我知道,当Windowscaching用户证书时,一旦包含caching凭据的计算机受到攻击,恶意方有时可以使用这些机器访问其他机器,这种方法称为“传递散列”[1]。 由于这个原因,我想控制caching的内容,以减less恶意使用caching凭据的风险。 可以通过归零HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount来防止所有caching,但这太不分青红皂白:笔记本电脑用户需要能够远离networkinglogin。 我想要做的是防止某些用户,如pipe理员的凭据caching – 在Windows XP中有没有办法做到这一点? http://www.lbl.gov/cyber/systems/pass-the-hash.html
我们域中的所有计算机都运行Windows XP / Server 2003及更高版本(除了一个例外,Win2Ksp4服务器不是域控制器)。 我打算通过KB299656中指出的组策略来禁用LM散列,并且要确保不会有任何不可预见的问题或副作用。 有没有人有执行这个改变的经验? 有什么要注意的吗?
有没有人知道(简单)的方式来使用PBKDF2或BCrypt作为Apache HTTPD中的密码散列。 一般的情况是,我有一个/ private的资源,我想限制给一个给定的用户组。 这些用户将具有存储在数据库中的密码并使用mod_auth_dbd进行validation。 我想摆脱使用SSHA。 我可以在Apache apr-util中看到有一个函数apr_password_validate (它可以处理所有现在被apr_password_validate散列types); 而在apr_crypto_openssl.c中有crypto_passphrase ,这是PBKDF2的一个实现。 有没有人焊接在一起? (或者我错过了Apache文档中显而易见的东西?)
假设该文件是通过http下载的,这可能吗? 我猜可能有一些方法使用散列和时间戳做到这一点,但我不知道你怎么可以certificate没有被篡改包括下载的文件本身。 编辑:正如vonbrandbuild议,如果源网站提供了一个签名的证书这将是一个开始。 但是,如果网站没有提供任何证书,是否有一个聪明的方式来循环在一些第三方?
我正在准备与iRedMail的新邮件系统。 我的开发人员需要有关如何生成密码的信息。 我想知道iRedMail如何生成哈希值,是否使用了任何盐,以及使用哪种algorithm? 我没有在iredadmin文件中find它(这个文件对我来说就像黑魔法),所以关于这个文件的位置信息我可以find这个信息也是不错的。
要在软件限制GPO中指定安装过程中允许执行的可执行文件/脚本文件的哈希,例如%LOCALAPPDATA%\Temp ; 如何弄清楚给定的安装程序将执行什么程序,以及它们的哈希是什么? 请注意,也有人build议,这可以通过首先将计算机移动到没有应用软件限制的OU,然后从那里首先运行安装程序来完成。 但在我看来,如果用户需要重新安装产品,或者修理它, 如果没有散列方法,他们将无法这样做,所以散列方法似乎是要走的路。
我正在使用configuration了etherchannel的Cisco 3750G堆叠交换机并连接到configuration了NIC绑定的ESXi Server; 基于IP哈希的路由器负载均衡。 思科交换机configuration:( VID 199是ESXi-Mgmt) interface Port-channel4 description "ESXi Mgmt" Switchport turnk encapsulation dot1q switchport trunk native vlan 4094 switchport trunk allowed vlan 199,200 switchport mode trunk spanning-tree portfast trunk ! interface GigabitEthernet2/0/2 Switchport turnk encapsulation dot1q switchport trunk native vlan 4094 switchport trunk allowed vlan 199,200 switchport mode trunk channel-group 4 mode […]
我有越来越多的远程机器ssh回家,并build立一个连接,以便随后通过隧道访问,所以我可以进入维修。 目前,我必须通过编辑脚本在远程位置安装前使用唯一的前向ssh端口手动configuration这些机器。 其余的安装是自动的(PXE)。 它会让人手动设置这个端口变得很烦人(并且冒着错误),并且阻止我自信地把整个过程交给一个技术人员。 问题>给一个干净的,debian安装是可行的,编写一个数字散列函数(例如)在eth0上的MAC地址,这是确定性的,并落在一定范围内(比如30000-60000),你可以合理地期望是唯一的++)。 我想我已经有bash,awk等玩了。 如果可能,我宁愿坚持使用shell相关的工具,但如果推送的话可以使用python。 (++)我会修改隧道脚本来增加端口,如果它尝试第一个端口有问题。 示例build议的input :ifconfig eth0 | grep HWaddr | awk'{print $ 5}'== 08:00:27:aa:bb:cc 示例所需输出 : 34567
我有Linux的root密码。 那台机器上有MySQL服务器。 其中一个网站的ini被重写,现在它不能到达mysql数据库。 我没有mysql root来更改数据库用户的密码。 服务器所有者现在正在休假,所以我不能要求他给我的MySQL根。 我可以重置mysql的root密码,但我不想要。 我需要: 将当前的mysql根密码散列保存在某处 重置它 做的东西作为mysql根(重置数据库的用户pw) 恢复旧的根密码 如何做点1和4?
由于pbkdf2(基于密码的密钥推导函数2)是一个更安全的哈希函数,所以我不知道当前的openldap实现是否支持pbkdf2(例如pbkdf2_sha256)? 我已经find了一些有关谷歌关于pbkdf2在openldap支持的信息,但我不确定它适用于哪个openldap版本,或者我不这样做是正确的方式: (ITS#7742)新增function:用于OpenLDAP的PBKDF2模块 用于OpenLDAP的PBKDF2 我在Ubuntu 12.04上构build了一个版本为2.4.28的openldap服务器,并使用python lib生成一个PBKDF2-SHA256哈希密码。 然后我把这个PBKDF2-SHA256密码放到一个新的ldap用户的userPassword字段中,如下所示: userPassword: '{PBKDF2-SHA256}10000$LBwTpUPGqxdH$8pDqhAruY94IhhuCZLost471pGImy//wH0pS25LO/YI=' 这没有奏效。 在ldap日志中没有报告错误,但仍然无法使用原始的纯文本密码login。 如果有人能给我一些意见或方向,我将不胜感激!