OpenSSL

题记 安全事件频发， 2018上半年的群友的讨论： 安全隐患划重点： 1、印度：没有设置Elasticsearch集群安全权限； 2、婚庆网站：Elasticsearch服务器暴露到公网。 3、群友：9200端口映射到外网。 保障Elasticsearch单节点或者集群网络安全必须提上日程！！ 该如何保障Elasticsearch集群的网络安全呢？ 1、不要将Elasticsearch暴露到Internet 必须强调这一点。即使在开发和测试中，也没有理由让您的集群暴露于公共IP。 异地联调，外网访问的场景各大公司都存在，但请千万别“裸奔”。 1.1 防火墙：限制公共端口 限制9200—— 集群对外访问端口 1iptables -A INPUT -i eth0 -p tcp --destination-port 9200 -s {PUBLIC-IP-ADDRESS-HERE} -j DROP 限制9300——集群内部通信端口 1iptables -A INPUT -i eth0 -p tcp --destination-port 9300 -s {PUBLIC-IP-ADDRESS-HERE} -j DROP 限制5601——kibana访问端口 1iptables -A INPUT -i eth0 -p tcp --destination-port 5601 -s {PUBLIC

uni-app编译版 一、配置微信小程序 配置小程序服务域名、获取小程序ID和密钥 二、uni-app编译版 1、进到商城后台下载源码 2、下载完成后打开，解压打开代码修改api路径，示例( https://baidu.com ) 3、部署到微信开发者工具上面 4、到微信开发者工具上面上传代码 来源： oschina 链接： https://my.oschina.net/u/4103048/blog/4483245

实验说明: 在先前的中，我们讲到使用 AWS CLI 对 S3 中的对象进行操作，在配置 AWS CLI 的 时候，我们创建了 IAM Access Key 和 Secret Key，这种 Key 属于 Long Term Key，也就意味 着如果您不 rotate Key，那么 key 将长期有效，如果 Key 不慎丢失，就需要在 AWS IAM 界 面删除这个 key 或者停用 key。当我们将服务部署在 AWS EC2 的时候，还有另外一个可选 方案，即使用 EC2 Role(角色)的方式，使 EC2 具有访问 AWS 资源的权限，这样就不需要在 EC2 实例上或我们的应用代码中指定 IAM Key，可进一步加强服务的安全性。 实验概要: 本次实验中，我们将对 EC2 绑定一个 IAM 角色，在不配置 EC2 Access Key 和 Secret Key 的 情况下，使 EC2 具有通过 AWS CLI 操作 S3 存储桶的能力。 实验步骤: 打开 IAM 界面，然后点击”角色”----“创建角色” 选择受信任的实体类型为”AWS 产品”---EC2， 在 Attach 权限策略处，搜索 AmazonS3FullAccess 策略，然后勾选这条策略，点击”下一步: 标签” 添加标签界面可直接点击”下一步: 审核”，角色名称可以随便写，比如 EC2AccessS3，然后 点击

　　近日，在第 22 届密码硬件与嵌入式系统会议（CHES 2020）上，清华大学魏少军、刘雷波教授团队作了题为 “ 《采用低复杂度快速数论变换和逆变换技术在 FPGA 上高效实现 NewHope-NIST 算法的硬件架构》 （Highly Efficient Architecture of NewHope-NIST on FPGA using Low-Complexity NTT/INTT）” 的论文报告。 　　 　　图 | 论文一作张能同学在作报告（来源：受访者） 　　CHES 成立至今已有 22 年，由国际密码学研究协会（IACR）主办，据刘雷波介绍，这篇论文是 中国大陆首次以第一作者身份在该会议上发表的后量子密码芯片方向文章。 　　报告人张能是论文第一作者，目前正在清华大学微电子所攻读博士学位，论文通讯作者是清华大学微电子与纳电子学系/微电子学研究所教授刘雷波，主要合作者还有杨博翰、陈晨、尹首一。 　　DeepTech 就该论文和刘雷波进行了深入交流。他表示， 该论文介绍了一种低计算复杂度数论变换与逆变换方法，并提出一种实现后量子密码算法的硬件架构。 　　当前，公钥密码已经广为使用，无论去线下银行、还是在网上银行办业务，都要证明个人身份以避免被人冒用，访问电商网站或使用手机支付时，其数据也需加密。 　　除民用用途之外，公钥密码算法在海陆空通信方面也有着特定用途

