年、そして2181年。RFC-2181セクション11： Note however, that the various applications that make use of DNS data can have restrictions imposed on what particular values are acceptable in their environment. For example, that any binary label can have an MX record does not imply that any binary name can be used as the …

14 domain-name-system hostname rfc

5

InterixとCygwinの実際の違いは何ですか？

InterixとCygwinはどちらも、WindowsでUnixのようなユーザー環境を提供するようです。たとえば、次の点で、両者の実際の違いは何ですか？ Unixライクな「感触」性能インターネットからダウンロードしたランダムなソフトウェアをコンパイルする際のパッケージの可用性/容易さ Windowsアプリケーションおよびツールとの統合仮想マシンとの統合/互換性（たとえば、InterixとUbuntu仮想マシンが同じ「ホームディレクトリ」を共有することは可能ですか）ユーザーベースのサイズ/コミュニティサポートのレベル私が知っている1つの違いは、InterixにはWindows 7 EnterpriseまたはUltimateエディションが必要であることです。Cygwinは何でも動作します。

14 windows unix cygwin posix interix

6

Linux + Active Directory認証+特定のグループのみにログインを許可

Windows Active Directory認証を使用するLinuxボックスがいくつかありますが、これは正常に機能します（Samba + Winbind）。ただし、特定のユーザーまたは特定のグループのみがActive Directory資格情報を使用してログインすることを許可します。現在、有効なADアカウントを持っている人は誰でもログインできます。これをいくつかのグループのみに制限したいと思います。これは実行可能ですか？

14 linux active-directory samba ldap winbind

3

iptablesを介した帯域幅の調整

一部のISPが行うのと同様に、帯域幅の使用量を調整する必要があるため、数秒後に速度が低下します。

14 iptables traffic-shaping bandwidth-control

4

Microsoft BizTalkは実際に何に使用されますか？

開発者がクライアントの統合をテストするために、Microsoft BizTalkステージングサーバーをセットアップする仕事を与えられました。問題は、BizTalkが何であるか、何をするのか、何に使用するのかわからないことです。MicrosoftのWebサイトで私が読むことができるものはすべて、マーケティングに関する大げさで、多くの大きな企業用語（「BizTalkを使用すると、組織は異種システムをシームレスに統合し、ビジネスパートナーを接続できます」） BizTalkが実際に行っていることについてだれでも光を当てることができますか？私たちの開発者も、それと統合する必要があることだけを知りません！

14 biztalk

4

Linuxファイルサーバー上の新しいファイル/フォルダーに特定の権限を強制するにはどうすればよいですか？

Ubuntu 9.10（ファイルサーバー）のインストールとそのsambaパーミッションに問題があります。ログインと読み取りは正常に機能します。ただし、ユーザーが新しいディレクトリを作成すると、他のユーザーのアクセスが制限されます。たとえば、Bob（ドライブをマップするWindowsユーザー）がディレクトリにフォルダーを作成すると、Jane（単純にsmbマウントするMacユーザー）はそこから読み取りできますが、書き込みはできません（逆も同様です）。みんなが幸せになるためには、ディレクトリをCHMOD 777に移動しなければなりません。smb.confファイルの「create / directory mask」および「force」オプションを編集しようとしましたが、これは役に立たないようです。これは修正ではないと確信していますが、再帰的なchmodルーチンをCRONTABすることに頼っています。すべての新しいアイテムを常に777にするにはどうすればよいですか？この絶え間なく発生する状況を修正するための提案はありますか？ベスト

14 linux networking ubuntu file-sharing file-permissions