MD5全稱"message-digest algorithm 5"(信息-摘要演算法)。
90年代初由MIT計算機科學實驗室和RSA Data Security Inc聯合開發。
MD5演算法採用128位加密方式,即使一台計算機每秒可嘗試10億條明文,要跑出原始明文也要1022年。在802.1X認證中,一直使用此演算法。
加密演算法之二---ELGamal
ELGamal演算法是一種較為常見的加密演算法,他基於1984年提出的公鑰密碼體制和橢圓曲線加密體系。即能用於數據加密,又能用於數字簽名,起安全性依賴於計算有限領域上離散對數這一數學難題。
著名的DSS和Schnorr和美國國家標准X9.30-199X中ELGamal為唯一認可加密方式。並且橢圓曲線密碼加密體系增強了ELGamal演算法的安全性。
ELGamal在加密過程中,生成的密文長度是明文的兩倍。且每次加密後都會在密文中生成一個隨即數K。
加密演算法之三---BlowFish
BlowFish演算法由著名的密碼學專家部魯斯·施耐爾所開發,是一個基於64位分組及可變密鑰長度[32-448位]的分組密碼演算法。
BlowFish演算法的核心加密函數名為BF_En,為一種對稱演算法,加密強度不夠。
加密演算法之四---SHA
SHA(即Secure Hash Algorithm,安全散列演算法)是一種常用的數據加密演算法,由美國國家標准與技術局於1993年做為聯邦信息處理標准公布,先版本SHA-1,SHA-2。
SHA演算法與MD5類似,同樣按2bit數據塊為單位來處理輸入,但它能產生160bit的信息摘要,具有比MD5更強的安全性。
SHA收到一段明文,然後以不可逆方式將它轉為一段密文,該演算法被廣泛運用於數字簽名及電子商務交易的身份認證中。(
『貳』 如何防止別人修改自己的CONN與資料庫
安裝過程和xp沒過大區別。。。
配置伺服器你的說清楚,域伺服器還是web服務還是文件伺服器。。
網路搜索下有很多介紹,如果你太懶的話就留個信箱我把資料發給你。不然,太長,回答費勁。
WIN 2K伺服器的正確安裝與安全配置
作者:SharpWinnner 來自:紅客大聯盟(www.cnredhacker.org)
目前,WIN 2K的伺服器占據著國內伺服器的大部分市場份額,但是據我們對國內WIN 2K伺服器的安全性檢測情況來看,WIN 2K伺服器的用戶以及管理員們並沒有很好的掌握WIN 2K的安全配置與防範技術。現我們就盡一份對國內網路安全事業的責任,特為國內WIN 2K管理員們獻上本篇文章。
一、WIN 2K操作系統的選擇與正確安裝
1、對硬碟進行分區
(1).通常情況下,大家安裝WIN 2K操作系統的時候,習慣於把系統文件、日誌文件和應用程序放置在一個分區內,而hacker的攻擊通常就是利用應用程序所存在的漏洞進入系統,然後通過系統文件內的相關程序提升許可權,從而來刪除日誌文件(防止管理員對其進行調查),對系統文件進行破壞。因此,在安裝WIN 2K操作系統之前,我們必須考慮到這一點,所以我們至少需要建立兩個邏輯分區,系統分區和應用程序分區。為了迷惑hacker,我們還應該更換「我的文檔」和「Outlook Express」等應用程序的默認文件夾位置,讓其分辨不出系統文件存放在哪個分區內。
(2).對於硬碟分區的文件系統格式,推薦使用NTFS分區。首先,NTFS分區增加了對不同文件夾設置不同訪問許可權的功能,從而增強了系統的安全性。建議在安裝NTFS分區的時候,最好是一次性選擇全部安裝NTFS格式分區,而先選擇安裝成FAT分區,然後再進行NTFS分區轉化的時候,在安裝補丁情況下很容易轉化不成功而導致系統崩潰。對於安裝NTFS分區有一個方面是值得大家注意的,用軟盤啟動NTFS分區的時候,目前的大部分殺毒軟體是沒有對病毒進行查殺的,因此這很容易讓惡性病毒的入侵,而導致系統不能正常啟動。所以,請大家防患於未然,平時就做好對病毒的防範工作。
2、選擇適合自己的WIN 2K版本:
