2022年8月5日 星期五

Windows Server 2022 、 IIS 10、遠端桌面,停用TLS 1.0、TLS 1.1協定、停用3DES加密套件、停用Diffie Hellman KeyExchangeAlgorithms。

停用TLS 1.0、TLS 1.1協定、停用3DES加密套件、停用Diffie Hellman KeyExchangeAlgorithms。

環境:
Windows Server 2022

IIS 10
已啟用HTTPS或主機有啟用遠端桌面

修改方式:
透過修改機碼的方式,先執行regedit.exe,並至路徑[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]。

停用TLS 1.0
1.在Protocols目錄下新增機碼,名稱輸入「TLS 1.0」。
2.在TLS 1.0目錄下新增機碼,名稱輸入「Client」及「Server」。
3.於Client目錄中新增DWORD(32位元值),名稱輸入「DisabledByDefault」,確認值為1。
4.於Server目錄中新增DWORD(32位元值),名稱輸入「DisabledByDefault」,確認值為1。
5.於Server目錄中新增DWORD(32位元值),名稱輸入「Enabled」,確認值為0。

停用TLS 1.1
1.在Protocols目錄下新增機碼,名稱輸入「TLS 1.1」。
2.在TLS 1.1目錄下新增機碼,名稱輸入「Client」及「Server」。
3.於Client目錄中新增DWORD(32位元值),名稱輸入「DisabledByDefault」,確認值為1。
4.於Server目錄中新增DWORD(32位元值),名稱輸入「DisabledByDefault」,確認值為1。
5.於Server目錄中新增DWORD(32位元值),名稱輸入「Enabled」,確認值為0。

停用3DES加密套件
1.在Ciphers目錄下新增機碼,名稱輸入「Triple DES 168」。
2.於Triple DES 168目錄中新增DWORD(32位元值),名稱輸入「Enabled」,確認值為0。

停用 Diffie Hellman KeyExchangeAlgorithms
1.在KeyExchangeAlgorithms目錄下新增機碼,名稱輸入「Diffie-Hellman」。
2.於Diffie-Hellman目錄中新增DWORD(32位元值),名稱輸入「Enabled」,確認值為0。
張貼者: 沒有留言:

2022年5月10日 星期二

Ubuntu SFTP設定

環境:
OS:Ubuntu 22.04 Server

目的:
  • 使用加密連線
  • 使用 SFTP 協定登入 OpenSSH 伺服器時,預設使用者可以任意的在檔案系統間遊走,因安全的理由透過 chroot() 的方法將使用者限制在(chroot) 特定目錄下,讓他不能跑到其他目錄瀏覽資料。
  • 設定完成之帳號,僅可使用SFTP 協定登入,無法使用ssh登入。

步驟:
1.確認openssh版本>4.8
$ ssh -V

2.建立SFTP用群組
$ sudo groupadd sftp_group

3.將使用者加入SFTP用群組
$ sudo usermod -G sftp_group <使用者帳號>

4.查帳號是否正確加入群組
$ grep sftp_group /etc/group

5.確認home目錄與有者權限為root:root,755。
$ ls -ld /home
drwxr-xr-x   8 root root  4096 May 10 01:08 home

6.確認使用者home目錄與有者權限為root,755。
$ ls -ld /home/<使用者帳號>
drwxr-xr-x 6 root <使用者帳號> 4096 Apr 10 03:47 <使用者帳號>

$ sudo chown root /home/<使用者帳號>

7.禁止使用者以ssh登入shell
$ sudo vim /etc/shells
加入/bin/false

$ sudo usermod -s /bin/false <使用者帳號>

8.設定SSH Config檔案
$ sudo vim /etc/ssh/sshd_config

#Subsystem       sftp    /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp

# Example of overriding settings on a per-user basis
#Match User anoncvs
#       X11Forwarding no
#       AllowTcpForwarding no
#       PermitTTY no
#       ForceCommand cvs server

Match Group sftp_group
        ChrootDirectory %h
        X11Forwarding no
        AllowTcpForwarding no
        PermitTTY no
        ForceCommand internal-sftp

9.測試config後重啟sshd
$ sudo sshd -t
$ sudo systemctl restart sshd


10使用FileZilla以22port連線測試
張貼者: 沒有留言:
標籤:

2021年5月25日 星期二

Ubuntu Apache 2.4 設定X-Frame-Options,避免點選劫持 (clickjacking) 的攻擊。

環境:
OS:Ubuntu 20.04 Server
Apache:2.4


設置此標頭將防止其他站點將來自該站點的頁面嵌入為框架。 這可以防禦點擊劫持攻擊,避免點選劫持 (clickjacking) 的攻擊。(防止釣魚網站透過iframe來籤入自己的網站。)


