我们有一个 Ubuntu 10.04 LTS 服务器,LVM 运行在磁盘加密之上,它运行在由两个物理 SATA 磁盘组成的 RAID1 卷之上。配置如下所示:
_______________
|swap| / | - LVM volume for swap (10 GB)
|____|__________| - LVM volume for root (rem. space ~ 490 GB)
|______LVG0_____| - LVM group
/d0fc97a3b3e8ae5a8\ - dm-crypt encrypted partition on RAID1
______/___________________\______
|/boot| > RAID1 | > RAID1 |/boot| - 250MB /boot partition on each disk
|_____|__________|__________|_____| - remaining space on each for RAID
|______500 GB____|____500 GB______| - SATA HDD x 2
这很好用,但是当我去模拟冷磁盘故障(关机,拔掉一个或另一个磁盘,然后通电)时,它无法提示我的启动密码并显示错误:
cryptsetup: LVM device name (dev/disk/by-UUID/[UUID …
在企业环境中,每个用户都会发布一个用于加密/签名的密钥对。由于他们拥有私钥,这意味着他们可以解密任何为他们加密的文件,即使在离开组织并且他们的证书被吊销后也是如此。
我想好像有什么办法可以阻止他们使用他们的私人访问组织的文件(在他们退休之前为所有员工加密)?
我想在我的所有域控制器上配置整个磁盘加密。BitLocker 是一种可以接受的方法吗?域控制器上的全盘加密有哪些潜在问题?
远程加密虚拟服务器(VPS、EC2等云服务器)的硬盘是否可行?这将有助于保护硬盘驱动器的内容不被主机窥探或由于安全漏洞而导致,但存在一些问题:
考虑到这些问题,用敏感数据加密服务器只是安全剧院,还是可以通过未加密的驱动器提供真正的安全性?
我需要在 2.6.32 linux 内核上提供具有静态加密功能的高度可用的 MySQL 数据库。“高可用”部分并不难,但“静态加密”在与 HA 结合使用时被证明是一个挑战。
关键问题在于安装加密存储。在我们所有其他静态加密系统上,有一个命令需要由人工运行,然后提示输入加密密钥。当涉及到服务必须自动启动的集群安排时,这个模型有一个相当明显的缺陷。
我目前不知道如何在 HA 环境中提供静态加密,而不是在同一系统上存储密钥密码。
我可以看到两种可能的情况,其中任何一种都适用于我的环境,但我不确定使它们起作用的细节。或者即使有可能。
通过这种方式,运行节点可以访问 CLVM 卷,因此它们可以在集群管理器告知时启动服务。节点的重新启动仍然需要人工,并且密码短语永远不会保存在磁盘上的任何地方。
与 CLVM 设置一样,节点在了解可能共享的存储之前不会加入集群。
问题是,我不确定上述任何一种方式是否有效。两者都假设可以在加密卷(例如pvcreate /dev/mapper/cryptmysql)之上分层 LVM PV 。这可能是不可能的。
首先让我说我尝试在其上设置 TDE(透明数据加密)的 SQL Server 2012 实例是企业版。
但是,在遵循MSDN 教程教程时,我会看到以下行:
create database encryption key with algorithm = AES_256 encryption by server certificate TDECertificate
我得到错误:
Msg 33117, Level 16, State 1, Line 6
Transparent Data Encryption is not available in the edition of this SQL Server instance. See books online for more details on feature support in different SQL Server editions.
谁能告诉我为什么我会收到这个错误?
我正在编写一个 Chef LWRP 来向 LUKS 容器添加一个密钥,但我很难想出一种方法来确定我的密钥是否已经存在。 cryptsetup luksAddKey会很高兴地多次添加相同的密钥文件,所以我不能简单地继续调用luksAddKey每个 Chef 运行。
到目前为止,我想出的最好的是
cryptsetup luksDump /dev/xvdf1 --dump-master-key --key-file <thenewkey> > /dev/null
那看起来:
有人有更好的主意吗?
谢谢!
不确定这是否是将其发布到的合适 SE,但这里是:是否有一些有关各种浏览器支持哪些 SSL 密码的在线参考?基本上,我对通过确保较低的密钥长度和旧算法(DES 和 3DES)不用于与客户端的通信来强化系统感兴趣。
这样做的方法(至少使用 Apache mod_ssl)似乎是控制服务器在握手期间提供的支持的密码。
我希望能够回答诸如“如果我强制使用 AES256,哪些浏览器会损坏?”之类的问题。
对于某些站点,这是可取的,因为它为我们提供了有关对话机密性的一些保证。如果他们的浏览器只支持被认为是不安全的连接,我们希望会话中断,以便他们被迫使用更现代/更强大的客户端。
我有一个系统,它显示来自带有叠加层的摄像机源的视频,并且它必须在没有任何用户干预的情况下启动(越快越好)。但是,这些系统将掌握在客户手中,因此我们担心逆向工程。
操作系统 (linux)、软件和日志存储在 mSATA SSD 上。CPU 是具有 4GB RAM 的第 4 代 Core i3。
基本上,我们如何防止任何不道德的客户或竞争对手简单地移除 SSD 并窃取我们的应用程序代码?显而易见的答案是加密驱动器,但它需要在无人看管的情况下启动。下一个合乎逻辑的步骤是在运行时解密软件,但您仍然需要将解密密钥以明文形式存储在某处,对吗?
板上有一个 TPM 模块,这可能是一个解决方案,但我找不到任何关于使用它的好的文档。
我愿意接受任何和所有建议。
Outlook 创建的 OST 缓存文件是否加密?我知道 Outlook 不会打开文件,除非它可以连接到用户的 Exchange 帐户,但我想知道是否有可能 3rd 方工具能够筛选它并恢复任何内容。我应该将它存储在加密驱动器上以获得更好的安全性吗?有没有人找到有关此的官方 Microsoft 文档?