ddos怎么防_福州高防服务器_新用户优惠

ddos怎么防_福州高防服务器_新用户优惠

通过ChoriaPalantirFollowNov 212019·5分钟阅读

编者注:本文内容最初发表在Choria的博客上。

Choria是一个基础设施编排系统,是McCollective的继承者。它与Puppet集成良好,30g高防能防御多少ddos攻击,安全、快速,用Golang编写,易于扩展。我们使用Choria在集群中协调一次性任务(或者不适合Puppet的复杂任务)。当我们为内部使用评估Choria时,DDOS防御发展现状,一个痛处是缺乏对硬件身份验证令牌的支持。我们查看了代码库,并与主要维护人员R.I.Pienaar进行了讨论,决定为Choria代码库提供硬件安全令牌支持。这篇文章简要介绍了pkcs11,然后描述了如何为硬件令牌配置Choria。

什么是pkcs11?

pkcs11代表"公钥加密标准#11"。这是一套如何与加密令牌交互的标准。您可能听说过硬件安全模块(HSM)或智能卡;pkcs11是软件与这些东西的交互方式。

HSMs的强大之处在于,敏感的加密材料是在硬件上生成的,永远不会离开它。因此,您不是打开私钥文件并用它对哈希值进行签名,而是将哈希值交给您的Yubikey,开发防御ddos,Yubikey对其进行签名并返回数据。还有法规遵从性优势(因为安全性更强)。一些HSM符合FIPS,这是某些计算环境所需要的。Yubikeys和CAC在大规模环境中的使用越来越多;如果您还没有了解这些东西的使用情况,那么最好进行调查。

如何开始使用pkcs11?

以下示例适用于OS X/Linux环境。让我们来看看如何设置一个yubikey(HSM品牌)与Choria一起使用。ykman是一个你必须下载才能继续使用的工具。让我们先清除Yubikey。

$ykman piv重置警告!这将删除所有存储的PIV数据并恢复出厂设置。继续[成功!所有PIV数据都已从你的YubiKey中清除。你的YubiKey现在拥有默认PIN,PUK和管理密钥:PIN:123456PUK:12345678管理密钥:0102030405060708010201030405060708010203405060708

现在我们需要在Yubikey上生成私钥:

$ykman piv生成密钥-P 123456-m 0102030405060708010020030405060708-PIN策略一次-触摸策略缓存9a test.pub

命令在发送加密请求之前,您必须输入pin,当您发送加密请求时,您必须触摸Yubikey。触摸后,您可以在15秒内执行更多请求,然后再触摸。该命令还生成一个公钥文件,您将使用该文件生成CSR,以便您可以为您的Yubikey获取签名证书。

$ykman piv generate CSR-s ptittle-P 123456 9a test.pub test.CSR

如上所述,我们使用之前获得的公钥生成了一个名为ptittle的CSR,并生成了一个CSR文件。现在您有了CSR文件,您可以让任何证书颁发机构对其进行签名。一旦你有了,获取他们给你的证书文件,cc防御购买,并将其放入test.crt.

$ykman piv导入证书——pin 123456-m 01020304050607080102300405060708010203405060708 9a test.crt

该命令将你的证书导入Yubikey。现在,您的Yubikey已配置为供Choria使用!上述教程虽然专门针对Yubikeys,但也适用于其他HSM。您将始终需要生成密钥、设置pin、创建CSR,然后将证书返回到HSM上。

如何配置Choria以使用我的HSM?

以下假设您在插入HSM的同一主机上运行Choria。稍后我们将讨论转发HSM连接。首先,安装opensc,一个允许软件与HSM对话的库。然后,在您的客户端配置文件中,添加/更改以下内容:

plugin.security.provider:"pkcs11"plugin.security.pkcs11.slot:0plugin.security.pkcs11.driver_文件:"/usr/local/lib/opensc-pkcs11.so"

您的驱动程序文件位置可能会有所不同,因此进行相应调整。然后,像往常一样,配置Choria以信任证书的公共名称。要进行测试,请尝试运行choria req rpcutil ping。系统将提示您输入pin。一旦输入,应正常运行!

如何将HSM转发到集群的bastion主机?

