有什么方法可以在远程服务器上对磁盘进行完全encryption(比如,位于数据中心)? 在Windows上,我们可以通过TPM打开Bitlocker。 然后服务器可以重新启动,而攻击要么需要在活着的时候拿走机器,卸载RAM,要么打破TPM。 在Linux上,有什么可用的? 到目前为止,我已经find了描述如何在TPM中存储dm-crypt密钥的IBM“蓝图”。 这是最好的办法吗? http://publib.boulder.ibm.com/infocenter/lnxinfo/v3r0m0/topic/liaai/tpm/liaaitpm_pdf.pdf
alg: drbg: could not allocate DRNG handle for … 在我们创build的虚拟机启动过程中,我只能在控制台上看到这个错误。 编辑:2/5/16 – 我也看到它在一些裸机安装。 (它确实继续完全启动。)我认为这与虚拟硬件有关,缺less(兼容的)随机数生成器。 问题是我无法评估严重程度。 encryption强度是否受损? (我是否应该关心这个错误?) 我该如何解决? 我们在CentOS 6.7下使用QEMU / KVM。 如果你真的认为它会有帮助,我可以做一个示例系统的virsh dumpxml 。 我们正在使用Anaconda默认密码/密钥大小 。 (AES-XTS-plain64 / 512) 这是我在linux-crypto邮件列表上find的最早的参考资料 。 不幸的是,这有点过头了。 http://www.mail-archive.com/linux-crypto%40vger.kernel.org/msg10398.html
我需要知道我的服务器是否安装了TPM。 它位于距离我10000英里的地方,所以去那里看看BIOS不是一个select。 戴尔网站上也没有描述这些信息,也没有介绍维基百科。 所以,只有当你知道如何找出TPM是否通过远程桌面安装在我的服务器上时,请回答。 谢谢
我正试图在Linux中创build一个encryption的,不断增长的文件系统。 我熟悉LUKS和cryptsetup。 我可以创build一个空文件: fallocate -l 512M /root/image 我可以在它上面创build一个LUKS容器: cryptsetup -y luksFormat /root/image 然后“打开”它: cryptsetup luksOpen /root/image luksvolume 在这一点上,我可以制作一个文件系统: mkfs.ext4 -j /dev/mapper/luksvolume 这一切都很好,很棒。 但是,这并不涉及问题的“按需增长”部分。 这个想法是,在encryption的文件系统上复制一个2Gb文件将“扩展”图像,使其足以容纳该文件。 这甚至有可能吗?
我为我的Apache 2.4服务器创build了一个证书。 为了validation我的服务器,letsencrypt创build了.well-known的文件夹并访问它。 我是否需要保持此文件夹可用(用于证书更新)还是可以删除/阻止文件夹?
在我以前的工作中,我们使用开放源代码(IMO)安全方法来pipe理networking基础设施,以及其他重要主机的密码(使用Keepass)。 然而,在我的新工作中,似乎他们正在使用受密码保护的Excel电子表格。 在我对密码安全性进行了细致的研究之前,我浏览了一下这个网站,发现微软在他们的办公产品上实现了encryptionfunction。 主要问题: MS Excel / office 2010的密码encryptionfunction有多安全? 我一直认为这是一个处理密码的不安全的方式,是不是这样的情况呢? 使用Excel 2010文档进行密码pipe理有许多缺点吗?
有人试过这种方法吗? 我真的在考虑:不是依靠基于networking的IDS等,每个数据包都必须使用由我自己的CA颁发的证书启动的encryption。 每个客户端都获得唯一的客户端证书 每台服务器都有唯一的服务器证书 每项服务还需要login。 SSL和SSH都可以。 访问互联网将通过到隧道的SSL隧道完成。 这可行吗? 它是否会造成实际问题? 怎么可能做到和执行? 你怎么看? 更多细节 我的目标是简化局域网的安全概念 – 我还不确定,如果这是一个疯狂的想法! 但我觉得,保护HTTPS或SSH服务器免受networking威胁(如果使用双向身份validation),有时比监视局域网野外世界中可能发生的一切更容易。 在一个非encryption的局域网上,我觉得很难成为潜在攻击者的一个好兆头,因为这样的威胁是: 像ARP欺骗,端口窃取等低级别攻击… 无线局域网接入(例如,每个开发人员将被允许从(W)局域网访问SVN服务器 – 我不认为这将通过VPN …) =>为了简单起见,假设是否更容易,LAN中总是存在攻击者? =>我可以最终简化一个(小公司)的局域网安全概念,把它当作广域网来对待吗? 或者我会让它更复杂? IPSec和替代品 IPSec听起来很有希望,但我也会对IPSec的替代品感兴趣 – 每个服务单独使用SSL / SSH并为网关创build一个Stunnel? 使用Kerberos也许? …什么是IPSec或其他的优点? 如果您可以帮助我更好地掌握IPSec,请在IPSec 上专门查看我的后续问题 。
TrueCrypt允许用户在驱动器或分区上的文件或设备上创build一个encryption卷。相互之间有什么优势或劣势?
我以为我成功保护了我的Postfix / Dovecot电子邮件服务器。 我有一个来自LetsEncrypt的签名证书,对我的域名有效。 发送和接收工作正常,但由于Gmail开始标记不安全的电子邮件,所有从我的服务器发送的邮件都被标记为未encryption。 Gmail用户看到“此消息未encryption”,如下所示: 在Postfix的main.cf和其他设置中,我有: # SASL, for SMTP authentication smtpd_sasl_type = dovecot smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_path = private/auth # TLS, for encryption smtpd_tls_security_level = may smtpd_tls_auth_only = no smtpd_tls_CAfile = /etc/letsencrypt/live/mydomain.com/chain.pem smtpd_tls_cert_file = /etc/letsencrypt/live/mydomain.com/fullchain.pem smtpd_tls_key_file = /etc/letsencrypt/live/mydomain.com/privkey.pem tls_random_source = dev:/dev/urandom smtpd_client_new_tls_session_rate_limit = 10 smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache […]
我有一些未encryption的较旧的EBS卷。 在满足新的企业安全措施时,所有数据都需要“静态encryption”,因此我需要将所有卷转换为encryption。 什么是完成这个最好的方法?