标签: encryption

该ssh-keygen命令生成的.pub文件被描述为“公钥文件”，但它们与我通常看到的大多数“公钥文件”完全不同，它们采用 PEM 格式。该ssh-keygen风格的文件看起来是这样的：

ssh-rsa AAAAB3NzaC1... user@host

...而 PEM 文件如下所示：

-----BEGIN CERTIFICATE-----
MIIGZjCCBU6gAwIBAgIDCIrNMA0GCSqGSIb3DQEBBQUAMIGMMQsw...
-----END CERTIFICATE-----

这两种格式是否可以互换，或者它们是否执行根本不同的目的？我遇到这个问题是因为我想获取 PEM 编码的公钥文件的 RSA2 密钥指纹，但通常建议这样做的方法 ( ssh-keygen -l) 说我的 PEM 编码文件“不是公钥文件”。

顺便说一下，我知道这个答案，但它不包括由 .pub 生成的 .pub 文件ssh-keygen。

我很好奇是否有可能有一个 VPS 上有托管服务提供商无法读取的数据，但仍然可以在 VPS 上使用。

显然，您可以采取一些措施来防止他们阅读任何内容......

1. 您可以更改所有密码，包括 root。但是，他们仍然可以使用一些备用引导来重置密码，或者他们可以以另一种方式挂载磁盘。

2. 因此，您可以加密磁盘或至少磁盘上的某些内容。但是似乎如果您解密了内容，他们仍然可以“窥视”以查看您在控制台上所做的事情，因为毕竟虚拟化平台应该允许这样做。

3. 即使你能阻止它，他们似乎也可以直接读取 VPS 的 RAM。

当然，VPS 可以在其上存储数据，只要密钥不在 VPS 上并且数据永远不会在 VPS 上解密，那么主机就无法获取数据。

但在我看来，如果 VPS 上的数据被解密...用于 VPS...那么托管提供商可以获得数据。

所以，我的两个问题是：

1. 这样对吗？真的没有办法 100% 保护主机上 VPS 上的数据不被主机看到，同时保持 VPS 可以访问它吗？

2. 如果有可能使其 100% 安全，那么如何？如果不可能，那么从 Web 主机隐藏数据最接近的方法是什么？

我想在我的所有备份磁带上启用加密。我或多或少知道如何在技术上做到这一点，但实现这一点的程序和人为因素很棘手。

我使用带有 bacula 的 HP LTO4 驱动器，它没有任何密钥管理功能。实际上，它对硬件加密的支持是在读写之前调用一个外部脚本来设置驱动器上的密钥。

我的问题：

1. 我应该如何跟踪哪些磁带具有加密功能？我已经有几百盘没有加密的磁带。即使我花时间用加密重写它们，也会有几个月的重叠，有些有，有些没有。bacula 如何在读取给定磁带之前知道是否设置密钥？即使设置了密钥，驱动器是否足够智能以读取未加密的磁带？
2. 如果密钥被泄露，我们将不得不更改它，我们将遇到与 #1 相同的问题。
3. 如果密钥丢失，我们实际上已经丢失了所有备份。我怎样才能在不增加它被破坏的风险的情况下缓解这种情况？
4. 密钥是否应该定期更改？一年一次？最佳做法是什么？
5. 大型 ISV 备份系统如何处理这些问题？

为了遵守马萨诸塞州新的个人信息保护法，我的公司需要（除其他外）确保任何时候通过电子邮件发送的个人信息都是加密的。什么是最简单的方法来做到这一点？基本上，我正在寻找需要收件人最少努力的东西。如果可能的话，我真的想避免他们必须下载程序或通过任何步骤来生成密钥对等。所以命令行 GPG 类型的东西不是一种选择。我们使用 Exchange Server 和 Outlook 2007 作为我们的电子邮件系统。

有没有一个程序可以让我们轻松加密电子邮件，然后用密钥传真或呼叫收件人？（或者，也许我们的电子邮件可以包含指向我们网站的链接，其中包含我们的公钥，收件人可以下载该链接以解密邮件？）我们不必发送许多这些加密的电子邮件，但是发送它们的人会不是特别技术，所以我希望它尽可能简单。任何好的节目录制都会很棒。谢谢。

除了定期的现场备份（保存在防火保险箱中）之外，我们还每月一次将磁带发送到场外，并使用 AES 加密。因此，如果我们的站点有一天被外星热射线蒸发了，我们至少应该有一个最近的备份来恢复。

除了 128 位加密密钥仅存储在现场。因此，在真正发生灾难的情况下，我们实际上会留下一个加密备份，而无法对其进行解密。

问题：异地存储加密密钥的最佳策略是什么？

我们选择的任何方法都需要通过安全审核，所以“在家里保留一份副本”是不够的，而“将其与异地磁带一起保留”显然违背了首先加密它们的目的！我们正在考虑的几个选项包括：

• 银行的保险箱
• 以受密码保护的形式存储在云端或地理位置不同的网络中（例如使用 Keepass 或 Password Safe 等软件）

当然，第二个选项带来了另一个问题：我们如何保持该密码的安全。

我已将 Web 服务器设置为使用 SSL（在将其移至公共服务器之前，我将 WAMP 用于我的暂存方案）。手头站点的目的已经成功，我能够使用 HTTPS 协议从远程计算机使用该站点。

