我有一些服务器,我想保留在encryption磁盘,但我不想在每次启动时手动input密码。 我也不想保持机器上的密钥未encryption。 TPM在这里是非常合适的,但如果有人偷走整个机器呢? 如果我设置了一个“集群”,那么每台机器只能将其他机器的密钥存储在某个已经encryption的东西上呢? 所以,现在,只有群集中的所有机器都在相同的情况下脱机时,才会手动提供密码,但只能在其中一台机器上。 每个节点都有一个initramdisk和一个dropbear实例,以及两个脚本: 尝试检测群集中的其他节点。 向另一个节点发送一些请求,然后通过sshlogin,并提供本地根文件系统的密钥。 如果群集中没有主机,或没有主机具有相应的ssh密钥,则提示input密码。 这样,没有密钥存储在任何地方的encryption,我可以重新启动我的所有服务器,只要至less有一个保持在给定的时间。 如果他们一下子失效,我必须input密码。 这是一个安全的解决scheme吗? 如果不是的话,基本的想法是否可以修改成为一个安全的解决scheme? (另外,这种types的设置是否有现有名称?)
我们都有很多需要encryption和authentication的内部服务,由某种PKI提供。 使用不同的私钥/公钥对每个服务的安全收益是否certificate需要额外的工作? 还是每台服务器使用一个密钥对? 例如,我所有的* nix服务器上都运行着rsyslog,Bacula和Puppet。 在所有三种服务中使用通用服务器特定的密钥对是否会打开我忽略的攻击媒介?
我试图在我的Slackware 13.1服务器上设置svnserve和SASL支持,经过一些试验和错误,我可以使用下面列出的configuration: 的svnserve.conf [general] anon-access = read auth-access = write realm = myrepo [sasl] use-sasl = true min-encryption = 128 max-encryption = 256 /etc/sasl2/svn.conf pwcheck_method: auxprop auxprop_plugin: sasldb sasldb_path: /etc/sasl2/my_sasldb mech_list: DIGEST-MD5 sasldb用户 $ sasldblistusers2 -f /etc/sasl2/my_sasldb test@myrepo: cmusaslsecretOTP test@myrepo: userPassword 您会注意到sasldblistusers2的输出显示我的testing用户具有encryption的cmusaslsecretOTP密码以及纯文本 userPassword密码。 即,如果我要运行strings /etc/sasl2/my_sasldb我会以明文forms查看testing用户的密码。 这两个密码条目是使用以下颠覆本书推荐的命令创build的: saslpasswd2 -c -f /etc/sasl2/my_sasldb -u myrepo test 阅读man saslpasswd2我看到以下选项: […]
我一直在使用Let's Encrypt在几个月的时间里,而且一直在工作。 我正在通过续订证书,而对于其中一个域,我收到以下错误消息(在challenges[1].error.detail返回的JSON对象中): DNS问题:查询超时查找CAA [somedomain.com] 我试图查找错误,但即使谷歌发现零结果(截至撰写本文)。 对于反对者:是的,这个域(完全如错误信息所示)是有效的,可以远程访问和完全访问。 然而,这里有一个重要的困境(线索),为什么这种情况出现了。 我有这个域的设置,当我第一次尝试更新这个特定的域时, 将所有的stream量redirect到HTTPS 。 看来LE试图通过HTTPS访问服务器,并且失败了。 此后,我更改了服务器设置,以便域不会redirect到用于acme-challenge文件夹的HTTPS。 问题似乎是LE记住前一个请求被redirect了,现在它不想访问HTTP URL。 challenges[1].validationRecord有两个条目,一个在HTTP [0],一个在HTTPS [1],所以很清楚,LE知道服务器也可以在HTTP地址访问。 而且,我可以在challenges[1].validationRecord[0].url给出的URL访问validation检查文件(在有问题的域中),没有任何问题。 我的问题是:如何让LE忘记我试图请求证书,同时让服务器将所有stream量redirect到HTTPS? 因此,我该如何让LE使用HTTP URL呢?
