タグ付けされた質問 「encryption」

これに対する私の結論は、EoIPトンネルを介してVLANトランクをパイプし、それらをハードウェア支援IPSecにカプセル化することでした。2組のかなり安価なMikrotik RB1100AHx2ルーターは、1ミリ秒未満のレイテンシを追加しながら、1 Gbps接続を飽和させることができることが証明されました。 2つのデータセンター間のトラフィックを暗号化します。サイト間の通信は標準プロバイダーブリッジ（s-vlan / 802.1ad）として提供されるため、ローカルvlanタグ（c-vlan / 802.1q）はトランクで保持されます。通信は、プロバイダーネットワーク内の複数のレイヤー2ホップを通過します。 両側の境界スイッチは、Catalyst 3750-XとMACSecサービスモジュールですが、トランク上のスイッチ間でL2の同等性を保証する方法が見当たらないため、MACSecは問題外だと思います。プロバイダーブリッジ経由。MPLS（EoMPLSを使用）は、このオプションを確実に許可しますが、この場合は使用できません。 いずれにしても、テクノロジーとトポロジーの選択に対応するために、機器をいつでも交換できます。 イーサネットキャリアネットワーク上でレイヤー2ポイントツーポイント暗号化を提供できる実行可能なテクノロジーオプションを見つけるにはどうすればよいですか？ 編集： 私の発見のいくつかを要約すると： 60,000米ドルから始まる多くのハードウェアL2ソリューションが利用可能です（低遅延、低オーバーヘッド、高コスト） MACSecは多くの場合、Q-in-QまたはEoIPを介してトンネリングされます。5,000米ドルからのハードウェア（低中遅延、低中オーバーヘッド、低コスト） 5,000米ドルからのハードウェア支援L3ソリューションが多数利用可能です（高遅延、高オーバーヘッド、低コスト）

12 vlan  encryption  cisco-catalyst  macsec 

Azure VMでHIPAA準拠のWebアプリケーションをホストすることを検討しています。データベースについては、現在、SQL 2014 Standard EditionでVMを使用することに傾倒しています。 TDEはStandard Editionでは使用できないため、BitLockerを使用してドライブ全体を暗号化します。ただし、私が読んだことによると、何らかの種類のサードパーティサービス（CloudLinkなど）を使用せずにAzure VMのOSドライブを暗号化することはできません。 MSDNのこの記事は、BitLockerを使用してデータドライブを暗号化することが可能であることを示唆しています。したがって、私の質問は2つあると思います。 1）Azure VMでBitLockerを使用してデータドライブを暗号化できますか？ 2）SQL StandardでAzure VMを入手した場合、HIPAAに準拠し続けるためにOSドライブを暗号化する必要がありますか？

11 sql-server  azure  encryption  hipaa 

私は、Gitリポジトリと、このリポジトリの作業用コピーを備えたクライアントコンピューターを備えた運用サーバー（24時間年中無休のUbuntu）を所有しています。クライアントコンピューターでは、ホームフォルダーの暗号化を使用するだけで、ハードウェアが盗まれた場合にgitのファイルに誰もアクセスできないという問題を解決できるようです。 盗まれたハードウェアの場合に誰もgitリポジトリを再構成および複製できないように、gitリポジトリのリモート側を暗号化するにはどうすればよいですか？ 最初はgitユーザーのホームディレクトリを暗号化することを考えましたが、いつ、誰によって復号化する必要があるのか​​、これは意味をなさないことに気付きました。 gitリポジトリを自分のホームディレクトリ/リンクに配置して、SSH経由でサーバーにログインしたときにのみ使用できるようにできますか？または、この問題に同様の解決策がありますか？ 事前にヒントをありがとう！

11 ubuntu  git  encryption 

MicrosoftのOffice 2007暗号化に関するさまざまな記事を読みましたが、2007年はAESを使用しているため、すべてのデフォルトオプションを使用して2007を収集し、デフォルトアルゴリズムをAESに変更することで2000および2003を安全に構成できます。他の誰かが他の記事を読んだり、暗号化の実装方法に関連する特定の脆弱性を知っている人がいるかどうか疑問に思っていました。AESと強力なパスワードを使用している限り、これを使用して半機密文書を送信できることをユーザーに伝えたいと思います。情報のおかげで。