X-Frame-Options回應標頭可用值有:
DENY:瀏覽器拒絕當前頁面載入任何Frame頁面
SAMEORIGIN:frame頁面的地址只能為同源域名下的頁面
ALLOW-FROM:origin為允許frame載入的頁面地址


設定方式:
(1)啟用mod_headers
sudo a2enmod headers
sudo systemctl restart apache2

(2)設定
sudo vim /etc/apache2/conf-enabled/security.conf (預設已啟用此modules)

#將下列一行註解移除
Header set X-Frame-Options: "sameorigin"

(3)重啟服務
sudo systemctl restart apache2
張貼者: 沒有留言:
標籤: ,

2020年6月17日 星期三

Apache 2.4 新增HTTP VirtualHost

環境:
OS:Ubuntu 18.04 Server
Apache2.4
網站目錄:/www/example1
domain name:www.example1.com

1.增加網站目錄之權限設定
cd /etc/apache2/conf-available/
sudo vim example1.conf

#於example1.conf中加入下列設定,可參考apache2.conf中之<Directory /var/www/>之設定。
<Directory /www/example1>
    Options FollowSymLinks
    AllowOverride None
    Require all granted
</Directory>
2.啟用設定
sudo a2enconf example1
sudo systemctl reload apache2
3.新增HTTP之VirtualHost
cd /etc/apache2/sites-available
sudo cp 000-default.conf example1.conf
sudo vim example1.conf

#內容設定如下
<VirtualHost *:80>
    ServerName www.example1.com
    ServerAdmin admin@www.example1.com
    DocumentRoot /www/example1

    ErrorLog ${APACHE_LOG_DIR}/error_example1.log
    CustomLog ${APACHE_LOG_DIR}/access_example1.log combined
</VirtualHost>
4.啟用網站
sudo a2ensite example1.conf
sudo systemctl reload apache2
5.試試瀏覽網頁 http://www.example1.com
張貼者: 沒有留言:
標籤: ,

2019年9月11日 星期三

於windows 10 中讀取副檔名為HLP的說明檔(以Powerbuilder 10.5之說明檔為例)

環境:windows 10 64bit


1. 先取得XP作業系統內之winhlp32.exe,我使用的版本為5.1.2600.5512。(我於windows 7 中取得的winhlp32.exe檔案是無法成功使用,會出現錯誤訊息「(9009)」。)




















2. 取得PowerBuilder 10.5的說明檔,預設路徑如下:
C:\Program Files (x86)\Sybase\PowerBuilder 10.5\Help\PBHLP105.HLP


3. 將PBHLP105.HLP按滑鼠左鍵拖曳到winhlp32.exe上後放開滑鼠左鍵,即會以winhlp32.exe開啟PBHLP105.HLP檔案。









4. 成功於windows 10 中開啟HLP檔。

張貼者: 沒有留言:
標籤:

2018年10月27日 星期六

中油國光牌環保去漬油

在中油直營站購買環保去漬油0.5L只要35元,適用電子、鐘錶、懷爐、家電產品清洗用,其他管道如網購、大賣場、五金行等售價皆高於此價格,中油直營站滿多的,所以有需要的朋友直接去中油直營站購買即可,還會開發票。





張貼者: 沒有留言:

2018年5月9日 星期三

php7.2連Sybase資料庫

環境:
OS:Ubuntu 18.04 Server
Apache2.4
PHP7.2

因PHP7.0以後無sybase相關function,需透過freetds為連線介接,再使用PDO相關function進行連線。
1. 安裝相關套件
sudo apt install php7.2-sybase
2.設定freetds
sudo vim /etc/freetds/freetds.conf [global]
        client charset = UTF-8
        charset = utf8

 [sybase_db]
        host = db.com.tw
        port = 5000
        tds version = 5.0

 3. 使用PDO function測試是否連線成功。
<?php
$db_host = "sybase_db";
$db_user = "帳號";
$db_pass = "密碼";
$db_select = "dbname";

$dbconnect = "dblib:host=".$db_host.";dbname=".$db_select;
$pdo_sybase = new PDO($dbconnect, $db_user, $db_pass);

$sql = "select * from sybase_table where 1=1";
$res = pdo_sybase->query($sql);
        while ($row = $res->fetch()){
                print_r($row);
        }
?>
張貼者: 沒有留言:
標籤: , ,
訂閱: 文章 (Atom)