Взломщик, скорее всего, не должен знать, что пароль для выполнения изменения - вот - то, как я обратился бы к нему:
Найдите обертку функции запроса для своего CMS и обновите его, чтобы зарегистрироваться в файл и/или послать электронное письмо каждый раз, когда regexp на строке запроса соответствует Вашей строке спама - включают любого и все соответствующие переменные сервера и CMS, которые могут помочь определить источник проблемы.
Обратите внимание, что можно звонить, debug_backtrace () на PHP 4.3 + для изоляции включают файлы, если это могло бы быть работой злонамеренного плагина.
После долгих поисков на страницах руководства для openssl.cnf
и конфигураций на различных iPhone и iPod у себя дома я наконец-то нашел ответ на заданный мною вопрос. .
Мое решение обеспечивает следующее: (а) безопасный вход в систему без имени пользователя / пароля с использованием EAP-TLS через WPA2-enterprise и (б) (возможно, немного более надежная защита) без пароля, но требуется имя пользователя для входа безопасным способом через WPA2-enterprise. Вариант (b) на самом деле заключается в раскомментировании check_cert_cn
в файле eap.conf
и требовании имени пользователя (есть несколько атрибутов name
, быть немного осторожнее) отправляется. У потенциального хакера может быть ваш сертификат, но у него, возможно, нет вашего имени пользователя, но это не совсем мера безопасности для хакера, который разбирается в сертификатах и WPA2 Enterprise.
По сути, процедура состоит в том, что вы меняете файл client.cnf
для каждого клиента, которого вы хотите добавить в сеть и повторно сгенерировать ключи с помощью make client.pem
, который создает файл client.p12
, который вы должны загрузить на свои клиентские машины - это означает, что каждый клиент получает собственный ключ для шифрования, что означает, что один клиент в сети не может шпионить за чужими пакетами через неразборчивый режим. Если у вас возникли проблемы во время создания client.pem
s: make client.pem
бомбы по любой причине, то обратите особое внимание на серийный
и serial.old
и index. txt
и index.txt.old
: в частности, mv serial.old serial
и mv index.txt.old index.txt
, и переделайте make client.pem
после устранения проблемы (например, неправильный файл cnf
из-за опечаток - скорее всего, из-за того, что специальные символы иногда не разрешены для паролей в Файл client.cnf
- я был бы признателен любому, кто прочитает это, чтобы указать мне ресурсы, касающиеся использования специальных символов в файлах * .cnf
).
Теперь подробности: машинам Windows нужна другая процедура: для каждого клиента Windows XP вам нужно будет использовать методы, упомянутые в файле README
в / etc / raddb / certs /
. Затем вы должны выполнить шаги, описанные в «Шаге 1: Создание сертификатов: то следующий раздел будет начинаться как [ beeblebrox]
. Здесь вы соответствующим образом настроите атрибуты (то же самое для большинства клиентов в вашей сети, за исключением emailAddress
, который будет изменяться для каждого клиента).
В конце этого процесса вы закончите создание цифровые профили *. p12
/ файл обмена личной информацией для каждого клиента. Этот файл содержит закрытый ключ, который клиент будет использовать для связи в сети. Теперь вам нужно установить эти цифровые профили на клиентов.
Машины Windows будут выполнять процедуру установки сертификатов и подключения к корпоративной сети WPA2, как уже упоминалось выше. Всем остальным машинам нужен файл *. P12
, который был создан для них (удобно называть их для каждого клиента: xp1.p12
, xp2.p12
, ios1.p12
, ios2.p12
, macosx1.p12
и т. Д. .) для подключения к серверу RADIUS. Как безопасно загрузить файл *. P12
на машины ? Для ноутбуков проблема тривиально решается с помощью съемных носителей или, если вы подключены через Ethernet к хост-сети, scp файла. Для iPhone и других устройств это немного сложно. Я не уверен, стоит ли использовать небезопасную электронную почту, учитывая тот факт, что файл *. P12
содержит закрытый ключ , который будет использоваться клиентами. Возможно, вы зашифруете электронную почту цифровым способом, так что все в порядке. Но я решил это, разместив файлы *. P12
локально на веб-сервере и загрузив их на устройства IOS.
На MAC вы можете выполнить шаги, описанные в здесь , но убедитесь, что вы добавили файл *. P12
в связку ключей на вашем MAC, прежде чем сделать это (см. здесь ). Аутентификация 802.1x в корпоративных конфигурациях WPA2 (возможно, вам придется явно проверить TLS
в конфигурации).
На устройствах IOS вы сначала загрузите файл *. P12
что позволит вам добавить этот сертификат в качестве профиля (загрузка файла *. p12
запускает процесс автоматически). Затем перейдите в настройки-> WiFi-> добавьте свою корпоративную сеть WPA2, укажите SSID, а затем измените режим на EAP-TLS
. Как только вы это сделаете, появится опция Identity
, которая при нажатии предлагает вариант профиля *. P12
. Отметьте опцию и вернитесь к экрану. В зависимости от того, выбрали ли вы полное имя пользователя / вход без пароля в корпоративную систему или вход без пароля, вам может потребоваться ввести имя пользователя из соответствующего файла client.cnf
, используемого для создания файла * .p12
файл. После того, как вы нажмете «Присоединиться», все в порядке!
Буду признателен, если кто-нибудь добавит разъем для беспроводного доступа через Linux.
Я подключусь, как только я смогу рассказать больше о том, сколько раз мне нужно повторно входить в систему и т. д. - Я мог видеть эту проблему на своих устройствах IOS, но мне нужно проверить еще раз.
cnf , используемый для создания файла *. p12
. После того, как вы нажмете «Присоединиться», все в порядке!
Буду признателен, если кто-нибудь добавит разъем для беспроводного доступа через Linux.
Я подключусь, как только я смогу подробнее рассказать о том, сколько раз мне придется повторно входить в систему и т. д. - Я мог видеть эту проблему на своих устройствах IOS, но мне нужно проверить еще раз.
cnf , используемый для создания файла *. p12
. После того, как вы нажмете «Присоединиться», все в порядке!
Буду признателен, если кто-нибудь добавит разъем для беспроводного доступа через Linux.
Я подключусь, как только я смогу подробнее рассказать о том, сколько раз мне придется повторно входить в систему и т. д. - Я мог видеть эту проблему на своих устройствах IOS, но мне нужно проверить еще раз.