11 encryption  microsoft-office-2007  microsoft-office 

Ubuntu 14.04 LTSのSambaをローミングプロファイルのPDC（プライマリドメインコントローラー）として使用します。次の設定で暗号化を強制しようとした場合を除いて、すべてが正常に機能します。 server signing = mandatory smb encrypt = mandatory [global]/etc/samba/smb.conf のセクション。これを行った後、8.0クライアントと8.1クライアントを獲得します（他のクライアントを試したことはありません）。Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden.このテキストの英語の翻訳：The trust relationship between this workstation and the primary domain could not be established. 我々は二つのオプションを追加する場合server signingとsmb encryptだけに[profiles]はsmb.confのセクション、そしてtcpdumpショーは、実際のトラフィックは暗号化されていないこと！ 完全なsmb.conf： [global] workgroup = DOMAIN server string = %h …

11 security  samba  encryption  samba4  domain-controller 

クライアントデータを管理するために、PHP / MySQLでローカルイントラネットシステムを開発しています。入力中のMySQLサーバー上の機密データを暗号化することをお勧めします。 ただし、データに容易にアクセスできる状態でこれを行うための最良の方法は何なのかはわかりません。 答えるのは難しい質問のようです：キーはどこに保存されていますか？鍵を最もよく保護する方法は？キーが各ユーザーのマシンに保存されている場合、マシンが悪用された場合にそれを保護するにはどうすればよいですか？キーが悪用された場合、キーを変更するにはどうすればよいですか？ キーをDBに保存する場合、それをどのように保護しますか？ユーザーはどのようにアクセスしますか？

10 mysql  encryption 

.pfxに変換する必要がある.p7b形式のSSL証明書を持っています。Windowsの証明書管理でこれを試すと、.pfxとしてのエキスパートのオプションが無効になります。 opensslで試してみると、変換を行う次の2つのコマンドが見つかりました。 openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer しかし、esecondコマンドに使用するキー、またはCACert.cerが参照する証明書がわかりません。 このキーを.pfx形式に変換するにはどうすればよいですか？

10 ssl  certificate  encryption  openssl 

最近、パスワードを20文字以上に設定することを求めるメッセージが表示されました。暗号化に使用されるアルゴリズムは、256ビットの主キーを持つAESです。暗号化されたファイルを解読するためのブルートフォース攻撃に対する8文字のパスワードはどのくらい安全ですか？ これは、ほとんどのWebサイトで適切なパスワードサイズと見なされていることを知っています。この理由の1つは、3回程度の試行で攻撃を停止できることです。

10 password  encryption  brute-force-attacks 

Postfix / Dovecot電子メールサーバーを無事に保護できたと思いました。私のドメインで有効なLetsEncryptからの署名付き証明書を持っています。 送受信は正常に機能しますが、Gmailが安全でないメールにフラグを付け始めたため、サーバーから送信されたすべてのメールに暗号化されていないフラグが付けられます。 Gmailユーザーには、次のように「このメッセージは暗号化されていません」と表示されます。 Postfixにmain.cfは、他の設定の中でも特に、 # SASL, for SMTP authentication smtpd_sasl_type = dovecot smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_path = private/auth # TLS, for encryption smtpd_tls_security_level = may smtpd_tls_auth_only = no smtpd_tls_CAfile = /etc/letsencrypt/live/mydomain.com/chain.pem smtpd_tls_cert_file = /etc/letsencrypt/live/mydomain.com/fullchain.pem smtpd_tls_key_file = /etc/letsencrypt/live/mydomain.com/privkey.pem tls_random_source = dev:/dev/urandom smtpd_client_new_tls_session_rate_limit = 10 smtpd_tls_session_cache_database = …

9 ubuntu  postfix  dovecot  encryption  gmail 

次のスクリプトを使用して、MySQLにSSLを構成しました。 #!/bin/bash # mkdir -p /root/abc/ssl_certs cd /root/abc/ssl_certs # echo "--> 1. Create CA cert, private key" openssl genrsa 2048 > ca-key.pem echo "--> 2. Create CA cert, certificate" openssl req -new -x509 -nodes -days 1000 -key ca-key.pem > ca-cert.pem echo "--> 3. Create Server certificate, key" openssl req -newkey …

