我有一个问题,希望有人能为我解答。
我的情况:我有一个在 EC2 Amazon 实例上运行 Apache2 的 Ubuntu 服务器,该实例为 OwnCloud 实例提供服务。
我的目标:我想在此实例上部署 HTTPS。我已经将安全组配置为允许来自任何地方的 HTTPS 流量(因为应该可以从互联网上的任何地方访问服务器)。我们已经在另一家域名托管公司注册了域名 bar.com。但我们希望将 foo.bar.com 指向这个 owncloud 安装。
我的问题:
1) 我使用哪个 IP 地址来配置该域名托管公司的 DNS。因为每次实例重启时,EC2实例的公共IP地址和公共DNS都会更新。
2) 如何为Apache2的HTTPS配置生成SSL证书?更具体地说,我需要在证书中放入哪个通用名称 (CN)。因为 EC2 实例的公共 dns 在每次重新启动时都会发生变化。我认为如果我将 foo.bar.com CN 放入证书中,一旦用户从 foo.bar.com -> .compute.amazonaws.com 重定向,浏览器就会抛出证书错误,对吗?
简而言之:如何使用第三方域名服务的 dns 在 Amazon AWS 的 EC2 实例上部署 https?
我刚刚注意到(通过一些在线检查工具)我的邮件服务器可能允许 SSLv3 并更新了我的配置。
我在 Postfix 2.11.2 中的当前配置:
# inbound
smtpd_tls_security_level = may
smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
# outbound
smtp_tls_security_level = may
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
不幸的是,这些工具一直说 SSLv3 已被接受。
如何将所需的(nginx)配置转换为 Postfix(入站和出站)配置?
使用 Debian/7、Postfix/2.11.2、OpenSSL/1.0.1e
我想强制使用一组自己的 TLS 密码套件,而不是使用内置的 Postfix。
我想要的一组密码是(取自 nginx 配置):
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
不幸的是,我找不到覆盖密码套件的参考。我发现通知说这是可能的,但不是如何。
怎么看起来像等价Postfix配置smtp和smtpd?
使用 Debian/7、Postfix/2.11.2、OpenSSL/1.0.1e
我正在尝试在同一端口上创建一个没有 websocket 服务器的安全 node.js 服务器。端口是 8080。
我可以在浏览器中访问 url,当我指定端口时,我可以连接到 websockets。
https://ws.site.com // 有效
wss://ws.site.com // 无效
wss://ws.site.com:8080 // 有效
为什么是这样?我究竟做错了什么?这是nginx配置
upstream ws.site.com {
server 127.0.0.1:8080;
}
server {
listen 443;
server_name ws.site.com;
ssl on;
ssl_certificate /path/ssl-bundle.crt;
ssl_certificate_key /path/myserver.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
location / {
access_log off;
proxy_pass https://ws.site.com;
proxy_redirect off;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_read_timeout 86400;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
}
所以我最近设置了一个个人 GitLab 服务器,我使用以下配置和完整的 SSL。我已经尽力了,但还有什么办法可以让它变得更好?我主要是在业余时间玩弄它来了解我对网络服务器的了解,所以我并没有真正遵循任何约定。请让我知道任何意见和疑虑。
server_tokens off;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header Content-Security-Policy "default-src 'self'; script-src 'self''unsafe-inline' 'unsafe-eval' https://ssl.google-analytics.com h https://assets.zendesk.com https://connect.facebook.net; img-src 'self' https://ssl.google-analytics.com https://s-static.ak.facebook.com https://assets.zendesk.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com https://assets.zendesk.com; font-src 'self' https://themes.googleusercontent.com; frame-src https://assets.zendesk.com https://www.facebook.com https://s-static.ak.facebook.com https://tautt.zendesk.com; object-src 'none'";
server {
listen 80;
listen 443 default ssl spdy;
server_name gitlab.example.com;
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains";