我们最近收到了几个客户端合同,所有的客户端文件都必须随时encryption。 我们面临的挑战是共享encryption文件和networking共享上的同时访问。 有数以千计的文件需要保持encryption和不同的用户和服务访问。 在Windows XP下,微软的encryption技术对我们来说工作不是很好,并且将多个证书分配给一个文件,这样多人就可以访问它们,这很麻烦,容易出错。 我们目前在我们的客户端文件夹中使用PGP NetShare,但当多个用户访问文件(例如Microsoft Access)或查看文件夹中的数千个文件(列表不断刷新,将视图返回到顶部,Windows资源pipe理器)时,会出现问题。 我们正在就这些问题联系PGP,但我认为现在是了解在野外工作的好时机; 他们提出了什么解决scheme来处理networking共享上的select性文件encryption。 我们的基本需求是将文件访问权限限制为只允许访问给定客户端的文件。 这个限制将是基于目录的,所以在同一个目录中没有encryption和未encryption的文件。 这些文件通过Windows共享存储在Windows Server 2008存储服务器上。 在最好的情况下,我们可以允许一个服务(使用networking凭证/用户)访问和解密共享上的文件。 PGP NetShare不可能的东西(他们可以访问,但不能解密)。
我是X公司的系统pipe理员。他们有兴趣允许ActiveSync访问支持下载附件和电子邮件数据的本地脱机encryption的设备。 考虑到iPhone如何encryption本地数据,你需要有一个3GS手机或更新的最新的IOS,并点击configuration设置… Android手机中的离线安全规定是什么? 我想要防止用户可以窃取Android手机的情况,并且复制掉未encryption的数据。 题 我如何确保将ActiveSync数据本地下载到设备上受到保护? 有什么特定的2.2版本适用?
我们安装了Ubuntu 10.04 LTS服务器,并在磁盘encryption之上运行LVM,该encryption在由两个物理SATA磁盘组成的RAID1卷上运行。 configuration如下所示: _______________ |swap| / | – LVM volume for swap (10 GB) |____|__________| – LVM volume for root (rem. space ~ 490 GB) |______LVG0_____| – LVM group /d0fc97a3b3e8ae5a8\ – dm-crypt encrypted partition on RAID1 ______/___________________\______ |/boot| > RAID1 | > RAID1 |/boot| – 250MB /boot partition on each disk |_____|__________|__________|_____| – remaining […]
我正在尝试将https添加到我正在使用的embedded式设备上。 这些设备通常分配本地IP地址,因此无法获得自己的SSL证书。 所以基本上我的问题是如何得到一个没有全局IP地址的设备证书? 假设: 浏览器不会信任证书,除非它们已经通过了可信CA的validation。 但是,您只能获得全球唯一域的经过validation的证书。 那些客户坚持使用本地IP地址。 类似的问题在这里 假设A: 获得主要公司网站的证书 复制该证书。 +所有设备的私钥 用户连接到设备 设备发送证书。 给用户 用户看到证书。 是可信的(忽略它不是这个服务器??) 用户使用cert中的公钥encryptionhttp 设备使用私钥 结果: 浏览器抱怨名称不匹配 客户可以访问彼此的私钥 不是很安全 假设B: 为每个设备获取主公司网站的证书 复制证书。 +每个设备的私钥 用户连接到设备 设备发送证书。 给用户 用户看到证书。 是可信的(忽略它不是这个服务器??) 用户使用cert中的公钥encryptionhttp 设备使用私钥 结果: 浏览器抱怨名称不匹配 安全 假设C: 为每个设备创build自签名的证书 复制证书。 +设备的私钥 用户连接到设备 设备发送证书。 给用户 Firefox有一个金丝雀 用户使用cert中的公钥encryptionhttp 设备使用私钥 结果: 浏览器抱怨自签名证书 自签证书可能是中间人攻击
在企业环境中,每个用户都发出一个用于encryption/签名的密钥对。 由于他们拥有私钥,这意味着他们可以解密任何为他们encryption的文件,即使在离开组织和他们的证书被吊销之后。 我想仿佛有什么方法来阻止他们使用他们的私人访问组织的文件(这是退休之前,所有员工encryption)?
我想在我所有的域控制器上configuration整个磁盘encryption。 BitLocker是一个可以接受的方法吗? 整个磁盘encryption在域控制器上有什么潜在的问题?