我们有一个由我们的IT部门pipe理的基于MS Windows Server 2008 R8的服务器。 我们想同时做到两件事情: 服务器上的一个文件夹,包含几千个文件(经常添加的新文件),一些ActiveDirectory用户(例如董事会)可以访问,但IT部门的员工无法访问 IT部门的员工仍然拥有pipe理服务器的权利,包括安装新的软件和服务 我们已经查了一些解决scheme 使用NTFS访问权限。 不幸的是,IT(“pipe理员”组的成员)可以将自己设置为文件的新所有者,并更改权限以便访问文件。 启用EFS。 不幸的是,即使您不允许IT访问文件,仍然可以完全禁用EFS,因为它们具有pipe理权限。 此外,据我所知,你必须为所有用户手动添加权限,但每个新文件的所有者 – 非常不方便。 为IT部门创build一个新的angular色,除了拥有文件所有权外,还拥有所有的特权。 不幸的是,如果您不是pipe理员组的成员,则无论您添加到angular色的权限如何,都无法安装新的软件。 TrueCrypt – 很好的免费encryption软件,但分享能力差。 您可以在服务器上安装encryption容器(然后IT可以访问其内容),也可以在本地安装它们,但只有一个用户可以挂载它进行写入。 AxCrypt – 免费的encryption软件,可以在服务器上进行逐个文件的encryption。 虽然有一些缺点 – 您必须手动encryption每个添加的新文件。 这些文件的扩展名更改。 您只能为所有文件设置一个密码(所有用户都必须知道这一个密码)。 任何其他的想法? 我们的预算是有限的,所以赛门铁克或PGP的企业级软件可能不是一个select。
不太确定这是否是适当的SE发布此,但在这里:是否有一些在线参考什么SSL密码支持各种浏览器? 基本上,我感兴趣的是通过确保较低的密钥长度和旧的污垢algorithm(DES和3DES)不被用于与客户的通信来加固系统。 这样做的方式(至less在Apache mod_ssl中)似乎是控制服务器在握手期间给予的支持的密码。 我想能够回答像“如果我强迫AES256,哪些浏览器将打破?”的问题。 对于某些网站来说,这是可取的,因为它为我们保密的交谈提供了一些保证。 如果他们的浏览器只支持被认为是不安全的连接,我们希望会话中断,所以他们被迫使用更现代/强大的客户端。
我已经阅读了serverfault上可用的类似问题,但是我还没有find安全方面的明确答案 – 因此,这是我的问题: 我是使用税务数据的办公室的pipe理员,我们希望开始使用基于证书的电子邮件encryption与我们的客户。 考虑到VeriSign&Co颁发的证书的价格,我想知道是否我们不能向我们自己的证书颁发机构颁发必要的证书。 我意识到,他们不提供商业证书的信任等级,但我不明白为什么我们需要这样做。 我们的大部分客户都是小企业,他们中只有20%甚至通过电子邮件与我们交换数据。 因此,如果我们要为这20%的员工颁发证书,那么我们就可以使用encryption的电子邮件。 当然,他们必须信任我们的authentication机构,因此一旦收到我们的公共根证书。 但是如果我们亲自把它们交给他们(或者安装他们),他们就会知道这确实是我们的证书。 这里是我缺less的一个巨大的安全风险吗? 只要没有人访问我们的authentication中心服务器,任何人都不应该能够干涉安全,对吧? 客户证书将由我们生成并发出,以及… 请告诉我,如果我在这里判断错误,并提前谢谢。
在安装centos6.6时,我已经在LVM卷上启用了LUKS全盘encryption,但每次操作系统重新启动时都要求input密码。 我现在试图根据这个post使用一个密钥文件。 不幸的是,它不工作…仍然要求密码。 /etc/cryptab sda2 /dev/disk/by-uuid/0e7815c0-0941-431a-a6d2-cbe78132d292 /root/keyfile luks 任何想法的更好的解决scheme,以删除密码,只使用密钥文件?