1. 内存分配 不同数据类型的大小限制 Strings 类型：一个 String 类型的 value 最大可以存储 512M。 Lists 类型：list 的元素个数最多为 2^32-1 个，也就是 4294967295 个。 Sets 类型：元素个数最多为 2^32-1 个，也就是 4294967295 个。 Hashes 类型：键值对个数最多为 2^32-1 个，也就是 4294967295 个。 最大内存控制 maxmemory 最大内存阈值 maxmemory-policy 到达阈值的执行策略 2. 内存压缩 # 配置字段最多 512 个 hash-max-zipmap-entries 512 # 配置 value 最大为 64 字节 hash-max-zipmap-value 64 # 配置元素个数最多 512 个 list-max-ziplist-entries 512 # 配置 value 最大为 64 字节 list-max-ziplist-value 64 # 配置元素个数最多 512 个 set-max-intset-entries 512 # 配置元素个数最多 128 个 zset-max-ziplist-entries 128 # 配置 value 最大为 64 字节 zset-max-ziplist-value 64 大小超出压缩范围，溢出后 Redis

很多客户在购买SSL证书时都会遇到一个问题，就是被众多的品牌证书花了眼。的确SSL证书品牌很多，今天小编就带大家来了解一下Comodo，让大家能够清楚如何选购SSL证书。 Comodo SSL证书优点： 1、凭证内含更多的认证资讯，可以让网路使用者在安全上更加放心。 2、认证申请步骤方便简单。 3、可安心让所有的网路使用者在资料的传输中都能够有最安全的资料加密保护。 4、提高使用者对于网站的可信赖性和安全性。 5、兼容市面上大部分的浏览器，可安心让所有的网络使用者在资料的传输中都能够有最安全的资料加密保护。 在价格上，对比于其他SSL证书价格几千上万的而言，Comodo的SSL证书可谓十分亲民，在安信证书申请DV基础版的单域名证书只要169元，通配符也才849元，目前Comodo SSL证书在全球占有30%多的市场份额，而且有上升趋势，排名第二，足以说明它的产品及服务受到了大部分用户的青睐，是不少个人及小型网站的首选。 安全网站签章上，购买Comodo证书，都会拥有了一个网站安全签章。当网站具有该安全签章，能够时刻提醒用户，其所有在线提交的数据信息正在受到高强度的加密传输保护。同时安全网站签章的技术可以确保该标志不会被假冒或钓鱼网站使用。 为网站安装SSL证书实现https是大势所趋，只要是由合法CA机构签发，支持所有浏览器的SSL证书都可以购买，如果你想选择安装一款正规

之前民工哥也给大家介绍过一款Nginx配置生成器： 强大！Nginx 配置在线一键生成“神器” ，不太了解的人可以去看一看。 最近民工哥又发现一款好用的网页版开源工具，同样它的功能也是Nginx配置生成器，功能非常强大，方便实用，它是： NginxWebUI 。 NginxWebUI介绍 NginxWebUI是一款方便实用的 nginx 网页配置工具 ，可以使用 WebUI 配置 Nginx 的各项功能，包括 端口转发，反向代理，ssl 证书配置，负载均衡 等，最终生成「nginx.conf」配置文件并覆盖目标配置文件，完成 nginx 的功能配置。 项目地址：https://gitee.com/cym1102/nginxWebUI 官方网站：https://nginxwebui.gitee.io NginxWebUI功能说明 该项目是基于springBoot的web系统，数据库使用sqlite，因此 服务器上不需要安装任何数据库。 本项目可管理多个nginx服务器集群, 随时一键切换到对应服务器上进行nginx配置, 也可以一键将某台服务器配置同步到其他服务器, 方便集群管理。 nginx本身功能复杂, 本项目并不能涵盖nginx所有功能, 只能配置常用功能, 更高级的功能配置仍然需要在最终生成的nginx.conf中进行手动编写。 部署此项目后,

