小编mas*_*oeh的帖子

我们在我公司的安全组中讨论了以下管理 SSL 私钥的选项中哪个更糟糕。

Web 服务器需要访问私钥以进行加密操作。应保护此文件免遭未经授权的访问。同时，服务器应该自动启动，无需人工干预（如果它足够安全）。

我们正在讨论三个选项：

1. 使用文件系统权限保护密钥。

2. 使用受密码保护的密钥并在每次重新启动时手动输入密钥。

3. 使用受密码保护的密钥并将密钥存储在文件系统中以自动重启。

我们的担忧如下：

1. 使用选项 1，重新启动是自动的，但妥协可以复制私钥，并且由于不受保护，可用于解密通信或冒充我们的服务器。

2. 选项 2 似乎更安全，但它需要人工干预，如果它发生在非工作时间，系统管理员会担心。此外，密码应该与多个系统管理员共享，并且您知道共享的秘密不再是秘密。

3. 选项 3 是前两个选项中最好的，但是如果有人可以访问密钥，也可以访问密码 :(，所以它看起来一点也不安全。

您如何管理服务器私钥的安全性？还有其他（更安全）的选择吗？

我试图了解迭代和递归 DNS 查找之间的区别。从根本上说，我认为迭代就像打电话给百货公司寻找产品，当他们没有产品时，他们会给你另一个分店的电话号码，然后你自己打电话给另一个分店。与递归相比，这就像打电话给百货公司，当他们没有你想要的东西时，他们会代表你打电话给另一个分店寻找产品。问题是，当涉及到 DNS 时，我对此有不同的看法。当我想到递归时，我想到的东西是这样的：

但是在阅读网络上的文章，甚至对DNS recursive进行 Google 图片搜索时，我看到了更多类似这样的示例：

对我来说，第二个示例看起来比递归更具有迭代性，因为每个“其他 DNS 服务器”都告诉“首选 DNS 服务器”要查找的下一台机器的地址，而不是代表首选服务器查找它DNS 服务器。我看到的唯一递归元素是首选 DNS 服务器代表 DNS 客户端进行查找，但从这里开始，它确实看起来是迭代的。

所以我想我的问题是，“递归”DNS 查找是否真的只意味着首选 DNS 服务器代表客户端做某事的意义上的递归，但从现在开始真的是迭代的？我在谷歌图片搜索中看到的大多数结果都让我相信这一点，这就引出了一个问题，这篇文章中的第一张图片是完全错误的吗？

每隔几周我就会收到一封电子邮件（通常是一封非常令人不快的邮件），有时甚至会收到一位 Facebook 用户的电话，他认为我正在“入侵”他们的互联网。他们在进入www.facebook.com后最终出现在我的网站上后得出了这个结论。查看我的服务器日志，每天大约有 1 个人来自不同的 IP 和服务提供商。

我可以从我的服务器日志中确认，他们请求中的HOST: 标头确实包含www.facebook.com。在这一点上，我认为问题一定出在 DNS 上。不知何故，我的 IP 最终被用于 www.facebook.com 查询。这必须很少发生，否则我会看到更多来自该问题的流量。事实上，即使只有一小部分 Facebook 用户访问了我的网站，我的网站也会被夷为平地。

对此的根本原因有什么想法吗？有人见过类似的吗？在这一点上，我能想到的唯一行动方案是为从我的服务器请求 www.facebook.com 的用户创建一个特殊的登录页面，告诉他们稍后再试。

如果我输入，我有一个 *.ovpn 文件

sudo openvpn client.ovpn

现在我想在启动计算机时启动 openvpn。这是 ubuntu 的无头版本 - 如果这很重要 - 12.04 64bit。

我将 filename.ovpn 复制到 /etc/openvpn 但它没有启动，即使我运行

service openvpn start

我怎样才能做到这一点？

我将 2 台 MS-Dos 6.22 机器转换为虚拟机。两台计算机都有通过 NETBEUI 和 IPX 进行通信的软件（我在检查 autoexec.bat 后得出了这个结论 - 它加载了 IPX 堆栈）。

我按照这个Vmware 论坛帖子安装了 DOS amd_pcnet 驱动程序，配置了它，并将其绑定到所需的协议。此外，我为 IPX/SPX 安装了 ODI 驱动程序，并为其执行了与上述相同的步骤。

似乎他们有 NetBEUI 通信，但我无法使用 IPXPING.exe 在他们之间进行 PING。我ping的时候用的是网络地址00:00:00:00和第二台电脑的MAC。

