来自 数据 2021-07-17 20:06 的文章

DDOS高防服务_阿里云高防ip到期了怎么办_新用户优惠

DDOS高防服务_阿里云高防ip到期了怎么办_新用户优惠

正如您可能知道的,使用云服务意味着您将数据存储在您不拥有的服务器上。因此,云中犯的错误更可能公开,影响范围从尴尬到丢失所有数据。保护数据的最重要方法之一是加密。加密数据的方法很多,但历史上最具挑战性的一个是在Linux操作系统下加密根卷。这就是为什么我非常兴奋地演示一种新的RedHat网络绑定磁盘加密(NBDE)技术,这将使您的DEVOP和安全加密实践变得如此简单。我们怎么到这里的?当我们为RedHat Enterprise Linux 7.4策略模板开发最新的CloudPasseCSM模块时,我们立即注意到操作系统使用的是新技术,这使得根卷加密成为可能。该技术是网络绑定磁盘加密,或NBDE,它允许用户加密根卷,而不需要您在重新启动操作系统时手动输入密码。所有需要的包都已添加到RHEL7.4中,并且受支持。它也可用于Fedora24+。在Red Hat Enterprise Linux 7中,NBDE通过以下组件和技术实现:U形夹框架或唐服务器。唐朝唐是一个服务器,用于将数据绑定到网络存在。当系统绑定到某个安全网络时,它使包含数据的系统可用。唐是无状态的,不需要TLS或身份验证。与托管解决方案不同,服务器存储所有加密密钥,并且了解使用过的每一个密钥,唐从来没有看到单个客户端密钥;因此,它从不从客户端获取任何识别信息。U形夹U形夹是一个可插入的框架,用于自动解密。在NBDE中,U形夹提供LUK卷的自动解锁,并显示功能的客户端。U形夹销是U形夹框架中的插件。其中一个PIN是一个插件,它实现与NBDE服务器的交互;也称为Tang。U形夹和Tang是提供网络绑定加密的通用客户端和服务器组件。在Red Hat Enterprise Linux 7中,它们被用于加密和解密硬盘的根卷,以完成网络绑定的磁盘加密。客户端和服务器端组件都使用José库执行加密和解密操作。唐服务器的U形夹销获得了唐服务器的广告不对称密钥列表。或者,由于密钥是不对称的,ddos防御结果,可以将唐的公钥列表分发到带外,以便客户端可以在不访问唐服务器的情况下操作。此模式称为脱机设置。唐的U形夹销使用一个公钥生成一个独特的、加密强度强的加密密钥。一旦使用此密钥加密数据,密钥将被丢弃。客户端应将此设置操作生成的状态存储在一个方便的位置。加密数据的过程是设置步骤。NBDE的设置状态利用Luksemta包存储在LUKS标头中。当客户端准备好访问其数据时,它将加载在设置步骤中生成的元数据,并响应恢复加密密钥。此过程是恢复步骤。在NBDE中,U形夹使用销绑定LUKS体积,以便自动解锁。成功完成绑定过程后,可以使用提供的Dracut卸料器解锁磁盘。安全NBDE配置NBDE是基于客户端服务器技术的,因此为了充分利用它,需要对服务器和客户端进行配置。建议使用几个唐服务器,但为了避免冗余,在我的示例中,我将只安装一台。服务器安装:确保服务器是最新的,并且具有最新的软件包:#yum检查更新如果需要,安装更新:#yum-y更新安装唐服务器:#yum-y安装唐启动唐服务器:#系统CTL启用凸耳–现在唐服务器在端口80、HTTP上工作,不要忘记在防火墙软件中打开端口或在云中创建规则,并使服务器名称或IP地址保持静态。服务器安装已完成。客户端安装:为了测试,我在虚拟环境中安装了2个操作系统:Redhat7.4和CentOS 7.4。我还启用了根文件系统的加密。我开始只测试NDBE的功能,因此在本注释中我将不描述部署操作系统的可能选项。安装系统后,cc高防cdn,是时候安装客户端包了。方便地,操作系统(RedHat和CentOS)的下一步是相同的。确保客户机是最新的,并且具有最新的软件包:#yum检查更新如果需要,安装更新:#yum-y更新安装必要的软件包:#yum-y安装U形夹U形夹luks U形夹排水板将luks卷绑定到唐服务器#U形夹绑定luks-d/dev/xvda tang'{"url":\u服务器\u ip"}’在我的例子中,它是这样的:U形夹绑定luks-d/dev/xvda tang'{"url":"}’您可以检查绑定是否成功:#luksmeta show-d/dev/xvda您可以看到这样的内容:0活动为空1主动cb6e8904-81ff-40da-a84a-07ab9ab5715e2个非活动空3非活动空4非活动空5非活动空6非活动空7非活动空成功完成此绑定过程后,可以使用Dracut解锁磁盘。Dracut解锁器尝试在早期引导期间自动解锁卷。这允许自动根卷加密。安装U形夹后重建initramfs,怎么关闭cc防御,以启用Dracut:#dracut-fLinux操作系统提供"/etc/crypttab"文件,cdn防御cc攻击,以自动打开加密卷。由于可以在不进行用户交互的情况下装载卷,卷可以安装在系统启动上。要在crypttab中配置加密卷,需要卷的UUID(唯一标识符)。可以使用"cryptsetup luksuid"命令再次检索此标识符。文件/etc/crypttab和/etc/fstab的内容:#cat/etc/crypttab#cat/etc/fstab在系统启动期间,您将看到输入加密卷密码短语的提示,但这只会出现几秒钟。如果可以访问唐服务器,卷将自动解密,系统将继续加载。配置完成后,您可以测试。在我的场景中,我将具有加密根卷的虚拟机放置在本地计算机和带有唐包的服务器上。我重新启动了虚拟机,并模拟了一些场景,例如无法访问的网络或唐服务器关闭。当可以访问唐服务器时,虚拟机启动时没有任何问题,当唐服务器无法访问时,虚拟机无法启动,而不输入LUKS密码短语。如果删除密码短语,则在无法访问唐服务器时,您将无法启动服务器。技术的主要概念是云中存储的加密数据,但在另一种情况下可以使用:可以将唐服务器存储在云中,并在工作站上加密根文件系统,放置在办公室,通过专用网络与云连接。所以,如果删除初始密码短语,办公室外任何人都无法解密存储在工作站上的数据。总之,数据的安全保障是首要和最重要的安全问题。NBDE等新技术可用于在物理、虚拟或EC2类型的云基础架构中保护数据。您必须记住,如何做cc防御策略,只有业主负责自己数据的安全。