之前用 MAC 主機內的終端機要去連其他台 SSH Server 主機時,常會因為連線時間閒置過久而被踢出中斷
Google 了一下發現這篇文章,其實是可以透過三種方式設定的
1. 在連線時直接加入參數,ssh -o ServerAliveInterval=10 keepsdroppingme.com
2. 在個人資料夾底下的 .ssh 目錄加入一個檔案 config,檔案內加入一行設定 ServerAliveInterval=10 即可,指令參考如下
# vi ~/.ssh/config
3. 修改全系統 ssh 設定,此方法需要 root 權限才能修改,一樣加入一行 ServerAliveInterval=10 即可,指令參考如下
# vi /etc/ssh_config
簡述幾個安裝步驟
首先安裝 Certbot Ports 套件,這也是 Let's Encrypt 建議的工具
# cd /usr/ports/security/py-certbot/
# make install clean
這過程會有一點久,因為它要連同一起裝 python
安裝好之後就可以來申請憑證了,首先先確認您的網站根目錄在哪兒,以我的來說是在 /usr/local/www/apache24/data 底下,這路徑等等會用到
申請憑證指令如下 (請自行更換紅字網址名稱)
# certbot certonly --webroot --webroot-path /usr/local/www/apache24/data/ -d www.bojack.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): bojack@bojack.com <--- 請輸入您的 Email
以前更新 FreeBSD 的 Ports 都是用 cvsup,但在新版本都不適用了,取而代之的是用 portsnap
簡單記錄一下步驟
1. 先更新 /etc/portsnap.conf 裡的 SERVERNAME=portsnap.tw.FreeBSD.org,改成指向台灣的站
2. 第一次使用 Portsnap 請先下指令 #portsnap fetch extract
3. 日後要更新 Ports 就下指令 #portsnap fetch update
以前連線到有 https 的網站時,在 Chrome 瀏覽器的網址列都可以直接查看網址資訊,但自從某一次 Chrome 改版後就再也無法直接看到了
解決的方式如下,點選 Chrome 右上角的設定 ( 3 個 . 的那符合 ) -> 更多工具 -> 開發人員工具 -> 在上面找到 Security 就可以看到網站用的憑證囉 !
但還是想不透為什麼 Chrome 要把它搞得那麼複雜就是 ~
一般來講在用 Chrome 直接點選 PDF 時會直接開啟,而我個人習慣先下載再開啟,為什麼呢 ?
假設你很想要一個 PDF 檔,先用 Chrome 開啟了一次,無形中就是在下載 PDF 了
當開啟完畢後確定是想要的才會按右上角的下載到本機,這樣又要下載第二次,那不如第一次就直接下載不是嗎 XD
修改 Chrome 設定的方法很簡單,在網址列輸入 chrome://plugins/
將選項 Chrome PDF Viewer 點選停用就可以囉 !
以下防止 SQL Injection 的程式是參考 AppleBOY 這篇文章 : PHP+MySQL 環境下 SQL Injection 攻防戰
//處理 SQL Injection
if( is_array($_POST) && !get_magic_quotes_gpc())
{
while( list($k, $v) = each($_POST) )
{
$$k = checkhtml(mysql_real_escape_string(trim($v)));
}
@reset($_POST);
}
POODLE ( Padding Oracle On Downgraded Legacy Encryption ) 的攻擊主要是透過中間人攻擊手法,將 TLS 的加密連線降為較不安全的 SSL 3.0,進而可以從中看到明文的資料
但這攻擊已經是去年的新聞了,此篇文章僅是記錄如何利用 NMAP 此套軟體來檢測
1. 首先開啟 NMAP,選取「配置」->「新的配置或命令」
若提到要考電腦專業證照,不外乎會想到像恆逸資訊、資策會、巨匠電腦等等專業的上課機構。由於本身定期都會進修考證照來提醒自己要一直進步,研究了當時這幾個上課機構的相關課程,最後決定選擇在恆逸上課。為什麼要選擇恆逸呢?其實在恆逸的網站(http://www.uuu.com.tw/)可以看到有許多課程,都已經針對各種領域做好分類了,不論是資料庫、網路、作業系統、虛擬化以及資訊安全等等各類課程都是相當完善齊全了。由於之前已經考過了 CCNA 以及 CEH 這二張證照,因此決定再針對「資訊安全」這個領域著墨,確認了一下課程,最後就選定了「CHFI (Computer Hacking Forensic Investigator),資安鑑識調查專家」這一門課程。說實話這一門課程還蠻精實的,因為總共有五天總共40個小時,為了配合工作的關係,又不能一整個星期都在外面上課,就選了假日班來上,其實也是蠻累人的,一到五要工作,六日要上台北當學生,不過投資自己是值得的!
前晚打算用 55688 這個 App 叫車時,由於忘了之前申請的密碼就使用了「忘記密碼」的功能
過了二秒密碼便重新發送到我的手機簡訊,但一看就有點讓人傻眼,因為它是直接發送當時設定的密碼給我
這時就會有一點疑惑,那我的密碼是透過什麼方式存在資料庫呢?
若是明碼的話 ... 還是先改一下密碼好了
以前總說 iPhone 的 App 比較安全,上架時會經由 Apple 的審核把關,不過看來這個觀念得改了
這邊有篇新聞 : 危險!「網易雲音樂」等多款中國 iOS App 爆Xcode 嚴重木馬危機,在上架前就被植入
原來中國因為網路長城的限制,導致想去存取某些資源時會受限,所以有些工具就會就近取得下載,但無意之間也就誤用了加料的程式,而本次事件就是使用了被人加料過的 Xcode 開發程式
這次中鏢的 App 約有三百多個,不過後續應該還是會持續增加,整理目前的清單如右 : iOS App 大爆漏洞!一次中招 344 款 App!
而開發這個 Xcode 的作者僅說明此事件就只是一個「實驗」,在微博發表的說明如下
若有用到上述那些中鏢的 App 還是先暫停使用或移除,此外啟用二階段驗證可大幅降低可能的損失,至於二階段驗證相關教學的方法可以參考下面連結
[2] 危險!「網易雲音樂」等多款中國 iOS App 爆Xcode 嚴重木馬危機,在上架前就被植入
資訊相關 (15)