是否有机会跳过known_hosts检查而不清除known_hosts或禁用它ssh.conf?我既无权访问known_hosts也ssh.conf尚未访问。中没有找到合适的man。
通常我根本不使用 Internet Explorer。我只在设计时将它用于接口测试(开发机器和未加密的 http)。每周我都会运行 SSL Labs 服务器测试,它说 IE11 能够访问我的网站。
今天,我发现我的第 3 方服务之一存在问题。某些特殊功能不适用于 Chrome 或 Firefox,因此我在 Windows 7 机器上启动了 IE11。IE11 向我展示了一个内置的错误页面,基本上只说“页面无法显示”。典型的虚拟 bla bla 喜欢检查 DNS 等等。整个错误页面上绝对没有加密相关问题的迹象(就像普通浏览器一样)。
几个月前,这个schannel问题阻止了启用 TLS1.2 的 IE 访问 HTTPS 站点。从那时起,我的“IE 的 WTF 检查表”包含“禁用 TLS1.2”作为检查点。我应该说些什么...在 IE 中禁用 TLS1.2 有效并且我的站点再次可用。但是我不能在我的访问者浏览器上这样做。
现在回到真正的问题:为什么在 IE 中启用了 TLS 1.2 时,为什么 Internet Explorer 11 无法连接到我的 HTTPS 站点?以及如何在服务器端修复它?SSL Labs 告诉我,我的网站上一切正常。
重要编辑:当启用 TLS1.2 时,IE11 似乎只能处理非前缀域,而不能处理带前缀的域。没有前缀 (www) 的域有效,而包含前缀 (www) 的域不起作用。
在服务器端我使用 …
我想在我的 nginx SSL 环境中启用 SSL 密码EDH-DSS-DES-CBC3-SHA(也称为TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA)以支持 Windows XP 上的 IE8。
nginx 的基本 SSL 密码是:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
EDH-DSS-DES-CBC3-SHA通过 禁用!DES。我试图将该密码放在禁用规则之前(在DHE-RSA-AES256-SHA和之间!aNULL)和之后(作为最后一个参数),但都没有奏效。
如何在EDH-DSS-DES-CBC3-SHA不启用所有DES或手动禁用其他DES密码的情况下启用密码?
版本信息:nginx 1.7.8,OpenSSL 1.0.1e
欧盟的通用数据保护条例 (GDPR) 和德国的 DSGVO 实施在涉及个人相关数据(例如 IP 地址)时非常严格。但是这个问题是不是对GDPR,但如何实现与nginx的HTTP访问日志的监管,同时保持“识别”用户旅途中的匿名用户(边境从其他的用户旅程)的可能性。
我目前的实现是,我根本不记录远程 IP 和端口。我清除了上游/代理/等的环境变量,并且 simple 没有带有访问日志的远程 IP 和端口信息。
现在我面临的问题是我需要遵循用户旅程的路径。我只是没有任何方法可以“识别”哪些请求在哪个用户旅程中。我想指出的是,我也不使用 cookie 等。
“识别”“匿名用户”的传统方法是查找远程 IP 和日期信息。在同一天,同一个远程 IP 很可能是同一个用户。但是,如上所述,我不记录远程 IP 和端口信息。而且我现在也不想要。
我目前的做法是使用远程端口和请求日期散列远程 IP 地址。我会有日志的日期信息而不是远程端口,所以我不能 - 没有强力的蛮力 - 恢复远程 IP,一个与个人相关的数据。这种方法将有助于回馈一定程度的用户旅程识别,这对我有很大帮助。
完成此方法的一般工作流程是:
md5_hex("$remote_addr $remote_port $current_date"))执行散列操作,并将散列存储在新变量中(例如$remote_ip_anonymous),由于当前日期 salt,即使远程 IP 和远程端口相同,哈希也会改变。当远程端口改变时,它会改变。因此,这对于 GDPR 或至少是最低的数据安全类别应该没问题,而实际的远程 IP 将是具有 GDPR 的市长数据安全类别。
理论已经足够了……我将如何实现这种远程 IP 匿名化?我是否必须使用 nginx Perl 模块或 Lua 模块,或者是否有另一种(更快)方法来获取该哈希并将其存储到 nginx 变量中?
我有一个 Windows Server 2019 服务器,它本身运行一些服务,以及带有 Windows 和 Linux 来宾的 Hyper-V 虚拟机。
为了集中用户和机器管理,我在主机系统上设置了Active Directory 域服务、DNS以及文件和存储服务。我已将各种虚拟机加入 AD 域,并从一个点控制用户和(虚拟)机策略。
从孤立的角度来看,这工作正常。
更大的图景是,所有服务(AD DS、DNS、文件和存储)都绑定到所有内容(任何接口)。我很快意识到,并禁用(或更改)服务的防火墙规则以仅匹配内部接口,我希望服务打开。
但是,在每晚重新启动(安装补丁等)后,AD DS、DNS、文件和存储添加的部分/大部分防火墙规则被重新启用并更改为其默认状态(任何接口)。
如何将 AD DS、DNS 以及文件和存储服务配置为仅绑定到指定的内部接口,或者如何强制更改我的防火墙规则,以便“它们”(服务)在每次服务器重新启动后不会覆盖它?
domain-name-system windows active-directory network-share windows-server-2019
我喜欢在 Maildir 邮箱中检测未读邮件。子文件夹“new”仅包含尚未从 MUA 中提取的内容邮件。但我想要收件箱中的未读邮件(没有虚拟子目录)。任何建议如何实施?
PS:我不输入原始邮件!
将 Debian Squeeze 与 Postfix 和 Dovecot(POP、IMAP)一起使用。
我正在使用 nginx 1.4.1(现在是 1.2.1 之前)并且希望支持双栈(IPv4 和 IPv6)。我总是duplicate listen options for xyz从 nginx收到错误。
server {
listen 80 default_server;
listen [::]:80 ipv6only=on default_server;
server_name domain1;
}
server {
listen 443 ssl default_server;
listen [::]:443 ssl ipv6only=on default_server;
server_name domain1;
}
server {
listen 80;
listen [::]:80 ipv6only=on;
server_name domain2;
}
server {
listen 443 ssl;
listen [::]:443 ssl ipv6only=on;
server_name domain2;
}
如果我只使用,listen 80我只会得到 IPv4。否则,如果我使用,listen [::]:80我只会得到 IPv6。
如何设置nginx 1.4.x支持虚拟主机双栈?
我刚刚注意到(通过一些在线检查工具)我的邮件服务器可能允许 SSLv3 并更新了我的配置。
我在 Postfix 2.11.2 中的当前配置:
# inbound
smtpd_tls_security_level = may
smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
# outbound
smtp_tls_security_level = may
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
不幸的是,这些工具一直说 SSLv3 已被接受。
如何将所需的(nginx)配置转换为 Postfix(入站和出站)配置?
使用 Debian/7、Postfix/2.11.2、OpenSSL/1.0.1e
我想强制使用一组自己的 TLS 密码套件,而不是使用内置的 Postfix。
我想要的一组密码是(取自 nginx 配置):
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
不幸的是,我找不到覆盖密码套件的参考。我发现通知说这是可能的,但不是如何。
怎么看起来像等价Postfix配置smtp和smtpd?
使用 Debian/7、Postfix/2.11.2、OpenSSL/1.0.1e