WIN 2K SERVER是微軟公司出品的多語言操作系統。對於我們國人來說,可以選擇安裝簡體中文版或者英文版。在選擇這兩種語言的操作系統上,我們給大家對這兩種操作系統的優劣進行分析:對於大家來說安裝簡體中文版的操作系統在語言上是不存在障礙的,而且安裝各種基於中文的應用程序是不會存在亂碼問題,比如用QQ進行交流或者安裝各種網路游戲都是沒有任何問題的,但是眾所周知的微軟的操作系統是漏洞百出的,而且中文版的操作系統漏洞遠高於英文版的,再者,對於中文版的操作系統的安全漏洞補丁,一般是漏洞公布出來兩周後才會出的,所以在這段期間,你要用自己的方法來防範hacker對新漏洞的攻擊。對於WIN 2K原版的英文操作系統,對於大家來說,首先一個就是語言存在一定的問題,其次就是對於應用程序的亂碼問題,雖然有些軟體能夠提供中英文內碼的轉換,但是畢竟還是比較麻煩的。而英文操作系統是原版操作系統,微軟對於其包括安全、性能、配套應用程序等各個方面都是照顧有佳。所以,根據我們的分析,普通個人用戶建議使用中文操作系統,而對於企業用戶,管理員們最好是安裝WIN 2K英文的操作系統。
3、組件的定製:
通常情況下,默認安裝WIN 2K操作系統的組件可以說是把大門向hacker敞開,不光是WIN 2K操作系統,包括linux/UNIX/VMS操作系統的默認安裝是都能讓hacker輕輕鬆鬆進入系統的。所以我們遵循安全原則「最少的服務+最小的許可權=最大的安全」,我們選擇一些我們能夠用到的服務來進行安裝。對於WEB伺服器的安裝,最小組件是:Internet服務管理器、WWW伺服器和公用文件。如果你需要安裝其它的組件,對於:Frontpage 2000服務擴展、索引服務兩個組件要特別謹慎。
4、選擇管理應用程序:
基於對安全和應用方面的需求,選擇一個好的管理軟體是必要的。WIN 2K的Terminal Service是基於RDP(遠程桌面協議)的遠程式控制制軟體,這個軟體在速度、使用的便捷性、操作方面都是非常不錯的。但是它也有不足之處,在Terminal Service進行與真實桌面進行交互操作的時候,往往會讓系統處於紊亂狀態,進行錯誤的操作。所以,安全起見,我建議大家可以在安裝一個遠程式控制制軟體來作為輔助,PcAnyWhere就是一個很好的選擇。
5.選擇安裝順序:
對於WIN 2K系統的安裝順序一定要注意,首先是補丁的安裝,如果你安裝好WIN 2K系統後,就直接打上所有的安全補丁,然後再來安裝系統組件和其他應用程序,那麼我可以說你的系統隨時准備著遭受hacker的入侵。原因何在呢?由於補丁的安裝都是替換/修改某些系統文件,如果先裝補丁,後裝應用程序,會把修補好的程序又重新恢復到存在漏洞的狀態。再一個,就是對於接入網路的時間。我們一定要在所有的安全漏洞都彌補上的情況下再接入網路,不然系統被病毒感染或hacker入侵,並被破壞的話,我們還需要重新來恢復系統,做一些重復性的工作,等於做無用功。所以,我們要按照安裝的順序,一步一步來進行正確的安裝,這樣才會讓系統最小程度的遭受各種破壞。WIN 2K系統正確的安裝順序應該是:
硬碟分區——選擇操作系統安裝——選擇文件系統格式(NTFS)——選擇組件及應用程序進行安裝——安裝各種系統補丁——安裝防火牆等做好安全防範措施——接入Internet網路
二、WIN 2K伺服器的安全配置
1、賬號的安全管理
(1).賬號的安全策略:
A.帳號盡可能少,且盡可能少用來登錄;說明:網站帳號一般只用來做系統維護,多餘的帳號一個也不要,因為多一個帳號就會多一份被攻破的危險。
B.除過Administrator外,有必要再增加一個屬於管理員組的帳號;說明:兩個管理員組的帳號,一方面防止管理員一旦忘記一個帳號的口令還有一個備用帳號;另方面,一旦hacker攻破一個帳號並更改口令,我們還有機會重新在短期內取得控制權。
C.所有帳號許可權需嚴格控制,輕易不要給帳號以特殊許可權;
D.將Administrator重命名,改為一個不易猜的名字。其他一般帳號也應尊循著一原則。說明:這樣可以為hacker攻擊增加一層障礙,並且能夠防範克隆賬號的入侵。
E.將Guest帳號禁用,同時重命名為一個復雜的名字,增加口令,並將它從Guest組刪掉;說明:有的hacker工具正是利用了guest 的弱點,可以將帳號從一般用戶提升到管理員組。
F.給所有用戶帳號一個復雜的口令,長度最少在8位以上,且必須同時包含字母、數字、特殊字元。同時不要使用大家熟悉的單詞、熟悉的鍵盤順序、熟悉的數字等。說明:口令是hacker攻擊的重點,口令一旦被突破也就無任何系統安全可言了,而這往往是不少網管所忽視的地方,據我們的測試,僅字母加數字的5位口令在幾分鍾內就會被攻破,而所推薦的方案則要安全的多。