我如何才能绝对确保两个 VM 之间存在 NetBEUI 和 IPX 通信？

更新 1：我发现 c:\net\ 有一个 .ini 文件，其中包含网络上其他机器的名称。我假设文件存储连接配置，并发现该文件实际上有一个参数netcard=DRIVER_FILE并将其更改为正确的驱动程序。

更新 2：我在 VMNet0 上运行 Wireshark，我看到两个 VM 都使用 IPX、NETVIOS、SMB 和其他协议。我会检查数据包并尝试找到更多线索。

更新 3：从数据包检查中我可以看到两台机器都成功地通过 NetBIOS 通信，建立了一个会话并使用 SMB 传输了文件。我认为这是 NetBIOS 不是问题的可靠指标。

IPX，另一方面似乎有格式错误的数据包。两个主持人都广播了一个公告，两个公告都格式错误。

一个问题：是否有一个命令可以检查通过 NetBIOS 的连接性？

更新 4：在尝试解决问题和寻找 MS-DOS 专家方面付出了很大努力后，客户决定停止该项目。

我已经设置了 postfix，以便电子邮件客户端使用端口 465 (smtps) 发送出站邮件。我不太明白 smtps（端口 465）和提交（端口 587）之间的区别

为客户端配置 postfix 以安全发送邮件时的“最佳实践”是什么？只用smtps？或者同时使用提交和smtps？

在我不在工作时进行了一些改造，我留下了几条未标记的 5 类电缆，这些电缆以 RJ45 梯形模块终止。在另一端，所有电缆都在服务器机房的接线板上端接。

一些电缆连接到交换机并且是有源数据线。我可以通过将笔记本电脑插入梯形模块来验证线路是否处于活动状态。DCHP 服务器分配了一个地址，我就进去了。

在我尝试使用碳粉和探针追踪线条时，我注意到活动的线条具有非常微弱的音调信号。它太弱了，我无法追踪它。然而，其他线路，我能够毫无问题地进行追踪。谁知道为什么信号这么弱？是否因为线路处于活动状态并且数据包正在淡化碳粉的信号？

IP 地址如何映射到自治系统编号 (ASN)？有参考数据库吗？那么这些自治系统在地理上是如何定位的呢？

这将是一个有点沉重的问题。我在一家成立于 1962 年的公司里编程。很多东西，尤其是计算机/网络方面的东西，已经过时了。让我多介绍一点背景。

该公司已经运营了一台 Windows 服务器。在服务器上，许多计算机在共享网络驱动器中都有文件，也有一些程序。这就是授予公司范围内对会计和库存等内容的访问权限以及文件共享的方式。不幸的是，从来没有一个强大的系统管理员参与任何设计。记帐系统在 Foxpro 上运行。文件完全混乱。员工似乎一般都知道自己的方式，但为了成长和扩展，我们需要快速掌握这个网络。我认为需要的一些东西：

• 一个关系数据库，可通过网络上的所有计算机访问，它将存储：
  • 文件（即图纸、报价、已完成项目的图片等）
  • 员工（然后我们可以开始做电脑考勤卡之类的事情）
  • 发票、应收付款和库存
  • 密码管理
  • 工作跟踪

我想在这个数据库之上构建自定义应用程序来支持一切，并构建允许我们的网站与我们内部的东西交互的 API。显然，在构建新系统时，我必须保持现有系统完好无损。我来自网络背景……并且非常熟悉 Unix（我管理过数十台为网站提供服务的服务器）、PHP 和前端开发。我想坚持使用那些我已经很熟悉的开源技术。

我心中最大的问题是从哪里开始。我是否购买服务器机架并开始构建全新的网络？我是在准备好后将每个人都推送到新网络，还是尝试以某种方式同时使用两者并慢慢从旧网络迁移？

我意识到这可能是一个需要一年或更长时间的项目。我真的很感激一些指导——关于系统设计的任何资源，我如何开始，等等。我愿意投入工作 - 我只需要帮助创建一个愿景。

这可能是一个愚蠢的问题，但是......是否有任何支持虚拟机“虚拟IPMI”的管理程序或其他虚拟化解决方案？即允许访问类似于电源控制、LAN 串行控制台等的虚拟机。

我知道，这真的不是管理虚拟机的正确方法。我正在寻找这个，因为我们大量使用 IPMI 进行系统管理，将 VM 集成到同一个框架中会很有趣/有用，并且因为当我将 VM 用作开发人员时，拥有这样一个接口会很有用系统管理工具的环境。