前言 从前一篇网络安全基础要点知识介绍中可以知道，在网络通信中，通信传输数据容易被截取或篡改，如果在传输用户隐私数据过程中，被不法分子截取或篡改，就可能导致用户受到伤害，比如被诈骗，所以对客户端与服务端的传输数据加密，是网络通信中必不可少的。 数据加密方案 首先，客户端与服务端商量好数据加密协议，对传输数据做到安全保护。 安全保护至少需要有下面两点： 采用HTTPS协议 采用公钥密码体制RSA算法对数据加密 现在安全是保证了，但还要考虑到性能问题，由于RSA算法对数据加密时运算速度慢，所以直接把所有传输数据都用RSA加密，会导致网络通信慢，这对用户将是不好的体验。由于对称密钥密码体制中的AES运算速度快且安全性高，所以结合AES对传输数据加密是非常好的方案。 下面是对客户端与服务端通信数据加密比较通用的方案： 客户端生成AES密钥，并保存AES密钥 客户端用AES密钥对请求传输数据进行加密 客户端使用RSA公钥对AES密钥加密，然后把值放到自定义的一个请求头中 客户端向服务端发起请求 服务端拿到自定义的请求头值，然后使用RSA私钥解密，拿到AES密钥 服务端使用AES密钥对请求数据解密 服务端对响应数据使用AES密钥加密 服务端向客户端发出响应 客户端拿到服务端加密数据，并使用之前保存的AES密钥解密 注意：传输数据使用AES密钥加密，RSA公钥对AES密钥加密

思维导图 说明：文章中部分内容参考了网络资源，如cocoaChina中的文章。 App Transport Security iOS9中新增App Transport Security（简称ATS）特性, 主要使到原来请求的时候用到的HTTP，都转向TLS1.2协议进行传输。这也意味着所有的HTTP协议都强制使用了HTTPS协议进行传输。在 iOS 9 和 OS X 10.11 中，默认情况下非 HTTPS 的网络访问是被禁止的。当然，因为这样的推进影响面非常广，作为缓冲，我们可以在 Info.plist 中添加 NSAppTransportSecurity字典并且将 NSAllowsArbitraryLoads设置为 YES来禁用 ATS。 不过，WWDC 16 中，Apple 表示将继续在 iOS 10 和 macOS 10.12 里收紧对普通 HTTP 的访问限制。从 2017 年 1 月 1 日起，所有的新提交 app 默认ATS Configuration Basics / ATS 配置基础知识是不允许使用 NSAllowsArbitraryLoads来绕过 ATS 限制的，也就是说，我们最好保证 app 的所有网络请求都是 HTTPS 加密的，否则可能会在应用审核时遇到麻烦 最新的消息是苹果迫于压力，已经延迟了必须ATS的限制，不过这事情早晚要做的，还是尽快搞好 ATS

ansible是新出现的自动化运维工具，基于Python开发，集合了众多运维工具（puppet、cfengine、chef、func、fabric）的优点，实现了批量系统配置、批量程序部署、批量运行命令等功能。 ansible是基于模块工作的，本身没有批量部署的能力。真正具有批量部署的是ansible所运行的模块，ansible只是提供一种框架。主要包括： (1)、连接插件connection plugins：负责和被监控端实现通信； (2)、host inventory：指定操作的主机，是一个配置文件里面定义监控的主机； (3)、各种模块核心模块、command模块、自定义模块； (4)、借助于插件完成记录日志邮件等功能； (5)、playbook：剧本执行多个任务时，非必需可以让节点一次性运行多个任务。 实验环境 centos6.9_x64 server 192.168.1.12 slave 192.168.1.13 实验软件 ansible-2.6.8-1.el6.noarch sshpass-1.06-1.el6.x86_64 python-crypto2.6-2.6.1-2.el6.x86_64 python-jinja2-26-2.6-3.el6.noarch 软件安装 rpm -ivh epel-release-6-8.noarch.rpm sed -i 's/