Security

tarsnap修正了一个重大安全漏洞

| Security | #Tarsnap | #security | #vulnerability | #cryptography | #backup

今天 Colin 在blog上介绍说 他刚刚修正了一个 TarSnap 重大安全漏洞。简单地说,用来加密密钥文件的AES-CTR实现时,计数器没有增加(正确的实现中计数器应该每次递增),导致在已知明文时能够通过加密块推算出一块数据使用的密钥,并用它来解密余下的数据。

阅读全文…( 本文约 272 字,阅读大致需要 1 分钟 )

在服务器上用gpg-agent

| Security | #gpg-agent | #ssh-agent | #security | #authentication | #sysadmin

上回书说到通道服务器的问题。在 /etc/csh.cshrc 中添加下列内容,可令系统同时启动 gpg-agentssh-agent

1
2
3
4
5
6
7

setenv SSH_AUTH_SOCK    /dev/null/nonexistent
if ("${TERM}" != "su") then
        [ -e ~/.gpg-agent.csh ] && source ~/.gpg-agent.csh >& /dev/null
        echo UPDATESTARTUPTTY | /usr/local/bin/gpg-connect-agent >& /dev/null || /usr/local/bin/gpg-agent --daemon --ignore-cache-for-signing >& ~/.gpg-agent.csh && source ~/.gpg-agent.csh >& /dev/null
        [ -e ~/.ssh-agent.csh ] && source ~/.ssh-agent.csh >& /dev/null
        [ -e ${SSH_AUTH_SOCK} ] || ssh-agent -c -t 20m >& ~/.ssh-agent.csh && source ~/.ssh-agent.csh >& /dev/null
endif

启动 gpg-agent 的作用是在一段时间内不用重新输入 gpg 的密码。

阅读全文…( 本文约 412 字,阅读大致需要 1 分钟 )

一个简单的密码生成器

| Security | #password generator

我个人比较喜欢复杂的随机生成的密码。是一个JavaScript的密码生成器,完全裸奔的界面,可以自行设定字母、数字和特殊符号出现的概率(默认是字母=3×52,数字=7×10,特殊符号2×27,或者78:35:27的关系)。

使用方法很简单,设置参数之后按Generate按钮,系统会随机生成希望数量的随机密码。然后从里面挑一个自己觉得容易记住的就可以了。

阅读全文…( 本文约 241 字,阅读大致需要 1 分钟 )

为什么在酒店要拨VPN回家/公司而不是直接访问Internet?

| Security | #VPN | #security | #public Wi-Fi | #privacy | #networking

这其实是一个很严肃的话题。

我在酒店或者提供免费wireless访问的地方一般都会拨VPN回家/公司,然后通过那里的路由访问Internet。这个习惯不能完全消除运营商进行的攻击,但能减少能够实施这种攻击的人的范围。

阅读全文…( 本文约 568 字,阅读大致需要 2 分钟 )

ZendOptimizer和PHP 5.3的兼容问题

| Security | #Zend Optimizer | #PHP | #web development | #obfuscation | #rant

我完全无法理解为什么会有人愿意被一个应用程序绑住。无非两种情况:一种是这个应用程序是花钱买来的,一种是这个应用程序没花钱。花钱买来的程序,没啥可废话的,直接要求对方提供就好了。如果不是花钱买的,可选的东西那么多,为什么非得选那么一个破玩意呢?

阅读全文…( 本文约 163 字,阅读大致需要 1 分钟 )

用 OpenVPN 提供 IPv6 服务

| Security | #OpenVPN | #IPv6 | #VPN | #networking | #security

有时,会有需要接入远程的 IPv6 网络。例如,办公或网吧等环境可能不提供 IPv6 接入的条件,或者需要接入更高安全级别的网络等等。

使用 OpenVPN 提供 IPv6 服务需要的条件包括:

阅读全文…( 本文约 557 字,阅读大致需要 2 分钟 )

上张X7SPA-H路由器的图

| Security | #Supermicro | #X7SPA-H | #router | #hardware | #photo

应观众要求。

参与评论

通过CDP广播获得上游设备信息

| Security | #Cisco | #CDP | #networking | #security | #tcpdump

今天跟 刘老师 讨论交换机问题的时候想到的。记一下这条命令。

tcpdump -nn -v -i em0 -X -s 1500 -c 1 'ether[20:2] == 0x2000'

参与评论

如何:為北美地區 IP 地址增加 whois 記錄

| Security | #WHOIS | #IP address | #ARIN | #networking | #sysadmin

原則上,在 Internet 提供服務的機器,應提供對應的 whois 記錄,以便在出現問題時能夠與事主及時聯絡。北美地區的數字資源,例如 IP 地址、AS號等等,是由 ARIN 負責分配的。

阅读全文…( 本文约 381 字,阅读大致需要 1 分钟 )

在服务器上运行的 ssh-agent

| Security | #ssh-agent | #SSH | #security | #sysadmin | #authentication

之前 @quakelee 提的一个问题(通道上登录第二台机器作为跳板登录第三台机器,但不把ssh私钥传到中间那台机器上)。如果shell是csh,在 ~/.cshrc 中加入:

source ~/auth.csh
[ -e ${SSH_AUTH_SOCK} ] || ssh-agent -t 15m -c > ~/auth.csh && source ~/auth.csh

然后所有的 csh 就可以使用同一个ssh agent了。

阅读全文…( 本文约 294 字,阅读大致需要 1 分钟 )