我试图encryption一个文件以及它的文件名。 encryption文件相当简单,我使用gpg,但我不知道如何encryption文件名。 如果文件名可以使用相同的密钥进行encryption,那将会很棒。 任何想法如何做到这一点?
我正在尝试设置encryption的samba访问。 为了达到这个目的,我在smb.conf的[global]范围中添加了2行: server signing = mandatory smb encrypt = mandatory 但不幸的是,我现在无法在任何地方安装Samba股票。 我尝试过使用KDE下的Dolphin,并使用mount -t cifs,甚至尝试了smbclient命令行。 我收到以下错误: 海豚: Unknown error condition in stat: Software caused connection abort 安装: mount error(13): Permission denied smbclient的: Error returning browse list: NT_STATUS_CONNECTION_DISCONNECTED 如何正确执行encryption并将其挂载到Linux机器上? Windows也会很好,但是我读过这种encryption方法,目前还不支持。 我在客户端上安装了samba 4.1,在服务器上安装了3.6(OpenSUSE / Debian),但是也尝试了在SUSE 4.1 <> 4.1上的环路连接,结果相同。
由Outlook创build的OSTcaching文件是否已encryption? 我知道Outlook不会打开文件,除非它可以连接到用户的Exchange帐户,但我想知道是否有可能通过第三方工具筛选并恢复任何内容。 我应该将其存储在encryption驱动器上以获得更好的安全性吗 有没有人发现这个官方的微软文档?
想象一下存储在LUKSencryption备份磁盘上的机密信息(证书,密钥等),其中包含一个ext4文件系统。 AFAIK这样的设备包含一个密钥文件,它依次用一些密码encryption。 假设秘密通行短语是使用该实用程序创build的: pwgen -s 16 得到一些半随机的string。 例如“ Z4sp9gmW47R8K0sy ”在学习了cryptsetup FAQ之后,我相信这应该提供94.4位的熵,并且应该足以让睡眠好了。 想象一下这样的磁盘被盗取或复制,一些邪恶的攻击者愿意花费合理的资源来打开这个媒体。 这真的有多难? 只要通行短语不被其他方式泄漏(泄密),数据是否真的安全 ?
我使用以下configuration在所有虚拟主机上启用letsencrypt支持: ProxyPass /.well-known/acme-challenge ! Alias /.well-known/acme-challenge/ /var/www/letsencrypt/.well-known/acme-challenge/ <Directory "/var/www/letsencrypt/.well-known/acme-challenge/"> Options None AllowOverride None ForceType text/plain RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)" </Directory> 这适用于所有主机(主要是php或静态网站),除了gitlab 我使用这个configuration: https : //github.com/gitlabhq/gitlab-recipes/blob/master/web-server/apache/gitlab-ssl-apache24.conf 我的猜测是这个configuration部分是一个问题: <Location /> # New authorization commands for apache 2.4 and up # http://httpd.apache.org/docs/2.4/upgrading.html#access Require all granted #Allow forwarding to gitlab-workhorse ProxyPassReverse http://127.0.0.1:8181 ProxyPassReverse http://YOUR_SERVER_FQDN/ </Location> 但是解决这个问题的最好方法是什么?
我正在处理一些受特定法规pipe理的数据,这些数据必须以特定的方式处理。 我发现这个数据在我的一些日志文件中因系统按预期运行而结束。 我想find一种方法来logging接收数据的服务器上的消息,但是这样做的方式是数据在写入磁盘时被encryption,并且可能不会被同一台服务器解密。 我的想法是,应该有一个文件系统(写成一个FUSE系统或者什么 – 我正在使用Linux),将目录结构公开为明文,但是根据非对称密钥集的一半写入文件的内容。 这将允许我logging消息并将它们排队发送到解密密钥所在的日志服务器。 非对称encryption的低效(CPU方式)性质可能会使这种方法不可行,但是我怀疑可能有解决scheme。 我还没有find任何东西, 那里有解决scheme可以运行的解决scheme吗? 感谢您的任何提示!