zx8*_*x81 5 security email lamp identity-management cpanel
我的岳父问我改进他的电子邮件安全的想法。他阅读了一篇文章,介绍了一些黑客如何获得 Gmail 帐户的访问权限,从而能够为其他服务(例如亚马逊)重置帐户持有人的密码。
到目前为止,这是我想出的,但更多的脑力确实会有所帮助,因为我以前从未想过这一点,因此将热烈欢迎所有批评和建议。
起点: 他在 LAMP/cPanel 系统上托管了一个网站,他当前的电子邮件通过该网站的域。电子邮件帐户在 cPanel 中设置。他通过 pop3 检索他的电子邮件,并将其从服务器中删除。我在想这可能是一个不错的起点?不需要 iMap,因为他只有一台电脑(没有 iPhone),他边走边删除它?
下一步:
我想让他在他的 cPanel 上设置几个地址转发器:一个用于他的银行,一个用于亚马逊——基本上每个与银行或信用卡相关联的账户都一个。这些转发器都将转发到一个同样在 cPanel 中设置的中央地址,该地址将是“私人的”,从某种意义上说,他不会使用它来发送电子邮件。他只会使用它通过 pop3 检索电子邮件。
还考虑让他可以使用 TrueCrypt 将他的电子邮件存储在他的计算机上的加密虚拟驱动器上。
通过这种设置,在我看来,这些消息在几个地方很容易受到攻击:
提前致谢,期待您的想法。
更新:到目前为止的答复摘要
多么幸运,到目前为止收到了几个深思熟虑和详细的答复。总结到目前为止的答复。
使用网络
检索消息 (Thunderbird)
本地机器
强化服务器
Fischer 的设置
(Fischer 的工作流程的特殊类别与其他回复的系统不同)
小智 3
这是一个复杂的问题,但是构建一个简单的系统来保护岳父的机密信息应该不那么困难。
您对单独服务使用单独地址的第一个建议可能不会产生太大影响。如果有人(例如 Mallory)正在拦截网络中的电子邮件,那么他们可能会拦截您所做的任何转发;因此,如果您的所有帐户仅使用一个域,则所有服务都容易受到攻击。Mallory 可以简单地搜索*@example.com“收件人”字段中包含的任何电子邮件,并假设它们都被转发到隐藏地址。只需知道给定服务上给定帐户的电子邮件地址是什么,就可以为 Mallory 带来优势,因为这是对服务进行身份验证的内容,也是她用来破坏服务的地址。即使在您的域之外创建电子邮件帐户也只会增加易受攻击的节点的数量。
显着提高安全性的一种方法是为邮件客户端上用于从服务器获取数据的所有协议启用 SSL。这样一来,您就可以消除至少一个易受攻击的跃点,马洛里可以在其中拦截电子邮件的明文。另外,与您所说的相反,敏感服务很可能正在使用 SSL 通过 SMTP 向您发送邮件,或者您可以以某种方式启用它。
这是您在网络端可以做的最多的事情。如果服务拒绝使用 SSL-SMTP,它可能根本不会很安全。不过,您可以采取很多措施来提高本地端的安全性。您应该采取标准的预防措施,例如创建防火墙和禁用未使用的网络服务,以及确保所有密码都是强密码(16 个字符或更多)。LAMP 服务器可以使用Grsecurity或类似系统进行强化,以防止缓冲区溢出攻击。创建虚拟加密驱动器的实用性值得怀疑,除非您希望电子邮件在 90% 的情况下无法送达,否则必须解锁驱动器才能接收电子邮件。想象一个带有挂锁的实体邮箱!
如果本地系统是 Linux,则可能用于使用 (SSL-)POP3 从服务器检索电子邮件,也可以对其进行强化。如果您认真对待本地安全,则整个驱动器应该是 TrueCrypted(它实际上并不是一直处于待机状态等待邮件),因为应用程序会在整个系统的缓存和日志中泄漏令人难以置信的大量数据,从而呈现出完全加密的本地邮箱有些无关紧要。
因此,您可以为网络做一些事情,为服务器做很多事情,为本地系统做更多的事情。请记住,整个安全系统中最薄弱的部分是密码。
| 归档时间: |
|
| 查看次数: |
332 次 |
| 最近记录: |