ssl_certificate /etc/nginx/ssl/gitlab.crt;
ssl_certificate_key /etc/nginx/ssl/gitlab.key;
ssl_dhparam /etc/nginx/ssl/dhparams.pem;
ssl_session_cache shared:SSL:50m;
ssl_session_timeout 5m;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_stapling on; …启用防火墙后,我的 FTP 无法正常工作。过去我一直为我设置 iptables,我昨天大致学会了如何设置,但我错过了这需要的规则。这是我的 iptables.rules
# 由 iptables-save v1.4.4 在 2010 年 11 月 16 日星期二 23:23:50 生成 *筛选 :前向接受[0:0] :输入接受[0:0] :输出接受[0:0] -A 输入 -i lo -j 接受 -A INPUT -m state -i eth0 --state RELATED,ESTABLISHED -j ACCEPT -A 输入 -p tcp -m tcp --dport 20:21 -j 接受 -A 输入 -p tcp -m tcp --dport 989:990 -j 接受 -A 输入 -p tcp -m tcp -i eth0 --dport 22 -j 接受 -A 输入 -p tcp -m tcp -i eth0 --dport 80 …
我的 ProFTPD 服务器有问题。
当我尝试使用 TLS 连接到服务器时,我在 MLSD 命令后超时。它仅在我使用 TLS 时发生 - 没有它它可以完美运行。
我检查了这些日志:
proftpd.log - 用户 xxx:登录成功。
tls.log - 接受 TLSv1/SSLv3 连接...保护设置为私有
请问哪里有问题?我可以提供更多信息,请在评论中询问。
编辑:今天我试图将 iptables 的 INPUT 策略设置为 ALLOW ......一切正常......所以问题是防火墙。我应该如何设置 iptables 以与 FTPS 一起使用?
这是我的 iptables 设置:
*filter
:INPUT DROP [930:61159]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [256:26448]
-A INPUT ! -i eth0 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type …我将后缀配置为强制使用 TLS。当外部客户端尝试使用此服务器发送电子邮件时,没有任何问题。但是使用 webmail (127.0.0.1) postfix 需要 TLS:
delivery temporarily suspended: TLS is required, but was not offered by host 127.0.0.1[127.0.0.1])
我需要对 master.cf 做哪些更改?
smtp_use_tls = yes
smtp_tls_security_level = encrypt
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_tls_key_file = /etc/postfix/ssl/xxx.key
smtpd_tls_cert_file = /etc/postfix/ssl/xxx.crt
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
我需要在 Windows Server 2008 R2 中启用 TLS 1.0,还是默认启用?我进行了搜索,发现支持 TLS 1.1 和 1.2,但默认情况下是禁用的。TLS 1.0 怎么样?
我尝试谷歌搜索,但无法找到具体的答案。
我目前正在将我管理的各种网站的 SSL 证书从 SHA1 升级到 SHA2 兼容证书。
迄今为止,我们一直使用“RSA”作为我们 SSL 证书的密钥交换机制,因此我决定在为替换证书生成证书签名请求时继续这样做。
在我的开发环境中,我替换了多个证书,并优先考虑了 Web 服务器上基于 SHA256 (SHA-2) 的密码套件。
我注意到 Google Chrome 42 和 Firefox 37.0.2 仍在选择基于 SHA1 的密码套件TLS_RSA_WITH_AES_256_CBC_SHA。(我还没有正确测试 Internet Explorer)
为了确定 Chrome 42 和 Firefox 37.0.2 支持哪些密码套件,我执行了网络跟踪并TLSCipherSuites在ClientHello.
TLSCipherSuites: Unknown Cipher
TLSCipherSuites: Unknown Cipher
TLSCipherSuites: Unknown Cipher
TLSCipherSuites: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 { 0xC0,0x2B }
TLSCipherSuites: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 { 0xC0,0x2F }
TLSCipherSuites: TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 { 0x00, 0x9E }
TLSCipherSuites: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA { 0xC0,0x0A }
TLSCipherSuites: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA { 0xC0,0x14 }
TLSCipherSuites: TLS_DHE_RSA_WITH_AES_256_CBC_SHA …