G.口令必須定期更改(建議至少兩周改一次),且最好記在心裡,除此以外不要在任何地方做記錄;另外,如果在日誌審核中發現某個帳號被連續嘗試,則必須立刻更改此帳號(包括用戶名和口令);
H.在帳號屬性中設立鎖定次數,比如改帳號失敗登錄次數超過5次即鎖定改帳號。這樣可以防止暴力破解的嘗試,同時也使管理員對該帳號提高警惕。
(2).通過注冊表的修改來提高WIN 2K賬號的安全性
Win2000的賬號安全是另一個重點,首先,Win2000的默認安裝允許任何用戶通過空用戶得到系統所有賬號/共享列表,這個本來是為了方便區域網用戶共享文件的,但是一個遠程用戶也可以得到你的用戶列表並使用暴力法破解用戶密碼。
禁止139共享空連接:很多朋友都知道可以通過更改注冊表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1來禁止139空連接,實際上win2000的本地安全策略(如果是域伺服器就是在域伺服器安全和域安全策略中)就有這樣的選項RestrictAnonymous(匿名連接的額外限制),這個選項有三個值:
0:無。依賴於默認許可許可權
1:不允許枚舉SAM帳號和共享
2:沒有顯式匿名許可權就不允許訪問
0這個值是系統默認的,什麼限制都沒有,遠程用戶可以知道你機器上所有的賬號、組信息、共享目錄、網路傳輸列表(NetServerTransportEnum等等,對伺服器來說這樣的設置非常危險。
1這個值是只允許非NULL用戶存取SAM賬號信息和共享信息。
2這個值是在win2000中才支持的,需要注意的是,如果你一旦使用了這個值,你的共享估計就全部完蛋了,所以我推薦你還是設為1比較好。
刪除磁碟分區共享:運行Regedit,然後修改注冊表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一個鍵
Name: AutoShareServer
Type: REG_DWORD
Value: 0
然後重新啟動您的伺服器,磁碟分區共享去掉,但IPC共享仍存在,需每次重啟後手工刪除。
好了,入侵者現在沒有辦法拿到我們的用戶列表,我們的賬戶安全了……慢著,至少還有一個賬戶是可以跑密碼的,這就是系統內建的administrator,怎麼辦?我改改改,在計算機管理->用戶賬號中右擊administrator然後改名,改成什麼隨便你,只要能記得就行了。不對不對,我都已經改了用戶名了,怎麼還是有人跑我管理員的密碼?幸好我的密碼夠長,但是這也不是辦法呀?嗯,那肯定是在本地或者Terminal Service的登錄界面看到的,好吧,我們再來把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon項中的Don't Display Last User Name串數據改成1,這樣系統不會自動顯示上次的登錄用戶名。將伺服器注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon項中的Don't Display Last User Name串數據修改為1,隱藏上次登陸控制台的用戶名。
2、WIN 2K服務的安全配置
(1).埠:埠是計算機和外部網路相連的邏輯介面,也是計算機的第一道屏障,埠配置正確與否直接影響到主機的安全,一般來說,僅打開你需要使用的埠會比較安全,配置的方法是在網卡屬性-TCP/IP-高級-選項-TCP/IP篩選中啟用TCP/IP篩選,不過對於win2000的埠過濾來說,有一個不好的特性:只能規定開哪些埠,不能規定關閉哪些埠,這樣對於需要開大量埠的用戶就比較痛苦。
(2).IIS:IIS是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS默認安裝又實在不敢恭維,所以IIS的配置是我們的重點,現在大家跟著我一起來:
