Tar包安装，编译支持SSL证书Tar包目录:/opt/安装目录:/usr/local/haproxy配置文件目录:/etc/haproxy/haproxy.cfgF启停方式:systemctlstart|stop|restart|statushaproxy 一、Keepalived安装在两台服务器上做主备keepalived.conf(master) global_defs{router_

MinIO是一个基于ApacheLicensev2.0开源协议的对象存储服务。它兼容亚马逊S3云存储服务接口，非常适合于存储大容量非结构化的数据，例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等。在之前的一篇文章介绍了《使用Docker搭建minio对象存储与mc客户端常用命令》，这篇文章

漏洞危害：具有足够资源的中间人攻击者可利用此漏洞,通过“birthday”攻击检测会在固定密码与已知纯文本之间泄露XOR的冲突,进而泄露密码文本（例如安全HTTPSCookie）,并可能导致劫持经认证的会话。参见《支持SSL64位块大小的密码套件（SWEET32）-修复方案》参考资料：https://blog.cs

#Todo:Maybecanautodiscoveryupstreamhttp_server{ip_hash;serverweb:8080;#这个是可以通过容器访问,外部访问是80端口#serverHOST2:80;#另外的要写真实IP}server{listen80;#listen[::]:80;#server_namedemo.jumpserver.org;#取消注释并

近期对公司开发环境的机器进行了安全扫描，在扫描安全报告中出现了SSLMediumStrengthCipherSuitesSupported(SWEET32)漏洞，汇报后领导表示需要进行修复，特记录此漏洞修复的过程。漏洞产生的原因漏洞的原因主要是由于SSL/TLS协议中使用的DES（DataEncryptionStandard）及Trip

使用了ECDHE，在TLS第四次握手前，客户端就已经发送了加密的HTTP数据，而对于RSA握手过程，必须要完成TLS四次握手，才能传输应用数据。所以，ECDHE相比RSA握手过程省去了一个消息往返的时间，有点「抢跑」的意思，它被称为是「TLSFalseStart」，跟「TCPFastOpen」有点像，都是在

1.启动防火墙，按需添加入站规则，开放端口（来自网安专家李金东）在“高级安全Windows Defender防火墙”中，查看防火墙状态，如果未开启，则通过点击“Windows Defender 防火墙属性”开启。注意需要将域、专用、公用全部开启。 通常规避漏洞是通过限制本地端口访问的方式实现，因此需要

server{listen443ssl;server_namewww.XXX.com;proxy_read_timeout3600s;#设置读取超时时间ssl_certificateC:/xxxx.pem;ssl_certificate_keyC:/xxxx.key;ssl_session_cache

1. 敏感信息泄露1.1. 6443/10251/10252敏感信息泄露上图中提示6443、10251、10252三个端口分别对应了K8S的kubelet API、kube-scheduler、kube-controller三个服务的通讯端口。访问URL显示这三个端口的指标、版本页面会显示敏感信息。所以我们需要做的是禁止三个端口外

认识SSL/TLSSSL和TLS都是用于保障端到端之间连接的安全性。SSL最初是由Netscape开发的，后来为了使得该安全协议更加开放和自由，更名为TLS，并被标准化到RFC中，现在主流的是TLS1.2版本。从上图，可以看出SSL/TLS是介于应用层和传输层之间，并且分为握手层（HandshakeLayer）和记录层（Record

server{listen443ssl;server_namewww.XXX.com;proxy_read_timeout3600s; #设置读取超时时间ssl_certificateC:/xxxx.pem;ssl_certificate_keyC:/xxxx.key;ssl_session_cachesha

转载于：https://www.cnblogs.com/kubesphere/p/17141586.html前言简介生产环境KubeSphere3.3.0部署的Kubernetes集群在安全评估的时候发现安全漏洞，其中一项漏洞提示 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)。本文详细描述了漏洞产生原因、漏洞修复方案、漏洞修复的

#nginx配置安全建议ssl_protocolsTLSv1.2TLSv1.3;ssl_ciphersECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA

server{#这里开始listen443ssl;server_namelocalhost;ssl_certificate/usr/local/nginx/conf/cert/9169645__shhanqian.com.pem;#证书的路径ssl_certificate_key/usr/local/nginx/conf/cert/9169645__shha

一、报错及部署环境Java程序访问测试域名https方法正常，访问生产域名https域名报错，报错如下javax.net.ssl.SSLHandshakeException:Receivedfatalalert:protocol_version测试环境使用KubeSphereingress生产环境使用阿里云ACK服务的ingress配置二、问题原因客户端

内网服务器10.0.0.4使用web应用是http，由于各种原因无法在10.0.0.4上将http升级至https此时可以在另一台服务器10.0.0.3上部署nginx,利用nginx的反向代理功能，将访问10.0.0.3的流量转发至10.0.0.4同时将访问80端口的流量自动跳转至443当然也可以在10.0.0.4这台服务器上部署nginx

原生K8S      Rancher修改K8s服务参数            kube-api:always_pull_images:falsepod_security_policy:falsesecrets_encryption_config:enabled:falseservice_node_port_range:0-65535

详细描述SSL/TLS协议是一个被广泛使用的加密协议,BarMitzvah攻击实际上是利用了"不变性漏洞"，这是RC4算法中的一个缺陷，它能够在某些情况下泄露SSL/TLS加密流量中的密文，从而将账户用户名密码，信用卡数据和其他敏感信息泄露给黑客。解决方法临时解决方法：服务器端（SSL/TLS）--------1

golangCVE-2016-2183漏洞，https需要添加tls设置加密算法白名单，将弱加密算法DES和3DES去掉。服务端样例代码packagemainimport("crypto/tls""fmt""net/http")funchandler(writerhttp.ResponseWriter,request*http.Request){fmt.Fprintf(wri

前言在文章-腾讯云申请免费SSL证书中,我们已经申请好了SSL证书.那么现在,我们就要配置全站SSL了!

作者：老Z，中电信数智科技有限公司山东分公司运维架构师，云原生爱好者，目前专注于云原生运维，云原生领域技术栈涉及Kubernetes、KubeSphere、DevOps、OpenStack、Ansible等。前

作者：老Z，中电信数智科技有限公司山东分公司运维架构师，云原生爱好者，目前专注于云原生运维，云原生领域技术栈涉及Kubernetes、KubeSphere、DevOps、OpenStack、Ansible等。

HTTPS常用的密钥交换算法有两种，分别是RSA和ECDHE算法。其中，RSA是比较传统的密钥交换算法，它不具备前向安全的性质，因此现在很少服务器使用的。而ECDHE算法具有前向

 cp-rnginx-1.19.2./nginx-1.19.2.bak查看完旧版本信息可以执行如下命令，给旧版本改个名mv./nginx./nginx.old漏洞名称SSL/TLS协议信息泄露漏洞(CVE-2016-2183)

运行gpedit.msc，打开“本地组策略编辑器” 启用“SSL密码套件顺序”  TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_