我有一个encryption的文件(AES对称encryption)。为了备份和节省磁盘空间,我可以压缩(无损)的文件,而不必担心搞乱解密? 如果是这样,你能推荐一些好的压缩程序来达到这个目的吗?
我想确保静态encryption在一个地方和正确的地方完成。 如果共享存储,这似乎是正确的地方,而不是DAS。 主要我想介绍一下无钥匙恢复硬盘的情况,SAN启动时需要密钥(应该是一件非常罕见的事情,不是一个痛苦,但也包括盗窃整个工具包和存储区的人的情况)。 要连接到SAN,您需要iSCSI(凭据)或位于FC交换机上。 这似乎将涵盖数据库和NAS案例。 这是对还是错?
有没有任何标准的解决scheme来重新启动encryption系统,而不需要在下次启动时input密码? 有问题的系统是用LUKS根分区和未encryption的启动分区encryption的Ubuntu。 我能想象的唯一方法是添加一个随机生成的第二个密钥,该密钥基于启动分区上的一个文件,并在系统启动时使用启动脚本将其删除。 上述方法是否有效? 还是有一个不需要手动方法的默认选项? 我能想到的唯一的安全隐含是,如果系统在启动第一个服务之前确实启动失败。
我正在configuration一个带有Kerberos的AD的apache / SSO身份validation。 我的http服务器是Debian Wheezy,AD是Windows Server 2012。 我使用kpass命令为kpass的每种encryptiontypes生成了WS2012上的keytabs文件。 当我尝试用kinit打开与用户[email protected]的会话时,它可以工作。 当我尝试用HTTP/[email protected]打开会话时,我收到以下消息: kvno HTTP/[email protected] kvno: KDC has no support for encryption type while getting credentials for HTTP/[email protected] 另外,当我检查用于[email protected]时,我有: root@SERVER:~# klist -e Ticket cache: FILE:/tmp/krb5cc_0 Default principal: [email protected] Valid starting Expires Service principal 03/04/2015 12:48:21 03/04/2015 22:48:17 krbtgt/[email protected] renew until 04/04/2015 12:48:21, Etype (skey, tkt): arcfour-hmac, arcfour-hmac 我试图用我的/etc/krb5.conf来定制: […]
最近由于SHA-1的漏洞和告诫,开始离开这个散列函数的过程,我再次玩弄GnuPG。 我只是想知道其他人如何使用该系统。 使用这些问题作为提示,但我真的很想听到我甚至没有想到的东西。 你使用的是多大的钥匙? 你在gpg.conf中有什么样的东西? 你的钥匙是否有失效date? 你有一个安全的撤销证书 – 也许与一个值得信赖的朋友?
我一直在拼命试图find一种方法来将我的AWS EFS文件系统备份到S3,但似乎找不到。 有几个EC2实例运行都可以访问提到的EFS。 为了减lessstream量,我已经尝试启动一个Lambda函数,将SSH连接到EFS实例并运行“aws s3 sync …”。 不幸的是,从Lambda服务进行SSH连接似乎不是一个好的生产就绪解决scheme。 我也试过调整DataPipeline,但是为备份启动额外的实例似乎也是一件麻烦事。 是不是有一些简单的方法来备份EFS到S3? 任何build议感激。
安全原则指出,如果其他人有机器访问,那么就没有安全/隐私。 我想知道在这种情况下,我想要一个托pipe的虚拟专用服务器(VPS)与全盘encryption的例子。 这是一种encryption方法,您可以在安装Ubuntu时进行设置,其中每个分区(root,home,swap等)都位于一个大LUKSencryption卷中。 假设您不要在此VPS上设置LUKS密码的自动input(而是在每次重新启动时通过SSH手动input,使用像https://unix.stackexchange.com/questions/5017/ssh-to -decrypt-encrypted-lvm-during-headless-server-boot ),这样别人试图重启你的系统就得知道密码了。 这样的解决scheme有哪些安全或隐私风险? VPS托pipe公司的员工或一些中间人能否以某种方式访问您的数据? 当然,他们可以随时对整个服务器进行快照,但为了启动它们,他们需要input密码,他们如何访问映像中的内容? 他们可以以某种方式窥探SSH密钥或encryption密码? 因为他们拥有托pipeVPS实例的物理机器的根目录,所以他们如何才能在我的VPS上获得root权限? 他们可以logging通过SSH发送到VPS的关键笔画吗? 如果SSH只保护通信,直到它在服务器上被解密,那么他们能看到你实际发送给服务器的是什么吗? 我假设服务器运行时损坏是可能的,而不是closures的时候,是正确的? 所以当服务器正在运行时(你已经input了LUKS密码),他们能做什么? 如果他们对你的系统做一个快照,那么他们可以用它做什么? 只是试图了解什么安全/隐私我得到什么,我不是通过在其他人有物理访问(即VPS)的服务器上进行全盘encryption。
抽象 我需要从多个客户端到Internet上的单个端口的encryption的TCP连接。 这可以用Squid来实现吗? 具体情况 我们在我们公司使用监控和客户端pipe理解决scheme,可通过局域网和VPN访问。 现在应该可以从不使用公司VPN的外部笔记本电脑访问。 通信必须encryption(TLS)。 客户端authentication必须使用客户端证书。 通信由客户端启动,并使用单个TCP端口。 我的调查结果 NGINX Plus似乎提供了这个function,但我们的pipe理员喜欢鱿鱼或阿帕奇。 在鱿鱼维基上,我发现: function:提到TCPencryption的HTTPS(HTTP安全或HTTP over SSL / TLS) 。 但是我也发现这个警告: 注意通过CONNECT传递的协议并不局限于Squid通常处理的协议。 毫不夸张地说,任何使用双向TCP连接的东西都可以通过CONNECT隧道传递。 这就是为什么Squid默认的ACL以拒绝CONNECT!SSL_Ports开始,为什么你必须有一个很好的理由把任何types的允许规则放在它们上面。 类似的问题 此问题使用SSLencryption与squid转发代理的客户端连接是simlar,但不处理反向代理/ TLS终止代理。 我需要知道的 我只有关于这些技术的基本知识,我们的pipe理员要求我提供一般的可行性。 Squid可以用来保存TCP连接的encryption吗? 这可以使用客户端证书进行身份validation来实现吗 还是应该只用于HTTPS连接?
出于多种原因,我一直在试图findencryption备份磁带的方法。 我目前正在为我的备份运行Bacula,并且它支持基于驱动器的encryption,我必须调用脚本或在驱动器中设置密钥。 如何在Debian Linux的磁带机上设置encryption选项?
我已经转移到Ubuntu 12,并select使用全盘encryption(encryption的LVM)。 所以,现在我想知道:我应该切丝(例如:与安全删除包,SRM)的可用磁盘空间,以删除任何剩余的窗户可能已经离开? 可用磁盘空间处理有什么不同?