首先,把C盤那個什麼Inetpub目錄徹底刪掉,在D盤建一個Inetpub(要是你不放心用默認目錄名也可以改一個名字,但是自己要記得)在IIS管理器中將主目錄指向D:\Inetpub;其次,那個IIS安裝時默認的什麼scripts等虛擬目錄一概刪除(麻煩之源呀,還記得http://www.HackWeb.com/scripts/..%c1%1c../winnt/system32/cmd.exe嗎?我們雖然已經把Inetpub從系統盤挪出來了,但是還是小心為上),如果你需要什麼許可權的目錄可以自己慢慢建,需要什麼許可權開什麼。(特別注意寫許可權和執行程序的許可權,沒有絕對的必要千萬不要給)
(3).應用程序配置:在IIS管理器中刪除必須之外的任何無用映射,必須指的是ASP,ASA和其他你確實需要用到的文件類型,例如你用到stml等(使用server side include),實際上90%的主機有了上面兩個映射就夠了,其餘的映射幾乎每個都有一個凄慘的故事:htw, htr, idq,ida……想知道這些故事?去查以前的漏洞列表吧。什麼?找不到在哪裡刪?在IIS管理器中右擊主機->屬性->WWW服務 編輯->主目錄配置->應用程序映射,然後就開始一個個刪吧(裡面沒有全選的)。接著在剛剛那個窗口的應用程序調試書簽內將腳本錯誤消息改為發送文本(除非你想ASP出錯的時候用戶知道你的程序/網路/資料庫結構)錯誤文本寫什麼?隨便你喜歡,自己看著辦。點擊確定退出時別忘了讓虛擬站點繼承你設定的屬性。為了對付日益增多的cgi漏洞掃描器,還有一個小技巧可以參考,在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定製HTM文件,可以讓目前絕大多數CGI漏洞掃描器失靈。其實原因很簡單,大多數CGI掃描器在編寫時為了方便,都是通過查看返回頁面的HTTP代碼來判斷漏洞是否存在的,例如,著名的IDQ漏洞一般都是通過取1.idq來檢驗,如果返回HTTP200,就認為是有這個漏洞,反之如果返回HTTP404就認為沒有,如果你通過URL將HTTP404出錯信息重定向到HTTP404.htm文件,那麼所有的掃描無論存不存在漏洞都會返回HTTP200,90%的CGI掃描器會認為你什麼漏洞都有,結果反而掩蓋了你真正的漏洞,讓入侵者茫然無處下手(武俠小說中常說全身漏洞反而無懈可擊,難道說的就是這個境界?)不過從個人角度來說,我還是認為扎扎實實做好安全設置比這樣的小技巧重要的多。最後,為了保險起見,你可以使用IIS的備份功能,將剛剛的設定全部備份下來,這樣就可以隨時恢復IIS的安全配置。還有,如果你怕IIS負荷過高導致伺服器滿負荷死機,也可以在性能中打開CPU限制,例如將IIS的最大CPU使用率限制在70%。
(4).安全日誌:我遇到過這樣的情況,一台主機被別人入侵了,系統管理員請我去追查兇手,我登錄進去一看:安全日誌是空的,倒,請記住:Win2000的默認安裝是不開任何安全審核的!那麼請你到本地安全策略->審核策略中打開相應的審核,推薦的審核是:
賬戶管理 成功 失敗
登錄事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登錄事件 成功 失敗
審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍;審核項目太多不僅會佔用系統資源而且會導致你根本沒空去看,這樣就失去了審核的意義。
與之相關的是:
在賬戶策略->密碼策略中設定:
密碼復雜性要求 啟用
密碼長度最小值 6位
強制密碼歷史 5次
最長存留期 30天
在賬戶策略->賬戶鎖定策略中設定:
賬戶鎖定 3次錯誤登錄
鎖定時間 20分鍾
復位鎖定計數 20分鍾
同樣,Terminal Service的安全日誌默認也是不開的,我們可以在Terminal Service Configration(遠程服務配置)-許可權-高級中配置安全審核,一般來說只要記錄登錄、注銷事件就可以了。
應用程序日誌文件存放位置:c:\winnt\system32\config\AppEvent.Evt
安全日誌文件存放位置:c:\winnt\system32\config\SecEvent.Evt
系統日誌文件存放位置:c:\winnt\system32\config\SysEvent.Evt
(5).目錄和文件許可權:
