OpenSSL

http://dy.163.com/v2/article/detail/F7AT091B0511CJ6O.html 　　 　　研究人员在运行在Intel Converged Security and Management Engine (CSME，英特尔聚合安全和管理引擎)的ROM上的硬编码固件中发现一个安全漏洞，该漏洞CVE编号为CVE-2019-0090，如果不替换芯片无法修复该漏洞。 　　注：Intel CSME是处理器中的一个安全微控制器，提供一个与主CPU上运行的主机系统相隔离的执行环境。 　　过去5年发布的所有Intel处理器都受到该漏洞的影响，攻击者利用该漏洞可以入侵几乎所有的基于硬件的安全技术，这些安全技术可以在系统被黑的适合隐藏用户的敏感数据。 　　通过加载和验证固件组件、基于可信的secure boot的root、加密的认证BIOS、Microsoft System Guard、BitLocker和安全特征是基于Intel系统的初步认证。 　　这种不足的访问控制漏洞并不少见，去年就被Intel修复过，但当时该公司将其描述为Intel CSME固件模块中的权限提升和任意代码执行漏洞，但该漏洞的范围被低估了。 　　Positive Technologies研究人员已经发现该漏洞可以被用来恢复Chipset Key，Chipset Key是根加密密钥或master

1.1 信息系统与信息化 1.1.1 信息的基本概念 　　1 、信息的质量属性： 　　　　（ 1 ）精确性，对事务状态描述的精准程度 　　　　（ 2 ）完整性，对事务状态描述的全面程度，完整信息应包含所有重要事实 　　　　（ 3 ）可靠性，指信息的来源、采集方法、传输过程是可以信任的，符合预期。 　　　　（ 4 ）及时性，指获得信息的时刻与事件发生时刻的间隔长短 。昨天的天气信息不论怎样精确、完整，对指导明天的穿衣并无帮助，从这个角度出发，这个信息的价值为零 　　　　（ 5 ）经济性，指信息获取、传输带来的成本在可以接受的范围之内 　　　　（ 6 ）可验证性，指信息的主要质量属性可以被证实或者证伪的程度 　　　　（ 7 ）安全性，指在信息的生命周期中，信息可以被非授权访问的可能性，可能性越低，安全性越高。 　　2 、信息是有价值的一种客观存在。信息技术主要为解决信息的采集、加工、存储、传输、处理、计算、转换、表现等问题而不断繁荣发展。信息只有流动起来，才能体现其价值，因此信息的传输技术（通常指通信、网络等）是信息技术的核心。信息的传输模型 ，如图 　　　　（ 1 ）信源：产生信息的实体 　　　　（ 2 ）信宿：信息的归宿或接收者 　　　　（ 3 ）信道：传送信息的通道，如 TCP/IP 网络 　　　　（ 4 ）编码器：在信息论中是泛指所有变换信号的设备 　　　　（ 5 ）译码器

点击上方“ 杰哥的IT之旅 ”，选择“ 星标 ”公众号 重磅干货，第一时间送达 提示：文章前面部分是关于 nginx 下 https 连接 curl 请求被 reset 的处理经历，不想看可以直接跳到最后看nginx快速定位异常，建议收藏！ 问题描述 网站上线后，添加了https证书，浏览器访问正常，通过curl请求，请求被reset，如上图。 一路艰难 先 curl 请求同域名下http的url，返回正常，说明两边起码80端口网络正常 接着curl请求网站同服务器下其他https域名，返回正常，说明两边443端口网络正常 难道是证书问题？查看证书未到期，通过myssl.com查询证书详情，没有问题。 怀疑加密套件配置文件，添加兼容性更高的加密套件后尝试，依然无果 附兼容性加密套件： "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA

1. nginx安装 在Linux中安装依赖 sudo yum -y install openssl openssl-devel pcre pcre-devel zlib zlib-devel gcc gcc-c++ 解压nginx的tar包，然后在解压目录里面依次执行 1) ./configure --with-stream --prefix=/opt/module/nginx # 指定安装路径 --with-stream:编译时安装stream模块 2) make 3) make install 或者直接执行 ./configure --with-stream --prefix=/opt/module/nginx make && make install 在安装路径下修改配置文件 ./conf/nginx.conf stream模块与http模块是平级的 stream { upstream rtmp { server 192.168.11.40:7777; # 这里配置成要实现负载均衡的地址 server 192.168.11.41:7777; server 192.168.11.42:7777; server { listen 7777; # 需要nginx服务本地监听的端口 proxy_timeout 20s; proxy_pass rtmp; } } 启动nginx服务

鉴于我国发布的《网络安全等级保护制度 2.0 》和相关网络安全法的要求，各大主流浏览器对 HTTP 网站的不信任，以及广大互联网用户安全意识的提高，越来越多的网站选择部署 SSL 证书 实现网站 HTTPS 加密保护及身份的可信认证，提高网站可信度和品牌形象，防止传输数据的泄露或篡改，确保网络通信安全。企业网站更是注重网络安全和品牌信誉，因此选择一款合适的 SSL 证书是保障网站安全的必要准备。 那么，企业网站用户想要什么样的 SSL 证书呢？换句话说，哪样的 SSL 证书才符合企业网站的需求？ 据 锐成信息 大量客户群体订单数据显示，大部分企业网站用户对 SSL 证书最看重的需求如下： 高安全性 高性价比 兼容性好 锐安信 sslTrus SSL 证书 就是这样可全方位满足各大规模企业用户需求的网络安全解决方案。 锐安信 sslTrus SSL 证书有什么特点 1. 安全加密 锐安信 sslTrus SSL 证书是基于权威 CA Sectigo 可信根签发的，针对国内市场定制的 OCSP 服务的国产品牌 SSL 证书。该 SSL 证书支持 RSA2048&ECC 加密算法，加密强度高达 256 位。除此之外，锐安信 SSL 证书还部署了国内 OCSP 验签节点，本地化服务器验签不仅有效提升了 HTTPS 验证查询效率，提高网站访问速度，而且使 HTTPS 服务器访问更具有稳定性

# 原创，转载请留言联系 为什么会出现这么多加密啊，公钥私钥啊，签名啊这些东西呢？说到底还是保证双方通信的安全性与完整性。例如小明发一封表白邮件给小红，他总不希望给别人看见吧。而各种各样的技术就是为了保障通信的安全。（本文务必从上到下看） 1.对称加密与非对称加密 对称加密： 对称加密是 最快速 的一种加密方式。加密和解密用的是同样的密钥。 对称加密是怎么实现的呢？举个例子说明。 小明写了一封信给小红。他用箱子装着信，同时箱子上锁，他去快递店把这个箱子和开启箱子的钥匙一起快递给小红。小红收到箱子后，用钥匙打开箱子，看信。这就是对称加密的传输过程。 但是为什么现在很少用这种方式进行。万一你的快递中途丢了（在传输过程中可以数据认为被黑客截获），那么拿到你快递的人，也可以用快递里的钥匙打开这个箱子，所以信息就泄露了。并且更严重的是，别人可以把你的信取出来，写一封诈骗的信，再寄给小红，那么小红就受骗啦。所以对称加密并不安全。 非对称加密 非对称加密就比较特殊了。非对称加密存在着公钥和私钥， 公钥是用来加密内容的，私钥是用来解密内容的 。 比如小明有几个朋友，小A、小B、小C。小明和这几个朋友平时有秘密交流。小明自己拿着私钥，然后给每一个朋友一把公钥。 朋友写信给小明时 ：比如小A有机密信息要告诉小明。他写了一封信，用小明给他的公钥加密，这时候这封信是加密的，谁都看不到的，谁都不能解密

