http://blog.fhl.net/blog/7 <p>就是技術組用來開會紀錄與寫小抄的地方</p> 基本上，我們還是靠L5來做檔案系統的安全性防護，不過以往我們都是透過軟碟片來記載檔案的「指紋」，現在則是因為系統檔案變多了，軟碟片已經裝不下，只好另外想辦法了。<br /> <br /> 目前，我們改用USB隨身碟來做「可防寫的指紋記載媒體」。價格當然比磁碟片高了不少，不過因為一時也想不到什麼其他更好的代用品，只好這樣處理了。 http://blog.fhl.net/post/7/19 Mon, 13 Nov 2006 23:35:28 +0800 雖然，隨著技術的進步，網路設備已經漸漸的變成以Switch為主流，不過監聽與入侵的技巧仍然日新月異，一不小心仍然會被入侵成功。自從好幾年前被入侵 過一次之後，信望愛站到目前並沒有被入侵成功過（或者被入侵而我們不知不覺？呵呵！），但是我們可以由系統記錄中知道入侵的意圖是從來沒有停過。所以，網 路安全的維護仍然是我們很重要的課題。<br /> <br /> 以往，我們以為換了Switch就比較不容易被監聽，後來，才發現利用「man in the middle」技術照樣可以監聽。使用防火牆可能可以減少入侵的機會，但是如果port 80、25、110、143跑的程式有問題，用防火牆也沒用，所以：「處處加密、時時補破洞」成為我們維護網路安全的基本哲學。還好，這幾年來網路防護的 免費技術與免費資源也增加了，所以我們可以有足夠的武器與入侵者對抗。<br /> <br /> 進系統，我們用putty取代telnet，要拿資料，我們用 winscp取代ftp。更進一步的，收信（IMAP或POP3）、發信（smpt），我們也都使用ssl加密。目前Fedora的郵件套件都可以直接使 用IMAP、POP3、smtp over SSL的技術，我們用起來也就不必像以前一樣，必須透過一些特殊的tunnel程式來協助，可以輕鬆的直接設定即可。<br /> <br /> 對一般使用者來說，好像還不是非常習慣網頁的SSL保密機制，不過如果使用webmail等系統，還是很有可能會造成密碼外洩。不管怎樣，我們還是加上了SSL的保護，並且鼓勵使用者用加密的連線來收信。<br /> <br /> 最後，因為有許多使用者是共用著信望愛站，所以如果任何一個帳號被破解、入侵，都有可能對其他使用者帶來災難。所以我們一向不隨便開放PHP、CGI等程 式功能。不過面對使用者的需求，我們好像也不能永遠都拒絕開放這些比較有危險性的功能，所以我們未來將開始研究user mode linux等jail技術，希望把一些比較危險的使用者關進虛擬機器中，這樣就可以保護其他的使用者不受影響了。 http://blog.fhl.net/post/7/20 Mon, 13 Nov 2006 23:35:18 +0800