為了控制好伺服器上用戶的許可權,同時也為了預防以後可能的入侵和溢出,我們還必須非常小心地設置目錄和文件的訪問許可權,NT的訪問許可權分為:讀取、寫入、讀取及執行、修改、列目錄、完全控制。在默認的情況下,大多數的文件夾對所有用戶(Everyone這個組)是完全敞開的(Full Control),你需要根據應用的需要進行許可權重設。
在進行許可權控制時,請記住以下幾個原則:
A.限是累計的:如果一個用戶同時屬於兩個組,那麼他就有了這兩個組所允許的所有許可權;
B.拒絕的許可權要比允許的許可權高(拒絕策略會先執行)如果一個用戶屬於一個被拒絕訪問某個資源的組,那麼不管其他的許可權設置給他開放了多少許可權,他也一定不能訪問這個資源。所以請非常小心地使用拒絕,任何一個不當的拒絕都有可能造成系統無法正常運行;
C.文件許可權比文件夾許可權高(這個不用解釋了吧?)
D.利用用戶組來進行許可權控制是一個成熟的系統管理員必須具有的優良習慣之一;
E.僅給用戶真正需要的許可權,許可權的最小化原則是安全的重要保障;
(6).預防DoS:
在注冊表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以幫助你防禦一定強度的DoS攻擊
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
ICMP攻擊:ICMP的風暴攻擊和碎片攻擊也是NT主機比較頭疼的攻擊方法,其實應付的方法也很簡單,win2000自帶一個Routing & Remote Access工具,這個工具初具路由器的雛形(微軟真是的,什麼都要做?聽說最近又要做防火牆了)在這個工具中,我們可以輕易的定義輸入輸出包過濾器,例如,設定輸入ICMP代碼255丟棄就表示丟棄所有的外來ICMP報文。
(7).ASP程序安全問題:
安全不僅是網管的事,編程人員也必須在某些安全細節上注意,養成良好的安全習慣,否則,會給hacker造成可乘之機。目前,大多數網站上的ASP程序有這樣那樣的安全漏洞,但如果寫程序的時候注意的話,還是可以避免的。涉及用戶名與口令的程序最好封裝在伺服器端,盡量少的在ASP文件里出現,涉及到與資料庫連接地用戶名與口令應給予最小的許可權。
說明:用戶名與口令,往往是hacker們最感興趣的東西,如果被通過某種方式看到源代碼,後果是嚴重的。因此要盡量減少它們在ASP文件中的出現次數。出現次數多得用戶名與口令可以寫在一個位置比較隱蔽的包含文件中。如果涉及到與資料庫連接,理想狀態下只給它以執行存儲過程的許可權,千萬不要直接給予該用戶以修改、插入、刪除記錄的許可權。
需要經過驗證的ASP頁面,可跟蹤上一個頁面的文件名,只有從上一頁面轉進來的會話才能讀取這個頁面。
說明:現在的需要經過驗證的ASP程序多是在頁面頭部加一個判斷語句,但這還不夠,有可能被hacker繞過驗證直接進入,因此有必要跟蹤上一個頁面。具體漏洞見所附漏洞文檔。
防止ASP主頁.inc文件泄露問題,當存在asp的主頁正在製作並沒有進行最後調試完成以前,可以被某些搜索引擎機動追加為搜索對象,如果這時候有人利用搜索引擎對這些網頁進行查找,會得到有關文件的定位,並能在瀏覽器中察看到資料庫地點和結構的細節揭示完整的源代碼。
解決方案:程序員應該在網頁發布前對其進行徹底的調試;安全專家需要固定asp 包含文件以便外部的用戶不能看他們。首先對 .inc文件內容進行加密,其次也可以使用 .asp 文件代替 .inc 文件使用戶無法從瀏覽器直接觀看文件的源代碼。.inc文件的文件名不用使用系統默認的或者有特殊含義容易被用戶猜測到的,盡量使用無規則的英文字母。
注意某些ASP編輯器會自動備份asp文件,會被下載的漏洞在有些編輯asp程序的工具,當創建或者修改一個asp文件時,編輯器自動創建一個備份文件,比如:UltraEdit就會備份一個..bak文件,如你創建或者修改了some.asp,編輯器自動生成一個叫some.asp.bak文件,如果你沒有刪除這個bak文件,攻擊有可以直接下載some.asp.bak文件,這樣some.asp的源程序就會給下載。
在處理類似留言板、BBS等輸入框的ASP程序中,最好屏蔽掉HTML、JavaScript、VBScript語句,如無特殊要求,可以限定只允許輸入字母與數字,屏蔽掉特殊字元。同時對輸入字元的長度進行限制。而且不但在客戶端進行輸入合法性檢查,同時要在伺服器端程序中進行類似檢查。
