完全向前保密是对SSL / TLS通信的重要增强,有助于防止捕获的SSLstream量被解密,即使攻击者拥有私钥。 支持Web服务器非常简单,但也适用于任何其他SSL上下文,如用于SMTP,POP3和IMAP的邮件服务器。 最近(2014年9月),这个数据保护机构已经开始在德国开展业务,在那里数据保护机构已经开始检查和罚款那些不支持邮件服务器上的PFS的组织 ,还有心跳和贵宾犬漏洞。 Web浏览器中的PFS支持有点不统一,虽然所有主要的支持它 – 但是我正在寻找邮件服务器和客户端上的PFS兼容性信息,理想的情况是SSL Labs的握手testing提供的,但对于邮件服务器。 任何人都可以提供或指向我的邮件服务器PFS兼容性的良好来源? 为了澄清,我不想询问特定的服务器,而是在各种不同的服务器上查看这种testing的结果,例如,知道Outlook 2003不支持ECDHE或Android 2不允许大于2048位的DH参数(我不知道这些是否为真,它们只是例子)。 这样做的好处是要知道,如果我select禁用某些特定的密码,哪些客户端可能会受到影响,就像SSL实验室testing为Web客户端显示的一样。
在我们的环境中,我们经常需要运行不同应用程序的旧版本,而且我也不知道安全问题。 所以即时通讯希望有一个网站,基本上列出AppXX1版本V2有X已知的漏洞。 我正在考虑更大的应用程序,如Java,IE。
您build议使用哪种防火墙来满足以下1Gb线路和大多数防黑客模块? 价格范围10k-15k $。 3年现场保修,全面支持在线。 关于模块,我不知道防火墙在防火墙中有什么作用,因为这个防火墙将被用于IIS应用程序,但绝对是针对DDOtypes的攻击…还不够多说。 谢谢…
所以这不是一个非常具体的问题,但是人们如何重用他们的SSH密钥呢? 我的意思是,我想build立一个GitHub帐户。 我也有一个密钥对远程login到家里的机器。 现在,也许我没有正确按摩我的Googlesearch条件,但被认为使用相同的密钥对的便利因素差的forms? 我知道安全人员可能会对我大喊“不好”,但是系统pipe理员在实践中如何处理这个问题呢?
每次我安装一个新的服务器,我都会在每台服务器上执行一系列的步骤来获取更新,设置passwd,通过root用户删除login,定制一个熟悉的环境(bashrc)并保护服务器。 是否有可能使用脚本来做所有的事情? 该设置可能包括: 发行版升级和更新 apt-get更新 apt-get升级 添加用户 adduser部署者 adduser部署者sudo mkdir /home/deployer/.ssh chmod 700 /home/deployer/.ssh 触摸/home/deployer/.ssh/authorization_keys 部署者passwd su部署者 cd到/home/deployer/.ssh/ sudo chown部署者.ssh / 在本地机器上执行命令 ssh-copy-id [email protected] ssh-copy-id [email protected] 重新login到服务器上: chmod 400 /home/deployer/.ssh/authorized_keys chown部署者:部署者/家庭/部署者-R 5..6 … 7 ..自定义bashrc,编辑sshd_config,安装ufw&logwatch
我有一个运行Ubuntu的Web应用程序服务器。 该应用程序是在Python / Django中构build的,但没有任何特定的用例来发送电子邮件。 我们有日志pipe理软件,允许我们检查所有的日志,所以我们不需要发送电子邮件日志或任何这样的东西。 我们试图加固这个盒子,但是我注意到sendmail已经安装并且正在运行,而且当我“ps -ef | grep sendmail”的时候,我看到了“sendmail MTA:Accepting connections”。 有点可怕。 从安全方面来说,我最好是卸载sendmail(和postfix,对于这个问题) – 因为电子邮件似乎根本不需要。 如果完全是必要的,他们只需要是外向的。 还是有一个方面的Linux有依赖于电子邮件(我可以想到的GITconfiguration,Djangopipe理员帐户等)。
使用ssllabs.com的扫描告诉我RC4正在使用中。 我读了在Windows 2012 R2中应默认禁用RC4。 我使用https.createServer运行node.js服务器,而不是指定密码(默认情况下) ssllabs.com说: This server accepts the RC4 cipher, which is weak TLS_RSA_WITH_RC4_128_SHA (0x5) WEAK TLS_ECDHE_RSA_WITH_RC4_128_SHA (0xc011) WEAK 我按照这些说明禁用了registry中的RC4: http : //windowsitpro.com/windows/disabling-rc4-cipher 我也尝试在节点createHttpsServer中指定密码,如下所示: ciphers: [ "ECDHE-RSA-AES128-GCM-SHA256", "ECDHE-ECDSA-AES128-GCM-SHA256", "ECDHE-RSA-AES256-GCM-SHA384", "ECDHE-ECDSA-AES256-GCM-SHA384", "DHE-RSA-AES128-GCM-SHA256", "ECDHE-RSA-AES128-SHA256", "DHE-RSA-AES128-SHA256", "ECDHE-RSA-AES256-SHA384", "DHE-RSA-AES256-SHA384", "ECDHE-RSA-AES256-SHA256", "DHE-RSA-AES256-SHA256", "HIGH", "!aNULL", "!eNULL", "!EXPORT", "!DES", "!RC4", "!MD5", "!PSK", "!SRP", "!CAMELLIA" ].join(':'), honorCipherOrder: true 仍然得到相同的消息,说RC4正在使用,我的成绩从B下降到C,所以设置node.js密码列表确实有影响。 单击“最佳做法”选项后,使用IIS Crypto禁用RC4密码导致我的ssllabs扫描结果没有差异。 […]
我一直在阅读有关kaminsky DNS错误,试图更好地了解它是如何工作的。 我认为我有这个要点,但丹提到bailiwicks,被用来作为防火墙后面的DNS服务器的目标。 有人可以解释什么是一个bailiwick是什么,并举例说明它是如何使用目标服务器在防火墙后利用kaminsky错误?
networking地址转换(Network Address Translation,NAT)似乎是对后面主机的防火墙,因为它们不可用。 虽然我永远不会依赖这个作为我的防火墙,但它作为防火墙的失败是什么? 我正在问这个我称之为“学术”的原因。 我知道NAT不会保护人们进入防火墙设备本身,而且更多层次的安全性更好。 我更感兴趣的是如果NAT被用于这个目的,NAT本身如何被利用。 更新,例如: 一个公共IP:10.10.10.10 一个局域网:192.168.1.1/24 如果所有来自局域网的传出通信都具有去往10.10.10.10的传出NAT,并且唯一的其他NAT映射是10.10.10.10端口80映射到192.168.1.100。 如何访问192.168.1.50端口22?
哪个CA商店提供了一个允许您签署自己的SSL证书的产品? (称为子域名)有没有可行的select? 附加信息: 我们正在部署一个带有安全networking接口的产品,以便在不同客户的地点进行大量安装。 客户端用户将从任何普通的Web浏览器访问他们的门户。 由于replace/更新这些证书是不可行的,长达十年或更长的失效date是理想的。 可能的选项(和缺点): – 使用自签名证书(用户将看到浏览器错误/警告) – 使用通配符或多个cn证书。 (由于PK在不信任的客户端之间共享,所以安全性较低) – 成为链接的证书颁发机构并签署证书(昂贵的) – 为每个安装购买单个/批量证书(昂贵且麻烦)