我在CentOS 5上用cryptsetup luksencryption了一堆硬盘。一切都很好,直到我把我的系统升级到了CentOS 6.现在我无法安装磁盘了。 用我的关键字来安装: sudo cryptsetup luksOpen /dev/sdc1 d2 我得到这个错误: device-mapper: reload ioctl on failed: Invalid argument Failed to setup dm-crypt key mapping for device /dev/sdc1. Check that kernel supports aes-xts-plain64 cipher (check syslog for more info). Failed to read from key storage. 在/ var / log / messages中: Feb 3 23:43:23 data kernel: […]
我正在云提供商上运行Linux虚拟机。 如此有效地,磁盘是一个VHD文件。 该机器将在磁盘上有一些敏感的信息,如证书,密码…我想encryption一些部分(或全部)的磁盘,以防万一有人得到他们的手在VHD文件,他们不能收回私人信息。 当然,由于服务器可能随时由云提供商重新启动(安全更新,迁移到不同的物理主机等),因此在启动时询问密码不是一个选项。 如果可能的话,我怎么能做到呢?
我有几个网站运行一个StartSSL免费证书( CJSHayward.com , JobhuntTracker.com ),Firefox拒绝StartSSL,并显示一个错误页面,说我的服务器没有正确configuration(IIRC),因为证书链。 我寻求帮助,并确认我的VirtualHost(可应要求提供)用于证书链,并且正确安装了中间证书。 显示的网站没有错误,我知道在Chrome,Safari,Edge或Opera中。 经过一番search, 让我们encryption! 看起来像一个有吸引力的产品,不久之前,我有(AFAICT)一个私人密钥和/ etc / apache2 / sites-enabled下的每个域的证书,当然减去任何域不再是我的。 我想我会做一个试运行,并build立一个HTTPS连接到现在只能在HTTP: JSH.name下的站点。 我提出了“让我们encryption!” 证书和私钥到我的SSL目录并添加: <VirtualHost *:443> ServerAdmin [email protected] DocumentRoot /home/jonathan/stornge SSLEngine On SSLCertificateFile /etc/apache2/ssl/0000_csr-letsencrypt.pem SSLCertificateKeyFile /etc/apache2/ssl/0000_key-letsencrypt.pem ServerName jsh.name ServerAlias www.jsh.name LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined CustomLog /home/jonathan/logs/stornge.com combined <Directory /home/jonathan/stornge/> Options ExecCGI Indexes FollowSymLinks […]
我正在使用certbot –webroot插件和certbot renew更新证书,这工作,但它看起来像httpdcaching证书,并不“看到”,它已被更新。 有一个信号为httpd重新加载证书? PS我宁愿不重新启动httpd以避免宕机。
是否可以确保从PostgreSQL数据库采取的转储总是encryption? 数据库中的数据是高度敏感的,我们不能负担包括需要备份数据库的系统pipe理员在内的未授权人员访问实际数据。
擦除支持SED的SSD的一个很好的方法是更改密码/密钥 。 但如何处理那些没有SED支持? 这篇文章说 幸运的是,可以擦除大多数SSD,尽pipe这比擦除更接近“重置”。 “ATA安全擦除”命令指示驱动器清除所有存储的电子,迫使驱动器“忘记”所有存储的数据。 该命令将所有可用块重置为“擦除”状态,这是TRIM用于垃圾收集的目的。 题 我想这是用hdparm可以完成的,所以有人知道这是什么命令吗?
