以前我過討論 SSH 的安全設定 (這裏和這裏)，建議大家使用同時使用密碼和公鑰來登入 SSH，強化系統的安全性。今天我介紹另一個用戶驗證機制給大家選擇，就是現今非常流行的一次性密碼，可以加入以上的機制成為三重驗證，或者自選其中兩者。

自作聰明的密碼規則可以笨到哪個地步？有一個網站收集這些可笑的規則，看了真的令人捧腹大笑，如果你也遇到一個這樣的網站，不妨把截圖上傳，公諸同好。

我們在第一篇文章討論了一些在 CentOS 7 中配置 SSH 的方法，那些都是比較容易實作、容易理解，對用戶體驗的影響也比較少。這一篇將會介紹比較複雜的配置，需要管理員按照具體情況做出適當決定，甚至有部分建議在安全性和用戶體驗方面較具爭議性。

SSH 通常是我們進入新伺服器的第一個應用程式，它也取代了 telnet 和 rsh 成為管理伺服器的最主要介面。儘管 SSH 預設使用加密通訊，登入的密碼和通訊內容都不容易被偷窺，預設的設定大致上安全，可惜由於需要兼顧舊用戶和舊系統，一些過時和不安全的選項仍然被開啟着，在國家級黑客橫行無忌的年代，系統中任何一顆鬆掉的螺絲都會致命，所以我們將會討論如何加強 SSH 的安全性。這一篇只討論基本的安全配置，比較容易理解，過程也比較簡單，對用戶的負面影響也比較少，較進階和較具爭議性的安全配置將會留待下一篇討論。

最近幾天接二連三有知名網站遭黑客入侵，包括討論區系統 phpBB 的官方網站（phpBB 仍然是安全的，漏洞出在網站上另一個應用系統）及網上書籤網站 Ma.gnolia，網站被入侵已經不是新聞，很多被入侵的系統內的用戶資料被盜取，例如網上求職者網站 Monster.com 上星期被入侵後，數以十萬計的求職者個人資料被盜；有些網站的資料被抹去而無法復原，例如 Ma.gnolia 便承認他們無法復原用戶的書籤，唯有透過網上其他資源盡力恢復用戶的公開資料，其中包括 Google 搜尋器的緩存影像。數據丟失固然嚴重，對網站聲譽和用戶信心的打擊更是無法彌補。

密碼管理一直是受到忽視的瀏覽器安全性項目，資訊科技顧問公司 Chapin Infomration Services (CIS) 最近對 Google 的 Chrome、微軟的 IE 7、Opera、蘋果的 Safari 和 Firefox 3 五大瀏覽器的密碼管理系統進行測試，發現沒有一個能完全通過他們的 21 項測試項目，表現比較好的是 Opera 和 Firefox，但也只能通過 7 項測試，最差的是 Google Chrome 和 Safari，兩者只通過兩項測試。

本文轉載了資深的 PHP 開發人員 Octavia Andreea Anghel 在 DevX.com 發表的 PHP 加密技術的教學文件，第一部分介紹了 PHP 預設的加密功能，及擴充模組 MCrypt 的安裝及應用方法。本文將會繼續介紹其他擴充模組。

資深的 PHP 開發人員 Octavia Andreea Anghel 在 DevX.com 發表了一篇 PHP 加密技術的教學文件，討論如何取得和安裝各種 PHP 加密技術軟件包，以提高你的 PHP 應用程式的安全性。本文是系列的第一部分，第二部分在這裏。在理想世界，加密和保安技術根本無須存在，但現實世界遠非完美，所以軟件開發商要花費大量時間和金錢，為應用程式設立保安措施，加密只是整個保安拼圖中的一小塊，其他的尚有 SSL / TLS、數碼證書、數碼簽名等等。本文將會介紹如何用 PHP 來實作最常見的加密算法，除了描述 PHP 預設的加密功能，你也會看到各種各樣加密函式庫和軟件包。

Hardened-PHP 最近推出了 Suhosin 測試版（beta version），這是一個從原始碼層面提升 PHP 安全性的系統，所以不論是已知和尚未發現的安全性漏洞，不論這些漏洞出現在應用程式還是在 PHP 的核心部分，Suhosin 的安全關卡都可以防止這些漏洞做成破壞。

OWASP 發表了一篇名為 PHP Top 5（PHP 五大常見保安問題）的文章，SANS Top 20 2005’s PHP Section（2005 年度 SANS 互聯網 20 大安全漏洞 PHP 章節）就是根據這一篇文章的研究而寫成，研究的方法是在 Bugtraq 上搜尋所有包含 PHP 的文章，對每一個個案進行分析及分類，然後作者列出五大最常見的保安問題，與及他們的預防方法，在文章的末尾做這還列出了一些參考資料，對於編寫安全堅固的 PHP 應用程式很有幫助。