我的一个用户（测试人员）提出的一个问题是关于 POST 数据。在他的测试场景中，他在我们的一位潜在客户的现场，访问位于他们非常挑剔的公司防火墙后面的站点（我们已经确定了该站点如何应用于他们的 AUP，我们很干净）​​。他在 FireFox 中运行站点，使用 Firebug 来监视 POST 和 GET 数据。问题在这里：

在他的 Firebug 窗口中，来自 XMLHTTPRequest 的 POST 和 Response 以纯文本形式返回。是因为他是发起安全连接的人吗？POST/Response 数据会显示给网络管理员或日志吗？

请注意，此处的目的不是欺骗管理员或规避政策；这是一款适用于需要传输敏感数据的不同地点的现场人员的应用程序。使用将与我们遇到的每个网络基础设施协调。

我在 LVM LV 之上的 LUKS 之上有一个 500GiB ext4 文件系统。我想将 LV 的大小调整为 100GiB。我知道如何在 LVM LV 上调整 ext4 的大小，但如何处理 LUKS 卷？

mgorven@moab:~% sudo lvdisplay /dev/moab/backup
  --- Logical volume --- 
  LV Name                /dev/moab/backup
  VG Name                moab
  LV UUID                nQ3z1J-Pemd-uTEB-fazN-yEux-nOxP-QQair5                                                                      
  LV Write Access        read/write
  LV Status              available
  # open                 1
  LV Size                500.00 GiB                                                                                                           
  Current LE             128000
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     2048 
  Block device           252:3
mgorven@moab:~% sudo cryptsetup status backup
/dev/mapper/backup is active and is in …

我正在尝试使用 Linux 创建一个加密的、按需增长的文件系统。我熟悉 LUKS 和 cryptsetup。

我可以创建一个空文件：

fallocate -l 512M /root/image

我可以在其上创建一个 LUKS 容器：

cryptsetup -y luksFormat /root/image

然后“打开”它：

cryptsetup luksOpen /root/image luksvolume

此时，我可以在其上创建一个文件系统：

mkfs.ext4 -j /dev/mapper/luksvolume

这一切都很好。但是，它没有解决问题的“按需增长”部分。

这个想法是在加密文件系统上复制 2Gb 文件将“扩展”图像，使其足够大以包含该文件。

甚至有可能做到吗？

这是我的Encrypting absolute everything...问题的后续。

重要提示：这与更常见的 IPSec 设置无关，您希望在其中加密两个 LAN 之间的流量。

我的基本目标是加密一家小公司局域网内的所有流量。一种解决方案可能是 IPSec。我刚刚开始了解 IPSec，在我决定使用它并深入研究之前，我想大致了解一下它的外观。

• 是否有良好的跨平台支持？它必须适用于 Linux、MacOS X 和 Windows 客户端、Linux 服务器，并且不需要昂贵的网络硬件。

• 我可以为整台机器启用 IPSec（因此不会有其他流量传入/传出）或网络接口，还是由单个端口的防火墙设置决定/...？

• 我可以轻松禁止非 IPSec IP 数据包吗？还有“Mallory's evil”IPSec 流量由某个密钥签名，但不是我们的？我的理想构想是让 LAN 上不可能有任何此类 IP 流量。

• 对于 LAN 内部流量：我会在“传输模式”中选择“带身份验证的 ESP（无 AH）”、AES-256。这是一个合理的决定吗？

• 对于 LAN-Internet 流量：它将如何与 Internet 网关配合使用？我会用

  • “隧道模式”创建从每台机器到网关的IPSec隧道？或者我也可以使用
  • “传输模式”到网关？我问的原因是，网关必须能够解密来自 LAN 的包，所以它需要密钥来做到这一点。如果目标地址不是网关的地址，这可能吗？或者在这种情况下我必须使用代理吗？

• 还有什么我应该考虑的吗？

我真的只需要对这些事情进行快速概述，而不是非常详细的说明。

我们在 Ubuntu 14.04 LTS 上使用 Samba 作为具有漫游配置文件的 PDC（主域控制器）。一切正常，除非我们尝试通过设置强制加密：

    server signing = mandatory
    smb encrypt = mandatory

在[global]/etc/samba/smb.conf 部分。这样做后，win 8.0和win 8.1客户端（其他的没试过）抱怨：本文Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden.英文翻译：The trust relationship between this workstation and the primary domain could not be established.

如果再加上两个选项server signing，并smb encrypt仅向[profiles]smb.conf文件的部分，则tcpdump显示，实际流量是不加密的！

完整的 smb.conf：

[global]
    workgroup = DOMAIN
    server string = %h PDC
    netbios name = HOSTNAME
    wins support = true …