我想实现什么 我想安全地将现有的内部子网分布在多个build筑物上。 这意味着我有两个虚拟机位置需要在同一个子网内。 这个想法是,虚拟机(具有静态IP)可以从一个位置迁移到另一个位置。 (物理)主机连接到每个位置的交换机。 所以,如果没有任何安全或成本问题,我只需要用网线连接两台交换机: [机器] — [开关A] <—-长电缆—> [开关B] — [机器] 我想要的是用一个encryption的隧道replace这个长的电缆,使用两个不需要关心IP地址或路由的网关,只需要将任何传入的数据包encryption,并通过encryption的隧道发送到另一个网关。 另一个网关然后解密这些数据包并将它们发送到远程交换机。 这实际上是这样的: [机器] — [开关A] — [网关A] < – 互联网 – > [网关B] – [开关B] — [机器] 我想避免网关在子网内需要任何IP地址。 规则应完全基于端口: 端口1的入站数据:通过隧道接口路由 在隧道接口input数据:通过端口1路由 两个网关将有一个静态的,可路由的IP地址来build立隧道。 encryption应该是强的(至lessAES128,SHA256,DH2048;共享密钥是好的),简单的PPP型隧道不支持。 所以可能需要一个额外的/单独的encryption层。 我只有MikroTik路由器可用。 所以我宁愿使用它们。 不过,我主要是在寻找“魔术字”(协议名称等)以及正确的技术组合,使我能够做到这一点。 因此,如果您知道如何使用Cisco路由器或HP路由器来完成此任务,那么如果您解释了如何使用该路由器,也可能有所帮助。 问题/尝试 我可以用什么样的防火墙filter和协议来达到这个目的? 我的第一个想法是使用IPsec跨越encryption隧道。 但是,那么我需要定义基于物理端口的IPsec策略。 但只有一个选项可以将数据定义到特定的IP地址/ IP端口组合。 所以IPsec只能作为另一种隧道types(PPTP,SSTP,L2TP和OVPN目前由MikroTik RouterOS支持)的encryption层工作。 由于PPP-Tunnels通常不支持强encryption,因此我会让IPsec完成这项工作,并通过encryption的IPsec隧道跨越未encryption的PPP-Tunnel。 好的,现在我们至less有一些隧道接口,我们可以像传出端口一样使用。 不过,我有点迷失在这里。 我没有发现这样的可能性:“一个帧必须通过接口发送”和“一个帧必须通过接口发送”。 我不是经常在Layer2工作…所以我实际上是在寻找正确的“术语”或“类别”。 […]
我目前有一个免费的我的邮件服务器(后缀/ dovecot)的StartSSL证书。 当然,它工作正常,但是让我们encryption证书更容易和更快的工作。 我的Apache服务器也使用Let's Encrypt证书。 所以,如果我决定为我的服务器使用Let's Encrypt证书,其他邮件服务器是否会拒绝我的电子邮件? 让我们在邮件世界中encryption证书? 我知道每个最近的网页浏览器都会接受让我们encryption证书。 所以,让我们encryption证书适用于networking。 除非用户使用Windows XP并在这些时间使用通用浏览器,否则Web浏览器将无法正常显示。 但是,邮件服务器呢? 有没有人有我们的encryption邮件的证书经验? 具体来说,我担心的不是像Gmail,雅虎或Hotmail这样的大公司,而是其他公司的私人服务器,可能不接受我的证书。 注意我还担心Outlook 2007(我的一些客户还在使用它们,甚至是Outlook Express)和智能手机(iPhone或Android)等旧邮件客户端。 另外的问题 Microsoft产品是否将证书pipe理委托给操作系统或其他Microsoft产品? 因为如果我还记得,至less在Outlook 2003和/或2007年,证书pipe理是负责IE浏览器的; 如果我还记得,在Firefox等浏览器上安装用户证书,也可以在操作系统本身上安装证书(因为我认为它已经成为全系统可用)。 所以,如果我是对的,即使我的客户有一个旧的邮件客户端,证书必须自动接受(猜测他确定现代Web浏览器接受让我们encryptionCA),因为来自Chrome的根CA或Firefox是全系统可用的。 总之:我是否应该冒险转移到让我们的邮件服务器encryption,或者更好的是等一年以上。
我有一个网站与nginx与以下要求: redirect所有http – > https 零停机让我们encryption证书更新 为了满足(1)我有一个小的http-> httpsredirect在我的nginxconfiguration。 为了满足(2)我将需要修改所述的configuration,以便我可以使用Webroot让我们encryption身份validation方法。 我试图找出满足这两个要求的最佳解决scheme。 我已经拿出了以下,这是有效的。 之前: server { listen 80; server_name example.com; return 301 https://example.com$request_uri; } 后: server { listen 80; server_name example.com; location ~ /\.well-known\/acme-challenge { root /usr/share/nginx/html; allow all; } if ($request_uri !~ /\.well-known) { return 301 https://example.com$request_uri; } } 但是,我希望找出另一种方法。 原因是: 如果是邪恶的 。 在这种情况下可能不会这么大,因为这只是http-> httpsredirect,应该是非常低的stream量。 更重要的是,避免使用if会更容易将webrootauthenticationlocking到所有在nginx后面运行的站点,因为我可以在.conf中插入location指令,然后我可以在我所有的小型http- […]
环境 Windows Server 2008 SP1至强CPU E5430 @ 2.66 GHz 16.0 GB RAM 64位操作系统1TB磁盘空间 服务器angular色:SQL Server其他信息:联合域,login用户域pipe理员 问题 导致问题的步骤: 右键单击“证书”文件夹下的“root \ Personal”树,然后单击“所有任务” – >“申请新证书”,使用mmcpipe理单元创build一个计算机证书。 证书注册窗口出现,您validation您连接到您的networking,并且您login到域。 然后单击下一步,这将导致一个窗口说明问题: “证书types不可用” “这次你不能申请证书,因为没有证书types可用,如果你需要证书,请联系你的pipe理员。 寻求解决scheme 在此服务器上创build证书,以实现到MSSQL服务器的SSL连接。