9 mysql  ssl  ssl-certificate  encryption 

私は仮想オフィスを管理しており、スタッフは認証にSSHキーとパスワードの両方を使用しています。スタッフの1人がパスワードを忘れた場合、RSAの公開sshキーを使用して一時的なパスワードを暗号化し、電子メールで送信できるようにする方法はありますか？ これに関連する他の質問を見たことがありますが、「回答」では一般に公開/秘密SSHキーを使用して一般的な暗号化/復号化を実行することは推奨されておらず、可能かどうかは実際には述べていません。それが本当に可能かどうか、およびパスワードを暗号化してから復号化する手順は何ですか？

9 ssh  password  encryption  openssl  public-key 

言い換えれば、（ユーザーの観点から）認証局が公開鍵証明書に署名しないことのセキュリティ上のリスクは何でしょうか？つまり、データはまだ暗号化されています...署名されていない証明書を使用して、真ん中の男は何ができますか？

9 security  ssl-certificate  https  encryption 

LinuxボックスでSubversionリポジトリにアクセスするための新しいアカウントを設定しています。新しいユーザーにパスワードを送信できます。ただし、この新しいユーザーが好きなパスワードを/ etc / shadowファイルに直接コピー/貼り付けできる形式に暗号化するコマンドラインユーティリティがあったと思います。 このような暗号化されたパスワードを作成するために、この新しいユーザーがコンソール（Bashなど）で実行する必要がある完全なコマンドは何ですか？ 更新：ユーザーはマシンへのログインを許可されず、アカウントはsvn + ssh：//アクセスにのみ使用されます。したがって、ユーザーが自分で変更することはできません。

9 bash  password  encryption  shadow 

概要 複数のクライアントからインターネット上の単一のポートへの暗号化されたTCP接続が必要です。これはSquidで実現できますか？ 具体的な状況 私たちは、LANとVPNを介してアクセスできる社内の監視およびクライアント管理ソリューションを使用しています。これで、会社のVPNを使用しない外部ノートブックからアクセスできるはずです。通信は暗号化する必要があります（TLS）。クライアント認証では、クライアント証明書を使用する必要があります。通信はクライアントによって開始され、単一のTCPポートを使用します。 私の調査結果 NGINX Plusはこの機能を提供しているようですが、管理者はSquidまたはApacheを好みます。イカのwikiで私はそれを発見しました：機能：HTTPS暗号化が言及されているHTTPS（HTTPセキュアまたはHTTP over SSL / TLS）。しかし、私はこの警告も見つけました： CONNECTを介して渡されるプロトコルは、Squidが通常処理するものに限定されないことに注意することが重要です。文字通り、双方向のTCP接続を使用するものなら何でも、CONNECTトンネルを通過できます。これが、SquidのデフォルトACLが拒否CONNECT！SSL_Portsで始まる理由であり、その上に任意のタイプの許可ルールを配置する十分な理由があるはずです。 同様の質問 この質問SSLを使用したSquidフォワードプロキシによるクライアント接続の暗号化は同様ですが、リバースプロキシ/ TLS終了プロキシは扱いません。 知っておくべきこと 私はその技術についての基本的な知識しか持っておらず、私たちの管理者が一般的な実現可能性について私に尋ねました。 Squidを使用してTCP接続の暗号化を保存できますか？ これは、クライアント証明書による認証を使用して実現できますか？ または、HTTPS接続にのみ使用する必要がありますか？

8 tcp  squid  certificate  tls  encryption 

Windows Server 2012 R2のテストドメインで遊んでいます。私は可能な限り最高の機能レベルで運用しており、小規模なテスト環境で下位互換性の問題はありません。ただし、私はKerberos AES認証をサポートしているにもかかわらず、どのユーザーに対してもデフォルトで有効になっていないことに気付きました。実際にユーザーのプロパティに移動し、「このアカウントはKerberos AES 128ビット暗号化をサポートしています」または「このアカウントはKerberos AES 256ビット暗号化をサポートしています」をチェックして有効にする必要があります。 （AESを要求するポリシーを設定する「保護されたユーザー」グループにテストアカウントを追加したときに、最初にこれに気付きました。その後、これらのボックスをオンにするまで、すべてのネットワークログインが失敗し始めました。） 一部のシステムの下位互換性を確保するために、これはデフォルトで無効になっている可能性があると思いますが、すべてのユーザーに対してこれを有効にする方法、または現在の動作の説明すら見つかりません。 何か案は？

8 active-directory  kerberos  windows-server-2012-r2  encryption