說明:輸入框是hacker利用的一個目標,他們可以通過輸入腳本語言等對用戶客戶端造成損壞;
如果該輸入框涉及到數據查詢,他們會利用特殊查詢輸入得到更多的資料庫數據,甚至是表的全部。因此必須對輸入框進行過濾。但如果為了提高效率僅在客戶端進行輸入合法性檢查,仍有可能被繞過,因此必須在伺服器端再做一次檢查。
(8).PCANYWHERE的安全:
目前,PCANYWHERE是最流行的基於NT與2000的遠程式控制制工具,同樣也需要注意安全問題。建議採用單獨的用戶名與口令,最好採用加密手段。千萬不要採用與NT管理員一樣的用戶名與口令,也不要使用與NT集成的口令。
說明:PCANYWHERE 口令是遠程式控制制的第一個關口,如果與NT的一樣,就失去了安全屏障。被攻破後就毫無安全可言。而如果採用單獨的口令,即使攻破了PCANYWHERE,NT還有一個口令屏障。及時安裝較新的版本。
4、資料庫的安全
(1).ACCESS資料庫的安全問題:
防止ACCESS mdb 資料庫有可能被下載的漏洞,在用ACCESS做後台資料庫時,如果有人通過各種方法知道或者猜到了伺服器的ACCESS資料庫的路徑和資料庫名稱,那麼他能夠下載這個ACCESS資料庫文件,這是非常危險的。
解決方法:
A.為你的資料庫文件名稱起個復雜的非常規的名字,並把他放在幾目錄下。所謂 "非常規", 打個比方:
比如有個資料庫要保存的是有關書籍的信息, 可不要把他起個"book.mdb"的名字,起個怪怪的名稱,比如d34ksfslf.mdb,再把他放在如./kdslf/i44/studi/ 的幾層目錄下,這樣hacker要想通過猜的方式得到你的ACCESS資料庫文件就難上加難了。
B.不要把資料庫名寫在程序中。有些人喜歡把DSN寫在程序中,比如:
DBPath = Server.MapPath("cmddb.mdb")conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath假如萬一給人拿到了源程序,你的ACCESS資料庫的名字就一覽無余。因此建議你在ODBC里設置數據源,再在程序中這樣寫:
conn.open "shujiyuan"
C.使用ACCESS來為資料庫文件編碼及加密。首先在選取"工具->安全->加密/解密資料庫,選取資料庫(如:employer.mdb),然後接確定,接著會出現"資料庫加密後另存為"的窗口,存為:employer1.mdb。接著employer.mdb就會被編碼,然後存為employer1.mdb..要注意的是,以上的動作並不是對資料庫設置密碼,而只是對資料庫文件加以編碼,目的是為了防止他人使用別的工具來查看資料庫文件的內容。
接下來我們為資料庫加密,首先以打開經過編碼了的 employer1.mdb,在打開時,選擇"獨占"方式。然後選取功能表的"工具->安全->設置資料庫密碼", 接著輸入密碼即可。這樣即使他人得到了employer1.mdb文件,沒有密碼他是無法看到 employer1.mdb的。
(2).SQL SERVER的安全
SQL SERVER是NT平台上用的最多的資料庫系統,但是它的安全問題也必須引起重視。資料庫中往往存在著最有價值的信息,一旦數據被竊後果不堪設想。
及時更新補丁程序。
說明:與NT一樣,SQL SERVER的許多漏洞會由補丁程序來彌補。建議在安裝補丁程序之前先在測試機器上做測試,同時提前做好目標伺服器的數據備份。
給SA一個復雜的口令。
說明:SA具有對SQL SERVER資料庫操作的全部許可權。遺憾的是,一部分網管對資料庫並不熟悉,建立資料庫的工作由編程人員完成,而這部分人員往往只注重編寫SQL語句本身,對SQL SERVER資料庫的管理不熟悉,這樣很有可能造成SA口令為空。這對資料庫安全是一個嚴重威脅。目前具有這種隱患的站點不在少數。
嚴格控制資料庫用戶的許可權,輕易不要給讓用戶對表有直接的查詢、更改、插入、刪除許可權,可以通過給用戶以訪問視圖的許可權,以及只具有執行存儲過程的許可權。
說明:用戶如果對表有直接的操作許可權,就會存在數據被破壞的危險。制訂完整的資料庫備份與恢復策略。
