这个当前的项目需要将数据库转储,encryption并推送到s3。 我想知道什么可能是这样一个任务的一些“最佳实践”。 到目前为止,我正在使用一个非常直接的方法,但是希望在安全性方面有一些更好的想法。 这是我的脚本的开始: mysqldump -u root –password="lepass" –all-databases –single-transaction > db.backup.sql tar -c db.backup.sql | openssl des3 -salt –passphrase foopass > db.backup.tarfile s3put backup/db.backup.tarfile db.backup.tarfile # Let's pull it down again and untar it for kicks s3get surgeryflow-backup/db/db.backup.tarfile db.backup.tarfile cat db.backup.tarfile | openssl des3 -d -salt –passphrase foopass |tar -xvj 显然问题是这个脚本是攻击者需要提升的地狱。 任何想法,批评和build议这项任务将不胜感激。
如果您在GNU / Linux系统上实施了任何types的块设备encryption,那么也可以encryption您的交换分区,因为任何解密的数据都可以随时以明文forms写入交换。 查看“crypttab”的debian手册页,我看到一个在启动时创build一个随机键入的交换分区的例子,所以这个键随着启动的进行而随机设置,并且只被系统本身所知: # Encrypted swap device cswap /dev/sda6 /dev/urandom cipher=aes-cbc-essiv:sha256,hash=ripemd160,size=256,swap 在这个例子中,交换设备被传统的devpath(即/dev/sda6 )引用 例如,如果插入了USB驱动器,绝对设备path可能会改变,并在启动时被重新分配。 如果/dev/sda6碰巧是一个不同于预期的分区,用户会非常不高兴,并随后被随机交换数据覆盖! 所以解决scheme似乎是:使用UUID而不是设备path(因为UUID不应该改变),用/dev/disk/by-uuid/<whatever the uuid of dev/sda6 is> /dev/sda6replace/dev/sda6 /dev/disk/by-uuid/<whatever the uuid of dev/sda6 is> 但是…这里的问题是:每次cryptsetup在启动时重新创buildencryption的交换分区,它都会为它生成一个新的UUID! 卫生署! 所以我们需要保存这个encryption文件系统的UUID。 我认为cryptsetup可以通过它的–offset开关来实现,允许保存LUKS头和UUID。 我find了这个url: https : //wiki.archlinux.org/index.php/System_Encryption_with_LUKS#Using_UUIDs_with_encrypted_swap_partitions 有谁知道如何在Debian OS上实现Arch Linux的解决scheme? Debian操作系统中似乎并不存在文档中提到的init脚本 谢谢! 编辑一个可以使用ecryptfs来实现相同的目的(encryption交换空间)使用命令: ecryptfs-setup-swap没有困扰块设备encryption的问题。 看看这个AskUbuntu查询
什么选项可用于OSX全盘encryption? 他们哪一个最好?
networking似乎被密码清除器淹没。 不过我是另一边。 我对我的文件的安全感兴趣。 如果我有一个WinRAR压缩文件(大于1M字节)并使用一个密码(> 6个字符长,非字母数字字符),我的压缩文件的安全性如何?
我pipe理一个虚拟办公室,我们的员工使用SSH密钥和密码进行身份validation。 如果我们的工作人员忘记密码,有没有办法使用他的公共RSA ssh密钥encryption临时密码,以便通过电子邮件发送给他? 我已经看到了与此相关的其他问题,但是“答案”通常build议不要使用公钥/私钥SSH密钥来执行一般的encryption/解密操作,并且实际上并不表示这是可能的。 我想知道是否确实可行,以及要encryption和解密密码的步骤是什么。
我在我家运行一台小型的CentOS服务器,用于其他备份等。我镇上另一边的朋友也在他的家里为了类似的目的而运行一个小型的服务器。 我们一直玩弄使用eachothers服务器做远程/异地备份的想法。 基本上,我们每个人都会购买一个外部硬盘来存储在他们家里,连接到其他服务器上。 然后,我们将设置计划的rsync将相应的数据从一台服务器推送到另一台服务器上的外部硬盘。 大部分都很简单。 但是,有一点很重要(至less对我来说)是数据encryption。 我想将我的数据存储在我的朋友服务器上的外部硬盘上。 但我不希望我的朋友(或任何访问我朋友的服务器的人)能够读取外部硬盘上的内容。 什么是最好的办法呢? 你可以使用rsync发送数据到一个encryption的硬盘驱动器,并以某种方式传递一个密码,以及它用来写入数据,一旦它到达服务器?
我的Linux服务器花了很多时间计算LUKSencryption。 有没有办法硬件加速它(例如PCI Express卡)?
我正在Linux上为Subversion版本库访问设置一个新账户,并且可以将密码发送给新用户。 不过,我认为这个新用户有一个命令行实用工具,可以将他喜欢的密码encryption成可以直接复制/粘贴到/ etc / shadow文件的格式。 这个新用户应该在控制台(例如Bash)上运行以创build如此encryption的密码的完整命令是什么? 更新:用户将不被允许在机器上login,并且该帐户将仅用于svn + ssh://访问。 因此,用户不能自己改变它。
我有一个Nginx服务器,并禁用nginx_vhost.conf隐藏文件 ## Disable .htaccess and other hidden files location ~ /\. { deny all; access_log off; log_not_found off; } 但是,LetsEncrypt需要访问.well .well-known目录。 如何允许.well-known目录并拒绝其他隐藏的文件?
我最近收到了一个build议我的密码超过20个字符的build议。 用于encryption的algorithm是具有256位主键的AES。 如何安全的,比方说,8字符密码反对暴力破解encryption文件的暴力攻击? 我知道这在大多数网站上被认为是一个很好的密码大小。 其中一个原因是,他们可以在3次左右后停止攻击。