很可能您的计算环境无法直接从工作站访问。在这种情况下,您可以使用p11工具包创建一个套接字,然后通过SSH将其转发到集群的堡垒主机。从那里,您可以如上所述配置Choria,但使用p11工具包驱动程序文件。该驱动程序知道如何找到转发的套接字,因此它可以将加密请求发送回您的工作站!让我们将所有这些细节解包,并从工作站端的更改开始。在工作站上的.bash_配置文件中添加以下内容:

函数proxyyubi(){mkdir-p~/.xdg/rm-rf~/.xdg/p11 kit/export xdg_RUNTIME_DIR=~/.xdg/token_url=$(p11tool--provider/usr/local/lib/opensc-pkcs11.so--列出令牌url)eval$(p11 kit server--provider/usr/local/lib/lib/opensc-pkcs11.so"{token url}")ln-sf${P11_KIT_SERVER_ADDRESS#*=}~/pkcs11 echo"已创建yubikey套接字,按常规进行ssh"}

用opensc库的位置替换库路径。并在相关位置更改homedir。现在在工作站上安装p11工具包。现在连接到bastion主机并安装p11套件。运行systemd path用户运行时;输出应该类似于/run/user/632000069。返回到您的工作站,编辑~/.ssh/config,并为您的bastion主机添加一个条目(如果您还没有)。添加以下内容:

RemoteForward/run/user//p11 kit/pkcs11/Users//pkcs11

热门推荐
  • 服务器防护_ddos防御设备_怎么办

      你的电子邮件是网络威胁的目标吗?找到并赢取VIP门票,参观巴黎云博览会的绿色日在巴黎举办的欧洲云博览会是一个探索行......

    03-18    来源:长虹华伟

    分享
  • 服务器安全防护_高防ip服务器_超稳定

      网络钓鱼者正在发送攻击电子邮件,利用重新安排的商务会议作为诱饵,危害高级管理人员的商务电子邮件帐户。 云安全平......

    06-11    来源:长虹华伟

    分享
  • 免备案高防cdn_ddos防护软件技术参数_怎么

      对于信息安全人员来说,利用漏洞有点像是一个棘手的问题。一方面,通过保持系统的最新性,您可以基本上保证端点安全性......

    11-24    来源:长虹华伟

    分享
  • ddos防御攻击_高防服务器租用_怎么防

      2012年3月——Radware公司ERT最繁忙的一个月作业停电状态:如果你在周末读到媒体,你会被引导相信阿农的虚拟军队的大部分要......

    04-18    来源:长虹华伟

    分享
  • ddos清洗_防cc攻击设置多少秒_优惠券

      5月6日下午,联邦政府明确表示,现在是联邦政府进行开发的时候了。超过500名来自公共部门的观众在网上联合起来,与5名政......

    11-24    来源:长虹华伟

    分享
  • 海外高防_服务器靠什么防御_秒解封

      ATT*和亚马逊网络服务公司(Amazon Web Services,Inc.)正在推出几种创新的物联网(IoT)解决方案,让企业在数据驱动的世界中更......

    03-12    来源:长虹华伟

    分享
  • 网站防御_TCP高防_原理

      最新的网络攻击、数据泄露、威胁或漏洞不乏头条新闻。尽管某些行业可能比其他行业更容易成为攻击目标,但从公用事业、......

    04-19    来源:长虹华伟

    分享
  • 服务器防御_cc攻击防御策略ng_怎么防

      作者:Greg Coxvar应用洞察力=窗口.appInsights||function(config){function t(config){i[config]=function(){var t=参数;i。队列.推送(f......

    10-09    来源:长虹华伟

    分享
  • 防ddos_ddos攻击怎么防_超稳定

      更新2:CVE-2015-0313的补丁发布已经开始。首先是adobeflash自动更新程序,然后是可下载的软件包加上Chrome和即更新:最新Adobe F......

    03-24    来源:长虹华伟

    分享
  • cc防护_韩国高防vps_如何解决

      从私有云环境到混合云环境的快速迁移带来了无数的商业利益。其中最令人兴奋的是预测分析、灾难恢复和以尽可能低的成本......

    08-03    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。