Questions tagged «encryption»

我对此的结论是通过EoIP隧道传送VLAN中继并将其封装在硬件辅助的IPSec中。事实证明，两对价格相对便宜的Mikrotik RB1100AHx2路由器能够饱和1 Gbps连接，同时增加不到1毫秒的延迟。 我想加密两个数据中心之间的流量。站点之间的通信作为标准的提供程序桥（s-vlan / 802.1ad）提供，因此我们的本地vlan标签（c-vlan / 802.1q）保留在中继线上。通信遍历提供商网络中的几个第2层跃点。 两侧的边界交换机都是带有MACSec服务模块的Catalyst 3750-X，但是我认为MACSec没问题，因为我看不到任何方法来确保中继交换机之间的L2相等，尽管这可能在提供者桥上。MPLS（使用EoMPLS）肯定会允许该选项，但是在这种情况下不可用。 无论哪种方式，都可以随时更换设备以适应技术和拓扑选择。 我如何才能找到可行的技术选择，以通过以太网运营商网络提供第2层点对点加密？ 编辑： 总结一下我的一些发现： 多种硬件L2解决方案可用，起价为60,000美元（低延迟，低开销，高成本）。 在许多情况下，MACSec可以通过Q-in-Q或EoIP进行隧道传输。硬件起价为5,000美元（中低延迟，中低开销，低成本） 多种硬件辅助的L3解决方案可用，起价为5,000美元（高延迟，高开销，低成本）。

12 vlan  encryption  cisco-catalyst  macsec 

我正在考虑在Azure VM上托管符合HIPAA要求的Web应用程序。对于数据库，现在我倾向于将VM与SQL 2014 Standard Edition一起使用。 由于TDE在标准版中不可用，因此我将仅使用BitLocker加密整个驱动器。但是，根据我所读的内容，如果不使用某种第三方服务（例如CloudLink），就不可能在Azure VM上加密OS驱动器。 MSDN上的这篇文章暗示，但是，可以使用BitLocker加密数据驱动器。因此，我想我的问题有两个： 1）是否可以在Azure VM上使用BitLocker加密数据驱动器？ 2）如果我获得了具有SQL Standard的Azure VM，是否有必要对OS驱动器进行加密以保持与HIPAA兼容？

11 sql-server  azure  encryption  hipaa 

我有一个带有git存储库的生产服务器（Ubuntu，运行24/7），还有一些客户端计算机，每台客户端计算机都有该存储库的工作副本。在客户端计算机中，仅使用主文件夹加密似乎可以解决以下问题：在硬件被盗的情况下，没人可以访问git中的文件。 如何加密git存储库的远程端，以确保在硬件被盗的情况下，没有人可以重新配置和克隆git存储库？ 最初，我曾考虑过加密git用户的主目录，但是后来我意识到这没有任何意义，因为应该在何时何地解密它？ 我可以将git存储库放在自己的主目录/链接中，以便仅当我通过SSH登录到服务器时才可用吗？还是对此问题有类似的解决方案？ 感谢您提前提出任何提示！

11 ubuntu  git  encryption 

我已经阅读了许多有关Microsoft Office 2007加密的文章，并且由于使用AES，因此我使用所有默认选项收集了2007是安全的，并且可以通过将默认算法更改为AES来安全配置2000和2003。我想知道是否还有其他人阅读过其他文章或是否知道与他们如何实施加密有关的任何特定漏洞。我想告诉用户，只要他们使用AES和强密码，就可以使用它发送半敏感的文档。谢谢提供信息。

11 encryption  microsoft-office-2007  microsoft-office 

我们在Ubuntu 14.04 LTS上使用Samba作为具有漫游配置文件的PDC（主域控制器）。一切正常，除非我们尝试通过设置来实施加密： server signing = mandatory smb encrypt = mandatory 在[global]/etc/samba/smb.conf 的部分中。这样做之后，赢得8.0并赢得8.1个客户端（没有尝试过其他任何客户端）抱怨：Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden.此文本的英文翻译：The trust relationship between this workstation and the primary domain could not be established. 如果再加上两个选项server signing，并smb encrypt仅向[profiles]smb.conf文件的部分，则tcpdump显示，实际流量是不加密的！ 完整的smb.conf： [global] workgroup = DOMAIN server string = %h …

11 security  samba  encryption  samba4  domain-controller 

我正在PHP / MySQL中开发本地Intranet系统，以管理我们的客户端数据。似乎最佳实践是在输入MySQL服务器上的敏感数据时对其进行加密。 但是，我仍然不清楚在保持数据可随时访问的同时执行此操作的最佳方法是什么。 似乎很难回答这个问题：密钥存储在哪里？如何最好地保护钥匙？如果密钥存储在每个用户的计算机上，那么如果计算机被利用，该如何保护呢？如果密钥被利用，如何更改密钥？ 如果密钥要存储在数据库中，如何在其中进行保护？用户将如何访问它？

10 mysql  encryption 

我有一个.p7b格式的SSL证书，需要将其转换为.pfx。如果我通过Windows证书管理尝试此操作，则将禁用专家作为.pfx的选项。 尝试使用openssl我发现以下两个命令可以进行转换： openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer 但我不确定用于第二个命令的密钥是什么，或CACert.cer所指的证书。 如何将该密钥转换为.pfx格式？

10 ssl  certificate  encryption  openssl 

我以为自己已经成功保护了Postfix / Dovecot电子邮件服务器。我有一个来自LetsEncrypt的签名证书，该证书对我的域有效。 发送和接收工作正常，但是由于Gmail开始标记不安全的电子邮件，因此从我的服务器发送的所有邮件都被标记为未加密。 Gmail用户会看到“此邮件未加密”，如下所示： 在Postfix的main.cf以及其他设置中，我有： # SASL, for SMTP authentication smtpd_sasl_type = dovecot smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_path = private/auth # TLS, for encryption smtpd_tls_security_level = may smtpd_tls_auth_only = no smtpd_tls_CAfile = /etc/letsencrypt/live/mydomain.com/chain.pem smtpd_tls_cert_file = /etc/letsencrypt/live/mydomain.com/fullchain.pem smtpd_tls_key_file = /etc/letsencrypt/live/mydomain.com/privkey.pem tls_random_source = dev:/dev/urandom smtpd_client_new_tls_session_rate_limit = 10 smtpd_tls_session_cache_database = …

10 ubuntu  postfix  dovecot  encryption  gmail 

我最近收到一条关于将密码设置为20个字符以上的建议。用于加密的算法是带有256位主密钥的AES。假设8字符密码对破解加密文件的暴力攻击有多安全？ 我知道这在大多数网站上都被认为是一个不错的密码大小。原因之一是他们可以在3次左右尝试后停止攻击。

10 password  encryption  brute-force-attacks 

我使用以下脚本为MySQL配置了SSL。 #!/bin/bash # mkdir -p /root/abc/ssl_certs cd /root/abc/ssl_certs # echo "--> 1. Create CA cert, private key" openssl genrsa 2048 > ca-key.pem echo "--> 2. Create CA cert, certificate" openssl req -new -x509 -nodes -days 1000 -key ca-key.pem > ca-cert.pem echo "--> 3. Create Server certificate, key" openssl req -newkey …

9 mysql  ssl  ssl-certificate  encryption 

我管理一个虚拟办公室，我们的员工使用SSH密钥和密码进行身份验证。如果我们的一名员工忘记了他的密码，是否可以使用他的公共RSA ssh密钥加密临时密码，以便我可以通过电子邮件将其发送给他？ 我已经看到了与此问题有关的其他问题，但是“答案”通常建议不要使用公共/私有SSH密钥执行常规的加密/解密，并且实际上没有说明是否可行。我想知道是否确实可行，以及加密和解密密码的步骤是什么。

9 ssh  password  encryption  openssl  public-key 

换句话说，不从证书颁发机构签署公共密钥证书的安全风险是什么（从用户的角度来看）？我的意思是，数据仍处于加密状态...中间的人可以用未签名的证书做什么？

9 security  ssl-certificate  https  encryption 

我正在Linux机器上设置一个用于Subversion存储库访问的新帐户，并且可以将密码发送给新用户。但是，我认为该新用户有一个命令行实用程序，可以将他喜欢的密码加密为我可以直接复制/粘贴到/ etc / shadow文件中的格式。 这个新用户应在控制台（例如Bash）上运行以创建这样的加密密码的完整命令是什么？ 更新：将不允许用户登录计算机，该帐户仅用于svn + ssh：//访问。因此，用户不能自己更改它。

9 bash  password  encryption  shadow 

抽象 我需要从多个客户端到Internet上单个端口的加密TCP连接。鱿鱼可以实现吗？ 具体情况 我们在公司中使用监视和客户端管理解决方案，该解决方案可通过LAN和VPN访问。现在应该可以从不使用公司VPN的外部笔记本上访问它。通信必须是加密的（TLS）。客户端身份验证必须使用客户端证书。通信由客户端启动，并使用单个TCP端口。 我的调查结果 NGINX Plus似乎提供了此功能，但我们的管理员更喜欢乌贼或apache。在鱿鱼Wiki上，我发现：功能：HTTPS（HTTP安全或SSL / TLS上的HTTP）提到了TCP加密。但是我也发现了这个警告： 重要的是要注意，通过CONNECT传递的协议不仅限于Squid通常处理的协议。实际上，使用双向TCP连接的所有内容都可以通过CONNECT隧道传递。这就是为什么Squid默认ACL以deny CONNECT！SSL_Ports开头的原因，并且您必须有充分的理由在其上方放置任何类型的允许规则。 类似问题 这个问题使用SSL加密与鱿鱼正向代理的客户端连接是类似的，但是不处理反向代理/ TLS终止代理。 我需要知道的 我对该技术只有基本知识，我们的管理员要求我提供一般可行性。 Squid可以用于保存TCP连接的加密吗？ 可以使用客户端证书的身份验证来实现吗？ 还是应该仅将其用于HTTPS连接？

8 tcp  squid  certificate  tls  encryption 

我正在使用Windows Server 2012 R2上的测试域。我正在尽可能高的功能级别上进行操作，并且在小型测试环境中没有向后兼容性问题。但是，我已经意识到，尽管事实上我支持 Kerberos AES身份验证，但是默认情况下，任何用户都不会启用它。我实际上必须进入用户的属性并选中“此帐户支持Kerberos AES 128位加密”和/或“此帐户支持Kerberos AES 256位加密”以启用它。 （我在将测试帐户添加到“受保护的用户”组时首先意识到了这一点，该帐户将策略设置为需要AES。此后，我的所有网络登录都开始失败，直到选中了这些框。） 我认为默认情况下可以禁用此选项以确保某些系统的向后兼容性，但是我找不到为所有用户启用此功能的方法，甚至找不到当前行为的解释。 有任何想法吗？

8 active-directory  kerberos  windows-server-2012-r2  encryption