首先，此篇文章是有原因的。 刚开始也和大家一样来学习安装zabbix 奈何网上的教程和现实出现不一样的情况 在安装 zabbix过程中，因为 zabbix下载源是在国外，下载途中会出现终止下载的情况 transfer closed with 333939 bytes remaining to read 导致后面安装情况中出现失败的情况。现在这篇文章就是解决这个问题的。 安装过程中 有参考以下文档 CentOS7 配置阿里云yum源 Zabbix如何更换成国内下载源 阿里云Zabbix安装实践过程 安装过程：这里演示的是安装zabbix3.0。安装4.0在后面改下版本即可 （1）配置阿里云的yum源 配置阿里云zabbix yum源 rpm -ivh https://mirrors.aliyun.com/zabbix/zabbix/3.0/rhel/7/x86_64/zabbix-release-3.0-1.el7.noarch.rpm 下载repo文件 wget http://mirrors.aliyun.com/repo/Centos-7.repo 备份并替换系统的repo文件 cp Centos-7.repo /etc/yum.repos.d/ cd /etc/yum.repos.d/ mv CentOS-Base.repo CentOS-Base.repo.bak mv

下载软件包： wget http: // mirror.bit.edu.cn/apache // httpd/httpd-2.4.33.tar.gz wget http: // mirrors.tuna.tsinghua.edu.cn/apache // apr/apr-1.6.3.tar.gz wget http: // mirrors.tuna.tsinghua.edu.cn/apache // apr/apr-util-1.6.1.tar.gz 首先需要安装apr和apr-util tar xf apr- 1.6 . 3 . tar .gz cd apr - 1.6 . 3 / . / configure sudo make sudo make install 安装apr-util: ./configure --prefix=/usr/local/apr-util --with-apr=/usr/local/apr sudo make sudo make install 这两个必不可少，如果缺少其他的依赖，请自行百度 安装apr-util的，在编译的时候报错： xml/apr_xml.c:35:19: fatal error: expat.h: No such file or directory 解决方法： sudo apt-get install libexpat1-dev

1.环境： 主机名 ip 角色 master 10.2.1.198 master node1 10.2.1.174 node node2 10.2.1.165 node 在每一台的hosts添加解析记录 2.selinux 官方文档推荐开启SELINUX，否则会导致安装失败。 修改方式如下： /etc/selinux/config SELINUX=enforcing SELINUXTYPE=targeted 3.在所有节点上生成密钥对 在master能免密码登录node1 ，node2 4.装依赖包 yum install -y update 重启后装包 yum install wget git net-tools bind-utils iptables-services bridge-utils bash-completion kexec-tools sos psacct bash-completion.noarch bash-completion-extras.noarch python-passlib NetworkManager -y 5.安装docker yum install docker-1.13.1 -y 6.配置docker使用的存储 echo DEVS=/dev/sdb > /etc/sysconfig/docker-storage-setup echo VG

Cloudera 集群如何使用Kerberos工件，例如principal、keytab和委派令牌。 Cloudera建议使用Kerberos进行身份验证，因为仅原生的Hadoop身份验证仅检查HDFS上下文中的有效成员的 user:group 身份，而不像Kerberos那样对所有网络资源中的用户或服务进行身份验证。与可能更容易部署的其他机制不同，Kerberos协议仅在特定时间段内对发出请求的用户或服务进行身份验证，并且用户可能要使用的每个服务都需要在协议的上下文中使用适当的Kerberos工件。本节描述Cloudera集群如何使用其中一些工件，例如用于用户身份验证的Kerberos principal和Keytab，以及系统如何使用委派令牌在运行时代表已身份验证的用户对作业进行身份验证。 Kerberos principal 每个需要对Kerberos进行身份验证的用户和服务都需要一个 principal ，即一个实体，该实体在可能有多个Kerberos服务器和相关子系统的上下文中唯一标识该用户或服务。principal最多包含三段标识信息，以用户名或服务名（称为“ 主 ” ）开头 。通常，principal的主要部分由操作系统中的用户帐户名组成，例如 jcarlos 用于用户的Unix帐户或 hdfs 与主机基础集群节点上的服务守护程序相关联的Linux帐户。