鉴于越来越多的安全问题,比如最近公布的针对SSL / TLS的浏览器漏洞(BEAST),我很好奇我们如何能够使用OpenSSL和Apache来启用TLS 1.1和1.2,以确保我们不会受到攻击到这样的威胁载体。
NFSv3是普遍的,但默认的安全模型是… 古怪 。 CIFS可以使用Kerberos身份validation,但是如果没有POSIX语义,则它是非启动器。 AFS从来没有encryptionnetworking上的stream量,是krb4 – 基本上是一个死的项目。 花哨的新实验性文件系统要么从未实现,要么专注于速度(如果幸运的话,数据可靠性) – 例如,Lustre使用与NFSv3相同的客户端信任模型。 对于家庭使用,sshfs是漂亮的,但是肯定不会缩放。 然后当然还有NFSv4,sec = krb5p。 理论上很好,但是十年之后,似乎在现实世界中还没有得到应用。 Linux客户端刚刚删除了实验性标签。 而如果你看看EMC Celerra,Isilon等等,那都是NFSv3。 (Celerra支持NFSv4,但是它真的被埋在了文档里面,Isilon显然是在为FreeBSD添加RPCGSS支持,所以也许到了,但是现在还没有。)我甚至不能把这个post标记为“nfsv4”,因为我这里是新的, 这将是一个新的标签 。 所以, 真的 。 你在做什么?
我知道TLS本质上是一个更新版本的SSL,它通常支持将连接从不安全转换为安全(通常通过STARTTLS命令)。 我不明白的是为什么TLS对于IT专业人员来说很重要,为什么select我会select一个呢。 TLS真的只是一个更新的版本,如果是的话,它是一个兼容的协议? 作为IT专业人员:我什么时候使用哪个? 我什么时候不使用哪个?
我想要有一个安全的连接,当我login到我的webmail, phpMyAdmin等 因此,我用OpenSSL签署了自己的SSL证书,并告诉Apache在端口443上进行侦听。 这实际上是安全的吗? 我所有的密码是否都是通过一个安全可靠的图层发送的? 如果我从Verisign购买SSL证书或签署自己的SSL证书,它有什么不同? 在一天结束时,无论如何,所有的数据都将在我的服务器上。 那么最大的区别是什么?
关于与Nginx一起使用的cgi.fix_pathinfo PHP选项(通常是PHP-FPM,快速CGI),已经有 很多关于安全问题的 讨论 。 因此,默认的nginxconfiguration文件用来说: # NOTE: You should have "cgi.fix_pathinfo = 0;" in php.ini 然而,现在,“官方”Nginx维基指出, PATH_INFO可以正确处理,而不禁用上述的PHP选项。 所以呢? 问题 你能清楚地解释一下cgi.fix_pathinfo做什么的? ( 官方文档只是说 :“有关PATH_INFO的更多信息,请参阅CGI规范”) PHP会如何处理这些PATH_INFO和SCRIPT_FILENAMEvariables? 为什么以及如何对Nginx危险? ( 详细的例子) 这些程序的最新版本中是否还存在这个问题? Apache是脆弱的吗? 我试图在每一步都了解这个问题。 例如,我不明白为什么使用php-fpm Unix套接字可以避免这个问题。
在这个概述问题被问到之后,这是一个技术性的深入探索。 SSL和TLS之间的协议有什么区别? 是否真的有足够的差异来保证名称的改变? (相对于新版本的TLS,将其称为“SSLv4”或SSLv5)
在Windows 10中,Windows恢复环境(WinRE)可以通过在引导过程中反复切断电脑的电源来启动。 这使攻击者可以通过物理访问桌面计算机来获得pipe理命令行访问权限,此时他们可以查看和修改文件,使用各种 技术重置pipe理密码等等。 (请注意,如果直接启动WinRE,则必须先提供本地pipe理密码,然后才能向您提供命令行访问权限;如果通过反复中断引导顺序来启动WinRE,则这不适用,Microsoft已确认它们不认为这是是一个安全漏洞。) 在大多数情况下,这并不重要,因为攻击者无限制地访问计算机,通常可以重置BIOS密码,并通过从可移动媒体启动获得pipe理访问权限。 然而,对于自助terminal机,教学实验室等,通常采取措施通过例如挂锁和/或警告机器来限制物理访问。 不得不阻止用户访问电源button和墙上sockets,这是非常不方便的。 监督(无论是亲自或通过监视摄像机)可能会更有效,但使用这种技术的人还是会比例如试图打开计算机机箱的人更不明显。 系统pipe理员如何防止WinRE被用作后门? 附录:如果您正在使用BitLocker,则已经部分保护您免受此技术的影响; 攻击者将无法读取或修改encryption驱动器上的文件。 攻击者仍然可以擦除磁盘并安装新的操作系统,或使用更复杂的技术,如固件攻击。 (据我所知,固件攻击工具还没有广泛提供给偶然的攻击者,所以这可能不是一个直接的问题。)
我们有一套Windows服务运行在我们的服务器上,它们执行一系列彼此独立的自动化任务,除了一个服务看起来在其他服务之外。 如果其中一个服务无法响应或挂起,则此服务将尝试重新启动该服务,如果在尝试过程中引发exception,则会发送电子邮件给支持团队,以便他们自己重新启动服务。 在做了一些研究之后,我遇到了一些解决scheme,从KB907460提到的解决方法到给服务运行pipe理员权限的帐户。 我对这两种方法中的任何一种都不太了解 – 我不明白微软知识库文章中提到的第一种方法的后果,但我绝对不希望pipe理员能够访问运行该服务的帐户。 我已经通过本地安全策略和定义一个帐户是否可以作为服务login的策略之外的其他内容进行了快速浏览,但是看不到其他任何与服务相关的内容。 我们在Server 2003和Server 2008上运行这个,所以任何想法或指针都会受到欢迎! 说明:我不想授予给所有用户或组启用/停止/重新启动所有服务的能力 – 我希望能够授予对特定用户或组的特定服务的权限。 进一步说明:我需要授予这些权限的服务器不属于一个域 – 它们是两个面向互联网的服务器,它们接收文件,处理它们并将它们发送给第三方,以及为几个网站提供服务。 Active Directory组策略是不可能的。 对不起,我没有更清楚。
我有一个证书包.crt文件。 做openssl x509 -in bundle.crt -text -noout只显示根证书。 我如何看到所有其他证书?
我有一个在VPS平台上运行的CentOS 5.x盒子。 我的VPS主机误解了我对连接的支持询问,并有效地刷新了一些iptables规则。 这导致ssh监听标准端口并确认端口连通性testing。 烦人。 好消息是我需要SSH授权密钥。 据我所知,我认为没有成功的违规行为。 我仍然非常关心我在/ var / log / secure中看到的内容: Apr 10 06:39:27 echo sshd[22297]: reverse mapping checking getaddrinfo for 222-237-78-139.tongkni.co.kr failed – POSSIBLE BREAK-IN ATTEMPT! Apr 10 13:39:27 echo sshd[22298]: Received disconnect from 222.237.78.139: 11: Bye Bye Apr 10 06:39:31 echo sshd[22324]: Invalid user edu1 from 222.237.78.139 Apr 10 06:39:31 echo […]