Security

在服务器上用gpg-agent

| Security | #gpg-agent | #ssh-agent | #security | #authentication | #sysadmin

上回书说到通道服务器的问题。在 /etc/csh.cshrc 中添加下列内容,可令系统同时启动 gpg-agentssh-agent

1
2
3
4
5
6
7

setenv SSH_AUTH_SOCK    /dev/null/nonexistent
if ("${TERM}" != "su") then
        [ -e ~/.gpg-agent.csh ] && source ~/.gpg-agent.csh >& /dev/null
        echo UPDATESTARTUPTTY | /usr/local/bin/gpg-connect-agent >& /dev/null || /usr/local/bin/gpg-agent --daemon --ignore-cache-for-signing >& ~/.gpg-agent.csh && source ~/.gpg-agent.csh >& /dev/null
        [ -e ~/.ssh-agent.csh ] && source ~/.ssh-agent.csh >& /dev/null
        [ -e ${SSH_AUTH_SOCK} ] || ssh-agent -c -t 20m >& ~/.ssh-agent.csh && source ~/.ssh-agent.csh >& /dev/null
endif

启动 gpg-agent 的作用是在一段时间内不用重新输入 gpg 的密码。

阅读全文…( 本文约 412 字,阅读大致需要 1 分钟 )

一个简单的密码生成器

| Security | #password generator

我个人比较喜欢复杂的随机生成的密码。是一个JavaScript的密码生成器,完全裸奔的界面,可以自行设定字母、数字和特殊符号出现的概率(默认是字母=3×52,数字=7×10,特殊符号2×27,或者78:35:27的关系)。

使用方法很简单,设置参数之后按Generate按钮,系统会随机生成希望数量的随机密码。然后从里面挑一个自己觉得容易记住的就可以了。

阅读全文…( 本文约 241 字,阅读大致需要 1 分钟 )

为什么在酒店要拨VPN回家/公司而不是直接访问Internet?

| Security | #VPN | #security | #public Wi-Fi | #privacy | #networking

这其实是一个很严肃的话题。

我在酒店或者提供免费wireless访问的地方一般都会拨VPN回家/公司,然后通过那里的路由访问Internet。这个习惯不能完全消除运营商进行的攻击,但能减少能够实施这种攻击的人的范围。

阅读全文…( 本文约 568 字,阅读大致需要 2 分钟 )

ZendOptimizer和PHP 5.3的兼容问题

| Security | #Zend Optimizer | #PHP | #web development | #obfuscation | #rant

我完全无法理解为什么会有人愿意被一个应用程序绑住。无非两种情况:一种是这个应用程序是花钱买来的,一种是这个应用程序没花钱。花钱买来的程序,没啥可废话的,直接要求对方提供就好了。如果不是花钱买的,可选的东西那么多,为什么非得选那么一个破玩意呢?

阅读全文…( 本文约 163 字,阅读大致需要 1 分钟 )

用 OpenVPN 提供 IPv6 服务

| Security | #OpenVPN | #IPv6 | #VPN | #networking | #security

有时,会有需要接入远程的 IPv6 网络。例如,办公或网吧等环境可能不提供 IPv6 接入的条件,或者需要接入更高安全级别的网络等等。

使用 OpenVPN 提供 IPv6 服务需要的条件包括:

阅读全文…( 本文约 557 字,阅读大致需要 2 分钟 )

上张X7SPA-H路由器的图

| Security | #Supermicro | #X7SPA-H | #router | #hardware | #photo

应观众要求。

参与评论

通过CDP广播获得上游设备信息

| Security | #Cisco | #CDP | #networking | #security | #tcpdump

今天跟 刘老师 讨论交换机问题的时候想到的。记一下这条命令。

tcpdump -nn -v -i em0 -X -s 1500 -c 1 'ether[20:2] == 0x2000'

参与评论

如何:為北美地區 IP 地址增加 whois 記錄

| Security | #WHOIS | #IP address | #ARIN | #networking | #sysadmin

原則上,在 Internet 提供服務的機器,應提供對應的 whois 記錄,以便在出現問題時能夠與事主及時聯絡。北美地區的數字資源,例如 IP 地址、AS號等等,是由 ARIN 負責分配的。

阅读全文…( 本文约 381 字,阅读大致需要 1 分钟 )

在服务器上运行的 ssh-agent

| Security | #ssh-agent | #SSH | #security | #sysadmin | #authentication

之前 @quakelee 提的一个问题(通道上登录第二台机器作为跳板登录第三台机器,但不把ssh私钥传到中间那台机器上)。如果shell是csh,在 ~/.cshrc 中加入:

source ~/auth.csh
[ -e ${SSH_AUTH_SOCK} ] || ssh-agent -t 15m -c > ~/auth.csh && source ~/auth.csh

然后所有的 csh 就可以使用同一个ssh agent了。

阅读全文…( 本文约 294 字,阅读大致需要 1 分钟 )

关于备份

| Security | #backup | #redundancy | #data protection | #security | #sysadmin

指望硬盘不挂掉是 很拼人品的事情(附带说一句,从某种意义上说,21世纪的硬盘质量并没有下降,只是单位容量出现故障的概率没有显著提高,而硬盘容量的扩大使得单块硬盘的故障率看起来提高了,但是如果我们从单位容量的故障率来看,坏损率并没有非常显著的增长)。所以想要长久地保存数据,就必须采用各式各样的冗余和备份手段。冗余和备份是不一样的,前者往往会采用同样的访问控制逻辑,提供在线或近线的数据存储,强调的是数据访问的及时性;而后者则强调的是数据的可恢复性。

关于访问控制

一般来说,不希望备份与原始数据采取相同的访问控制机制。例如,对网站来说,可以读写数据库的那个 Web 访客的数据库账户,很可能并不能直接读写网站的备份数据。有时,备份甚至是以一种"外科手术"的方式进行的:对文件系统做快照,然后将快照打包发到异地的另一套系统。

阅读全文…( 本文约 1155 字,阅读大致需要 3 分钟 )