A Secure, Maintainable Design for Enterprise Environments As enterprise systems move toward containerization, a common set of requirements quickly emerges: This architecture is secure, scalable, and enterprise-friendly — but only if it is designed correctly.Poor design choices often lead to serious problems such as: This article presents a production-ready reference architecture for Docker + Apache…
Category: Linux
About Linux Tech
Enterprise Internal CA Best Practices
Designing a Secure and Maintainable Internal PKI As enterprise IT environments evolve, the following trends are becoming standard: As a result, building an Internal Certificate Authority (Internal CA / Internal PKI) is no longer optional for medium-to-large enterprises. However, many companies make the same mistake: They can issue certificates — but they cannot operate a…
企業自建 CA 的最佳實務
在企業 IT 架構中,隨著以下需求越來越普遍: 自建 CA(Internal Certificate Authority) 幾乎已成為中大型企業的標準配置。 但實務上,很多企業的自建 CA: 這篇文章將從 企業等級的角度,說明「自建 CA 該怎麼做,才不會變成資安地雷」。 一、什麼情況下「一定要」自建 CA? 企業選擇自建 CA,通常不是為了取代公開 CA(如 Let’s Encrypt),而是為了解決 內部信任問題。 常見適用場景 👉 只要憑證不會被公開瀏覽器使用,自建 CA 就是合理選擇。 二、企業自建 CA 的基本架構(強烈建議) 正確的 CA 架構:兩層式(至少) 為什麼不能只用一層? 三、Root CA 的最佳實務(最重要) ✅ Root CA 必須 Offline ✅ Root CA 金鑰保護 ✅ Root CA 有效期限 四、Intermediate CA 的最佳實務(實際運作核心) Intermediate CA…
Apache vs Nginx: Key Differences in HTTPS Reverse Proxy Design
HTTPS reverse proxy has become a standard architecture in modern enterprise environments. Common use cases include: When choosing a reverse proxy, two names dominate almost every discussion: This article does not focus on simplistic claims like “which one is faster,” but instead compares how Apache and Nginx behave differently when acting as an HTTPS reverse…
Apache vs Nginx:HTTPS Reverse Proxy 的差異與選擇實務
在企業環境中,HTTPS Reverse Proxy 幾乎是標準配備,用途包含: 而在實務上,最常被拿來比較的兩個選項就是: 這篇文章不從「誰比較快」這種單點結論出發,而是從 HTTPS Reverse Proxy 的實際行為、設定模式與維運差異,來幫你判斷該選哪一個。 一、先說結論(給忙碌的管理者) 情境 較適合 已大量使用 Apache、.htaccess、PHP Apache 高併發、API Gateway、Cloud-native Nginx 複雜存取邏輯、舊系統整合 Apache 輕量、純反向代理、效能優先 Nginx 👉 沒有誰全面勝出,只有適不適合。 二、Reverse Proxy 架構示意 Browser│ HTTPS▼Reverse Proxy (Apache / Nginx)│ HTTPS▼Backend Services 在 HTTPS Reverse Proxy 中,Proxy 本身同時扮演: 這一點在 Apache 與 Nginx 的實作方式上,有明顯差異。 三、核心差異一:架構模型(Process vs Event) Apache:Process / Thread-based 優點 缺點…
Apache HTTPS Reverse Proxy with Self-Signed or Internal CA Certificates: Best Practices
In enterprise environments, it is very common to see the following architecture: This raises an important and often misunderstood question: 👉 Does Apache trust a backend HTTPS service using a self-signed or internal CA certificate?If not, what configuration is required? The short answer is: Apache does not trust it by default, and proper configuration is…
Apache 反向代理 HTTPS:後端使用自建憑證時,該如何正確設定信任?
在企業內部環境中,我們常會遇到這樣的架構需求: 這時就會產生一個很關鍵的問題: 👉 Apache 連線到後端 HTTPS 時,是否會信任該自建憑證?需要額外設定嗎? 答案是:需要,而且設定方式會直接影響整體安全性。 一、先理解一個關鍵觀念 在這個架構中: 也就是說: Apache 本身必須「驗證後端 HTTPS 憑證」 而 Apache 預設 只信任系統 CA(像 Let’s Encrypt、GlobalSign)👉 不會信任你公司自建的 CA 二、整體架構示意 Browser│ HTTPS (Public Cert)▼Apache Reverse Proxy│ HTTPS (Internal / Self-signed Cert)▼Backend Service 三、推薦做法(✅ 正確且安全):把自建 CA 加入 Apache 信任鏈 1️⃣ 啟用 HTTPS Proxy 功能 這是基本條件,沒有它 Apache 不會用 SSL 方式連後端。 2️⃣ 啟用「完整憑證驗證」(強烈建議)…
Install Fcitx5 Cangjie Input Method on Ubuntu 24.04
Ubuntu 24.04 comes with fcitx5 + New Zhuyin (新酷音) as the default Chinese input method.However, if you prefer using Cangjie, you will notice it’s not available by default. To enable Cangjie input method, you must install an additional package: 👉 fcitx5-table-extra (contains Cangjie, Quick, Dayi, and many table-based IMEs) This article documents the complete steps….
Ubuntu 24.04 安裝 fcitx5 倉頡輸入法完整教學
在全新安裝的 Ubuntu 24.04 桌面環境中,系統預設雖然提供 fcitx5 新酷音 作為中文輸入法,但若你習慣使用 倉頡,會發現預設並沒有提供。 其實要啟用倉頡輸入法,需要額外安裝以下套件: 👉 fcitx5-table-extra(包含大量表格輸入法,包括倉頡、速成等) 下面記錄整個安裝與設定流程,方便未來查詢。 🧩 Step 1:安裝 fcitx5 及倉頡輸入法套件 Ubuntu 預設可能只有部分 fcitx5 套件,需要手動安裝: 說明: 🧩 Step 2:設定系統預設輸入法為 fcitx5 執行: 登出並重新登入。 🧩 Step 3:啟用倉頡輸入法 打開 fcitx5 設定: 或在 GUI 搜尋「Fcitx5 設定」。 ➕ 新增: 🧩 Step 4:測試輸入法 切換輸入法(預設:Ctrl + Space)輸入「中」,倉頡為:L(中) 若顯示正確候選字,即成功! 🧩 Step 5:常見問題 ❓ fcitx5 沒有啟動? 執行: ❓…
How to Check CentOS 6 SSH Ciphers, Use Safe Compatibility Flags & Safely Upgrade OpenSSH
Connecting from Ubuntu 22.04 / 24.04 to a legacy CentOS 6 server often results in errors such as: Why?👉 CentOS 6 uses OpenSSH 5.x — extremely outdated and incompatible with modern SSH security requirements. This article explains: 🟦 1. How to Check Which Ciphers / Key Exchange / HostKey Types CentOS 6 Supports Even if…