『叄』 ubuntu系統中文件夾怎麼加密
GPG(GnuPG)是一個基於命令行的給文件加密的工具,使用起來很方便,但對於剛剛接觸Linux的人來說,可能會覺得命令行比較困難。下面介紹GPG的基本用法。
1.生成密鑰
在使用GPG之前,必須生成一對密鑰。
[linuxeye@ubuntudesk]$ gpg –gen-key
gpg (GnuPG) 1.4.6; Copyright (C) 2006 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.
Please select what kind of key you want:
(1) DSA and Elgamal (default)
(2) DSA (sign only)
(5) RSA (sign only)
Your selection?
上面的意思是問你選擇哪 種加密方式 DAS AND EIGamal, DAS ,EIGAMAL。第一個是默認的,它包括GPG的全部特性。一般我們都選擇它,直接Enter。
DSA keypair will have 1024 bits.
ELG-E keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048)
接下來它會問你想要的keysize,我們一般默認就可以了,直接Enter。當然你還可以根據自己的保密需要選擇其它的。
Please specify how long the key should be valid.
0 = key does not expire
d = key expires in n days
w = key expires in n weeks
m = key expires in n months
y = key expires in n years
Key is valid for? (0)
接下來要做的是設置密碼的時間限制。如果不需要密碼期限的話就選 0,直接Enter。而如果需要的話就選其它的,比如 1y 是指一年,還可以指定是天數,周數,月數。
You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
「Heinrich Heine (Der Dichter) 「
上面是要求輸入你的個人信息,用戶ID 由三個部分組成:真名(Real Name),註解(Comment),和Email
地址。只有一個一個輸入就行了。
最後一步是輸入密碼(passphrase),這個密碼是解密的時候用的,重復輸入一次就生成一個Key。我們可以輸入gpg –list-keys 查看我們的key 的信息
2 使用 GnuPG
一 加密
在生成密鑰之後,我們就可以開始使用GPG來加密文件了。創建一個文本文件test,輸入一些字元,然後保存。
[linuxeye@ubuntudesk]$ gpg -ea -r name test
其中name是你在上面用來生成密鑰時輸入的用戶名,用這個用戶名加密的文件只能由這個用戶名來解密。回車之後就會生成一個test.asc的文件,這個就是加密之後的文件。-e 選項告訴GPG進行加密,-a 選項告訴GPG加密成ASCII,這樣適合郵件發送,而且還可以查看。如果不是加密成ASCII形式,可以加密成二進制。-r 指定加密的用戶。
二 解密
直接輸入以下命令,便可以查看你加密過的文檔,但不能還原為原來的文件,只是在命令行下。
[linuxeye@ubuntudesk]$ gpg -d test.asc
敲入回車以後,會要求你輸入密碼,只要輸入上面生成密鑰時的那個密碼就行了,如果想將文件還原為文本文件,只需如下命令就可以了:
[linuxeye@ubuntudesk]$ gpg -d test.asc >test.file
(聲明:本篇文章由LinuxEye.cn保留版權,轉載時請保留本聲明)
命令行難用?難用更好啊,加密的更徹底,一般人都不知道怎麼解啊
『肆』 誰知道怎麼給文件加密啊
用這個軟體,非常簡單
文件加密解密系統 V2.2
下載地址
http://www.skycn.com/soft/7060.html