存档

‘安全’ 分类的存档

有感于某些人的某些言论

2010年9月28日 baalchina 1 条评论

今天找autoproxy,发现了这篇文章:http://autoproxy.org/zh-CN/node/66,大意是指,CNNIC获得了根证书,呼吁大家把CNNIC从根中去掉。

对于文章观点,我是持保留态度,但是对于文章的某些评论,却是不吐不快。

其中某评论说道:“网易邮箱开始使用CNNIC证书,各位同学如果想保护自己的隐私,请不要使用网易邮箱”。http://autoproxy.org/zh-CN/node/66#comment-4692

不知道这位匿名用户是不懂装懂,跟着起哄;还是故作不知,别有用心?

 

姑且不谈证书的含义,网易邮箱貌似还没有全程https的概念,即使有,也没几个人会使用。毕竟大多数国人的电脑水平没高到明白http加一个s代表什么。网易只是在登录的时候将帐号密码通过https传输。就因为用了CNNIC证书,会造成隐私泄露?

如果网易想知道你的隐私,他哪怕用VeriSign的证书,照样可以知道。你的数据都存在网易呢。

如果zf想知道你的隐私,他还用得着去破解https?只要网易还在国内,公安局一个协查令就可以了。这个和fbi要求美国网络公司公开信息一个道理。

想知道你隐私的人,会有n种方法获取,而通过植入cnnic的根证书来获取,恐怕是最笨的一种方式了。

况且,目前所有的根貌似都是国外的公司,你那么点隐私,按照这个逻辑,人家要想看,恐怕早就被fbi/nsa翻个遍了。只不过你对他们没威胁而已。人家还希望多一点你这样的人呢!

 

现在中国的某些人,也就跟着瞎起哄而已。却不知道这些瞎起哄,会误导多少人。

分类: 安全 标签:

360和微软也是有一腿的嘛…

2009年12月14日 baalchina 1 条评论

下载成功,文件保存至:D:\360lan\patch\WindowsServer2003-KB974318-x86-CHS.exe
[2009-12-14 09:36:40] 开始下载文件:http://qh.dlservice.microsoft.com/download/2/C/D/2CDCD3F2-A412-4E80-86E6-79DBAC6956D8/WindowsXP-KB973904-x86-CHS.exe
文件大小:861048字节

 

qh.dlservice...qh=qihoo?

分类: 安全, 服务器管理 标签: ,

使用IAS+Radius管理交换机的telnet密码

2008年11月12日 baalchina 没有评论

以下在s2150G交换机上测试通过。软件版本1.69,以下可能不支持,困扰了我很久。

 

首先需要有用户管理程序。我使用的是Windows 2003自带的IAS-Internet访问控制。在添加删除程序中可以找到。它支持标准的Radius协议。

另外需要在Windows下新建一个用户,属于特定的组,比如Raidus组,用户nic。

安装好IAS之后,右键点击Radius客户端,新建一个客户端--注意一个交换机对应一个客户端。密钥我指定为switch。不要勾选“请求必须包括消息验证程序属性”,客户端-供应商选择RADIUS Standard。如下图所示

1

 

接下来右键点击“远程访问策略”,“新建访问策略”--“设置自定义策略”--“添加策略状况”。

选择Windows-Groups,然后在新窗口中选中前面新建的Radius组。

下面选择“授予远程访问权限”。

下一个窗口选择“编辑拨入配置文件”。

身份验证部分取消所有框,只保留“未加密的身份验证(PAP,SPAP)”。

高级-ServiceType-设置为Login。

确定,至此IAS部分的设置即完成。

下面是交换机部分的设置,把配置贴在下面:

 

Switch#show run

System software version : 1.69 Build Aug  2 2007 Release

Building configuration...
Current configuration : 288 bytes

!
version 1.0
!
hostname Switch
vlan 1
!
radius-server host 10.1.1.3
enable secret level 15 5 #wNq&#Z1^IOrJ%(8YMp]K*.tSxB^"[/7
!
interface vlan 1
no shutdown 
ip address 10.1.1.1 255.255.255.0
!
radius-server key switch
line vty
login authentication radius
!
end

Switch#

需要注意几个关键点:

一、这里的Radius是level 0的用户,也就是默认telnet上去的用户。你仍然需要设置level15的密码。通过enable secret level 15 0 password。

二、看Radius是否成功,可以通过Windows的系统日志。

三、存在一个问题,就是当Raidus服务器失效,你就再也无法telnet了。Cisco设备支持先Radius再local,当Raidus失效默认local。但是锐捷设备貌似不支持。

四、配置login authentication的地方,一般设置line vty即可。line console是串口线。最好别设置。

分类: 安全, 网络配置 标签: , , ,

锐捷/凯创设备上的交换机安全设置(20090312)

2008年10月6日 baalchina 没有评论

注意仅仅是对于安全管理的设置。

对于锐捷设备

ip ssh version 2
enable services ssh-server
no enable services telnet-server
services telnet host 172.17.13.0 255.255.255.0
no snmp-server community public

作用:
打开SSH,关闭telnet。如果打开telnet那么只允许在特定的网段进行telnet。

对于凯创设备

set router telnet disable

禁止通过SVI接口telnet。

同时还有命令

set router ssh enable

这个命令大开了设备的ssh。切记要打开这个,否则你再也连接不上设备了...

分类: 其他设备, 安全, 核心设备 标签: , , ,

密码保护:L2,L3设备的安全配置

2008年9月22日 baalchina 查看留言请输入密码

这是一篇受密码保护的文章。您需要提供访问密码:


分类: 安全, 核心设备 标签: