用wsl实现 kerberos 认证协议

已于 2025-05-25 09:22:15 修改
阅读量475 收藏 8
点赞数 5
文章标签: java 开发语言
于 2025-05-24 21:13:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79046256/article/details/148195738
版权

一、环境准备

1、先打开docker,在桌面上创建文件夹,在空白处右键点击打开终端,然后在终端输入wsl

2、导入容器镜像,在Kali终端,分别输入

tar xJvf  krb5-bundle.tar.xz -C ./

find . -maxdepth 1 -name "krb*.tar" | xargs -I {} bash -c "docker load <{}"

# 确认镜像导入是否成功,下面应该输出三个镜像
docker image ls | grep krb5
#krb5-kdc-server-example-com​
#​krb5-machine-example-com
#krb5-service-example-com

3、创建容器网桥,输入以下代码

注:这次的实验涉及到 kerberos 域(默认为 EXAMPLE.COM),不能再使用 docker 网桥内部 DNS 解析,必须固定 ip。
如果之前创建的网桥与本次创建的网桥存在地址段冲突,建议先把之前的网桥都清理掉,或者手动修改后续所有的网段。
一键清理残留的容器和旧的容器网桥:docker container prune -f && docker network prune -f

docker network create \
  --driver=bridge \
  --subnet="10.5.0.0/24" \
  --ip-range="10.5.0.0/24" \
  --gateway="10.5.0.254" \
  "example.com"
docker network ls | grep example.com

二、环境启动

1、创建工作目录,后续命令执行和文件创建都应该通过这个目录

mkdir ~/kerberos && cd ~/kerberos

2、打开这个目录,输入

explorer.exe .

3、在这个路径下创建 compose.yaml文件,直接新建文本文档,输入下面的代码,然后选择所有文件,并修改后缀名

version: "3"

services:
  machine-example-com:
    image: localhost/krb5-machine-example-com
    container_name: krb5-machine-example-com
    hostname: krb5-machine-example-com
    domainname: example.com
    networks:
      example.com:
        ipv4_address: 10.5.0.1
    extra_hosts:
      - "krb5-machine-example-com.example.com:10.5.0.1"
      - "krb5-kdc-server-example-com.example.com:10.5.0.2"
      - "krb5-service-example-com.example.com:10.5.0.3"
    volumes:
      - ./traffic-cap:/root/traffic-cap
  kdc-server-example-com:
    image: localhost/krb5-kdc-server-example-com
    container_name: krb5-kdc-server-example-com
    hostname: krb5-kdc-server-example-com
    domainname: example.com
    networks:
      example.com:
        ipv4_address: 10.5.0.2
    extra_hosts:
      - "krb5-machine-example-com.example.com:10.5.0.1"
      - "krb5-kdc-server-example-com.example.com:10.5.0.2"
      - "krb5-service-example-com.example.com:10.5.0.3"
    volumes:
      - ./traffic-cap:/root/traffic-cap
  service-example-com:
    image: localhost/krb5-service-example-com
    container_name: krb5-service-example-com
    hostname: krb5-service-example-com
    domainname: example.com
    networks:
      example.com:
        ipv4_address: 10.5.0.3
    extra_hosts:
      - "krb5-machine-example-com.example.com:10.5.0.1"
      - "krb5-kdc-server-example-com.example.com:10.5.0.2"
      - "krb5-service-example-com.example.com:10.5.0.3"
    volumes:
      - ./traffic-cap:/root/traffic-cap

networks:
  example.com:
    external: true

4、启动容器

# 清理旧的残余容器
docker-compose down

# 拉起容器
docker-compose up -d
# 下面三个容器的状态应该为 up(因为重新做了一遍,该状态为Started)
# krb5-service-example-com
# krb5-kdc-server-example-com
# krb5-machine-example-com

docker ps | grep krb5

# 确保 supervisord 进程已拉起
containers=(krb5-machine-example-com krb5-kdc-server-example-com krb5-service-example-com)
for c in "${containers[@]}";do
  echo "check container: $c"
  docker exec $c supervisorctl status
done
# check container: krb5-machine-example-com
# httpserver                       RUNNING   pid 2, uptime 0:00:14
# check container: krb5-kdc-server-example-com
# httpserver                       RUNNING   pid 2, uptime 0:00:12
# krb5-admin-server                RUNNING   pid 3, uptime 0:00:12
# krb5-kdc                         RUNNING   pid 4, uptime 0:00:12
# check container: krb5-service-example-com
# httpserver                       RUNNING   pid 2, uptime 0:00:10
# sshd                             RUNNING   pid 3, uptime 0:00:10

5、确认 ssh 服务已启动,并确认开启了 GSSAPI 认证

# 确认 service 容器 sshd 服务已启动,并监听了默认的 22 端口
docker exec krb5-service-example-com netstat -lnpt | grep 22

# 存在 GSSAPIAuthentication yes 表明 GSSAPI 认证已开启
docker exec krb5-service-example-com cat /etc/ssh/sshd_config | grep -i gss

6、service 节点创建 bob 用户,验证 sshd 服务基于密码认证的功能正常

# machine 节点 是 ssh 客户端
# 可以看到在 machine 节点上,用户是 root,主机名为 hostname
docker exec  krb5-machine-example-com /bin/sh -c "id && hostname"

# 随意输入一个密码,这个密码可以与 kerberos不同
docker exec -i krb5-service-example-com adduser bob

# machine ssh 客户端尝试使用密码认证的方式登录 bob 账户
# 这次输入的密码和上面命令设置的一致
docker exec -it krb5-machine-example-com ssh -v bob@krb5-service-example-com -o PreferredAuthentications=password

# 登录成功后,可以看到是以 bob 的身份进入了 krb5-service-example-com 节点
whoami && hostname

# 退出登陆
exit

7、kerberos-kdc 创建用户/服务实体

# 实验为了好记,采用这种弱口令,现实中,不能这么操作
# 创建用户实体 `alice`,口令为`alice`
# 创建用户实体 `bob`,口令为`bob`
# 创建服务实体 `host/krb5-service-example-com.example.com`,服务实体口令为随机生成
# 所有实体均在 `EXAMPLE.COM` 域内
docker exec krb5-kdc-server-example-com /bin/sh -c "
cat << EOF  | kadmin.local
add_principal -pw alice \"alice@EXAMPLE.COM\"
add_principal -pw bob \"bob@EXAMPLE.COM\"
add_principal -randkey \"host/krb5-service-example-com.example.com@EXAMPLE.COM\"
EOF
"

# 查看实体列表,下面应该有如下输出
# alice@EXAMPLE.COM
# bob@EXAMPLE.COM
# host/krb5-service-example-com.example.com@EXAMPLE.COM
docker exec krb5-kdc-server-example-com kadmin.local list_principals | grep -E 'alice|bob|host'

8、kerberos-kdc 创建长期密钥文件 keytab,密钥文件和实体身份关联,并将分发给客户端和服务

# 这里只给用户 bob 和 服务实体进行了关联
docker exec krb5-kdc-server-example-com /bin/sh -c "
cat << EOF  | kadmin.local
ktadd -k /etc/krb5-service.keytab -norandkey \"host/krb5-service-example-com.example.com@EXAMPLE.COM\"
ktadd -k /etc/bob.keytab -norandkey \"bob@EXAMPLE.COM\"
EOF
"

# 先从kdc拷贝出长期密钥文件拷贝到宿主机
mkdir -p keytabs
docker cp krb5-kdc-server-example-com:/etc/krb5-service.keytab ./keytabs/krb5-service.keytab
docker cp krb5-kdc-server-example-com:/etc/bob.keytab ./keytabs/bob.keytab

# 查看长期密钥内容
cat keytabs/bob.keytab
cat keytabs/krb5-service.keytab

# 宿主机分发到各实体中
docker cp ./keytabs/krb5-service.keytab krb5-service-example-com:/etc/krb5.keytab
docker cp ./keytabs/bob.keytab krb5-machine-example-com:/etc/bob.keytab

9、验证 kerberos 用户、服务实体的合法性

# 使用口令验证用户,这个命令提示需要输入口令, 报 Warning: encryption type 是正常现象
# 输入口令 alice 完成。没有错误返回说明用户存在
docker exec -i krb5-machine-example-com kinit alice@EXAMPLE.COM

# 输入口令 bob 完成。没有错误返回说明用户存在
docker exec -i krb5-machine-example-com kinit bob@EXAMPLE.COM

# 使用长期密钥验证用户身份,没有错误返回说明密钥合法
docker exec krb5-machine-example-com kinit -kt /etc/bob.keytab bob@EXAMPLE.COM

# 因为我们验证了身份,此时已经拿到了 bob 身份票据`krbtgt/EXAMPLE.COM@EXAMPLE.COM`
docker exec krb5-machine-example-com klist

# 验证服务实体存在,且客户端有权限访问(前面已经拿到了身份票据)
docker exec krb5-machine-example-com kvno host/krb5-service-example-com.example.com

# 此时拿到了服务票据`host/krb5-service-example-com.example.com@EXAMPLE.COM`
docker exec krb5-machine-example-com klist

# 销毁票据缓存
docker exec krb5-machine-example-com kdestroy

# 此时会报错,已经不存在票据缓存了
docker exec krb5-machine-example-com klist

# 验证服务端长期密钥合法性,没有错误返回说明合法
docker exec krb5-service-example-com kinit -kt /etc/krb5.keytab

# 销毁票据缓存
docker exec krb5-service-example-com kdestroy

三、基于 kerberos 的 ssh 认证

1、捕获报文

需要在 linux 环境中单独开启一个终端,运行下面的命令

# 抓取客户端报文
docker exec  krb5-machine-example-com tcpdump -i any -w /root/traffic-cap/machine.pcap

2、正常登录流程

在做环境启动的终端,继续输入

# 获取身份票据
docker exec krb5-machine-example-com kinit -kt /etc/bob.keytab bob@EXAMPLE.COM

# 获取服务票据
docker exec krb5-machine-example-com kvno host/krb5-service-example-com.example.com

# 确认票据
docker exec krb5-machine-example-com klist

# 登录服务
docker exec -it krb5-machine-example-com ssh -v bob@krb5-service-example-com -o PreferredAuthentications=gssapi-with-mic

3、分析报文

在第1步的终端,按ctrl+c结束抓包

ls ~/kerberos/traffic-cap/

将 machine.pcap 报文拖到 wireshark 中

注:如果用wireshark打不开 machine.pcap 报文,可能是因为wireshark版本过低,建议直接在官网更新。

 

sone12138
关注
通过 xshell 连接 ubuntu on windows(WSL)
史D芬周
11-08 2511
通过 xshell 连接 ubuntu on windows(WSL) 装上 ubuntu on windows 后,默认要先打开 cmd, 再运行 bash 进入 ubuntu 的 shell。 但是这个shell很难看,配色不好就算了,还存在各种复制粘贴麻烦。 默认没进入 home 目录、各种报警声等问题。所以尝试用 xshell 登陆 ub...
配置SSH服务使用证书登录Ubuntu服务器
weixin_34348111的博客
08-02 731
根据项目要求,需要将项目迁移到Linux系统上,作为测试,选用的是阿里云服务器,1核CPU,1G内存(没错就是这么穷),操作系统Ubuntu 16.04 64位。当然其实如果使用阿里云服务器其实是不需要单独配置证书登录的,因为可以在创建运行实例时直接配置证书登录。不过因为之前我没接触过Linux系统,配置服务器的时候也没有人提过登录方式的问题,当有人提的时候服务器里别人装了很多东西,我想如果重装系...
【Ansible 文档】【译文】Windows 支持
weixin_30706507的博客
10-19 310
see also:List of Windows Modules Windows SupportWindows 支持 Windows: How Does It WorkWindows:如何工作 正如已经知道的,Ansible默认使用SSH管理Linux/unix。 自从1.7版本开始,Ansible同样包含了对Windows机器管理的支持。这是用本地的powershell远程,而不是S...
【Tools】Xshell7安装教程详解
C/C++软件工程师、嵌入式软件工程师、物联网研发工程师、C/C++讲师、物联网讲师、嵌入式讲师、鸿蒙讲师---欢迎大家一起交流(私信添加博主微信)
04-22 3494
Xshell 是一款功能强大的终端模拟器,支持SSh2,SSh3,SFTP,TELNET,RLOGIN和SERIAL。通过提供业界先进的性能,Xshell 包含了其他SSH客户端无法发现的功能和优势。Xshell 是更常用的安全终端模拟器,人们可以使用它远程登录其他系统服务器,达到远程控制终端的目的。
linux@ubuntu@安装和配置openssh服务@ssh服务状态初步检查@ssh链接到linux服务器上
xuchaoxin1375的博客
02-16 1224
因此,令牌通常在允许下载密钥之前强制执行 PIN 认证,用户应该在创建任何本地密钥之前对令牌设置 PIN。例如,如果远程计算机使用 SSH 客户端应用程序连接,OpenSSH 服务器在认证后将设置一个远程控制会话。OpenSSH 提供了一个服务器守护进程和客户端工具,以促进安全、加密的远程控制和文件传输操作,有效地取代了旧的工具。这些设备用于在现有的基于密钥的认证之上提供额外的安全层,因为硬件令牌需要在场才能完成认证。生成密钥对后,可以像使用 OpenSSH 中的任何其他类型的密钥一样使用它。
SSHFS4Win:Windows平台下的SSH文件系统稳定版
weixin_28931449的博客
05-17 519
SSHFS (Secure SHell File System) 是一种利用SSH协议在本地计算机和远程服务器之间进行文件传输和同步的工具。它将远程文件系统以加密的方式挂载到本地,用户操作起来就像访问本地磁盘一样简单。FUSE是用户空间文件系统的一种实现,它通过一种特殊的方式挂载到操作系统的VFS(虚拟文件系统)层。文件系统的所有操作都在用户空间完成,通过FUSE提供的接口与内核进行通信。其主要优势在于:用户空间实现:不需要内核级别的修改,减少了系统崩溃的风险。模块化设计。
Windows环境下 Gvim 安装 Vundle/Ctags/taglist
miracle_eicont的专栏
01-20 2230
目录 一、安装Vundle for Windows 1、安装Git 2、安装Curl 3、安装Vundle 二、ctags下载与安装 1、生成Tag文件 2、代码的快速浏览 三、Taglist下载和安装 1、在_vimrc中设置tagslist 2、taglist的配置与使用 四、网盘下载:包括:gvim81、ctags、taglist、git 一、安装Vundle for Windows 1、安装Git 1下载 Git for Windows installer 2 要配.
第十一章、远程联机服务器SSH / XDMCP / VNC / RDP
mybluetiankong的专栏
03-04 1万+
维护网络服务器最简单的方式不是跑去实体服务器前面登入,而是透过远程联机服务器联机功能来登入主机, 然后再来进行其他有的没的维护就是了。Linux 主机几乎都会提供 sshd 这个联机服务,而且这个服务还是主动进行数据加密的! 讯息在网络上面跑安全多了。同时我们还能透过 rsync 这个指令以 sshd 信道来达成异地数据备援的功能哩!相当不赖。 如果想要利用图形接口登入,那么默认的 Xdmcp 配
常用Linux的ssh远程终端连接工具
热门推荐
没刮胡子的程序员专栏
02-22 1万+
常用的SSH工具介绍
OpenSSH 5.3版本发布:开源安全SSH协议的演进
- Windows用户可以使用如PuTTY或Windows Subsystem for Linux(WSL)来使用OpenSSH。 - 安装后,用户可以通过命令行工具(如ssh客户端)访问OpenSSH服务器。 5. OpenSSH的安全性: - OpenSSH广泛被认为是非常...
openssh-9.5p1.zip
10-29
OpenSSH是一种实现SSH(Secure Shell)协议的软件,主要功能是提供安全的远程登录、文件传输以及其他网络服务。它能够保证数据传输的安全,通过加密和验证机制来防止窃听、中间人攻击以及其他网络级别的安全威胁。...
网络加密与ASR6601:掌握安全通信协议的关键技术
本文首先介绍了网络加密与安全通信协议的基本概念和重要性,然后详细阐述了网络加密的基础理论,包括对称与非对称加密算法、散列函数与数字签名,以及认证与密钥交换协议。接着,本文对ASR6601硬件平台的安全特性...
samba windows
01-23
为了使机器上的Samba服务能够作为一个域成员运行于Active Directory Services (ADS)环境中,该计算机需安装并配置Kerberos认证协议[^1]。此外,通过`net`工具完成Samba向ADS领域的加入操作也是必要的。 ```bash ...
【Netty系列】Netty 框架介绍
最新发布
技术改变世界
05-28 420
Netty是一个基于 Java NIO(Non-blocking I/O)的异步事件驱动网络应用框架,旨在快速开发高性能、高可靠性的网络服务器和客户端。它简化了 TCP/UDP 等协议的编程,并提供了高度可定制的组件,适用于高并发场景(如游戏服务器、即时通讯、分布式系统等)。
springboot--实战--大事件--用户接口开发
m0_73856804的博客
05-27 1747
定义了一种简洁的、自包含的格式,用于通信双方以JSON数据格式安全的传输信息。组成:第一部分:Header(头),记录令牌类型、签名算法等。例如,算法用于防篡改第二部分:Payload(有效载荷),携带一些自定义信息,默认信息。例如。而外在表示为一段无规律的64个可打印字符原因:借助base64编码方式(Base64:是一种基于64个可打印字符(A-Z a-z 0-9 + /)来表示二进制数据的编码方式)来完成,将json字符串变为64个可打印字符,
计算机组成原理——cache
Yan_ks的博客
05-27 816
本文介绍了cache的工作原理及优化策略。主要内容包括:1)局部性原理(时间/空间局部性),以程序示例说明访问顺序对性能的影响;2)cache组成与访问流程,包括命中率计算和地址映射关系;3)三种映射方式(直接、全相联、组相联)的实现原理;4)替换算法(LRU、随机、FIFO)的选择标准;5)两种写策略组合(全写+非写分配、回写+写分配)的特点及应用场景。通过cache设计有效利用局部性原理,可显著提升CPU访存效率。
LangChain4j 项目实战——idea快捷键搜索
modelmd的博客
05-25 628
LangChain4j 项目实战
华为OD机试真题——单词接龙(首字母接龙)(2025A卷:100分)Java/python/JavaScript/C/C++/GO最佳实现
专注分享技术、实用优质教程、资源
05-27 1118
华为OD机试真题——单词接龙(首字母接龙)(2025A卷:100分)Java/python/JavaScript/C/C++/GO最佳实现
深入理解 JavaScript 中的 Async/Await:异步编程的终极解决方案
读心悦
05-27 1394
JavaScript异步编程从回调函数到Promise再到async/await不断演进。async/await作为Promise的语法糖,通过更直观的同步式语法处理异步操作,解决了回调地狱和错误处理难题。本文解析了async/await的基础语法、高级应用及最佳实践。基础部分介绍了async函数自动包装Promise的特性,await的等待机制以及try-catch错误处理。高级应用展示了如何用Promise.all并行执行异步操作,以及在条件语句和循环中的使用技巧。通过对比串行与并行执行的时间差异,凸显
如何使用wsl实现n!程序
09-25
使用Bash脚本,你可以创建一个名为`factorial.sh`的文件,内容如下(使用递归法): ```sh #!/bin/bash factorial() { if [ "$1" -gt "1" ]; then ((result=$1 * $(factorial $((1-$1))))) else result=1 fi ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值