写在最后
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。
需要完整版PDF学习资源私我
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
5、ssh服务
SSH服务端是一个守护进程(daemon),它在后台运行并响应来自客户端的连接请求。SSH服务端的进程名位sshd,负责实时监听远程SSH客户端的远程连接请求,并进行处理,一般包括:公共密钥认证、密钥交换、对称密钥加密和非安全连接等。 SSH服务端主要包括两个服务功能:SSH远程连接和SFTP服务。
6、ssh客户端命令
ssh客户端包含ssh|slogin远程登录、scp远程拷贝、sftp文件传输、ssh-copy-di密钥分发等应用程序。
1)SSH远程登录服务器命令示例
2)SCP复制数据至远程主机命令(全量复制)
3)SFTP
该命令用于在Linux系统中进行安全文件传输的工具。它使用SSH协议进行加密传输,使用户能够在本地计算机和远程服务器之间传输文件。以下是SFTP命令的一些常用功能:
①上传文件(put):
用户可以使用sftp命令将本地计算机上的文件上传到远程服务器。
②下载文件(get):
用户可以使用sftp命令从远程服务器下载文件到本地计算机。
③浏览远程文件系统(pwd):
用户可以使用sftp命令浏览远程服务器上的文件和目录结构。
④创建和删除目录(mkdir、rm):
用户可以使用sftp命令在远程服务器上创建和删除目录。
⑤修改文件权限(chgrp、chmod、chown):
用户可以使用sftp命令修改远程服务器上文件的权限。
⑥列出文件和目录(lls):
用户可以使用sftp命令列出远程服务器上的文件和目录。
令列出远程服务器上的文件和目录。
7、SSH安全优化
SSH作为远程连接服务,通常我们需要考虑到该服务的安全,所以需要对该服务进行安全方面的配置:
1)更改远程连接登录的端口;
2)禁止ROOT用户直接登录;
3)密码认证的方式改为密钥认证;
4)重要服务不使用公网IP;
5)使用防火墙限制来源IP
二、SSH相关安全检测规则开发思路分析
1、攻击场景
SSH是一种协议,允许授权用户打开其他计算机上的远程Shell,在Linux和macOS版本默认情况下都安装了SSH,而且通常SSH不限制登录用户的数量,所以攻击者在潜入主机后,为了达到权限维持的目的,可能会在主机上设置SSH后门。
攻击者可以利用敏感函数来修改 SSH 相关的二进制文件以实现持久性的目的。
2、需求拆分
- ssh相关二进制文件:/usr/sbin/sshd、/usr/bin/ssh、/usr/bin/sftp、/usr/bin/scp
- 文件操作类型:create
3、检测规则思路
- 数据源:终端告警日志
- 命中逻辑:
- 文件操作类型:创建二进制文件
- or:
- 文件路径 包含(忽略大小写)‘/usr/sbin/sshd’
- 文件路径 包含(忽略大小写)‘/usr/bin/ssh’
- 文件路径 包含(忽略大小写)‘/usr/bin/sftp’
- 文件路径 包含(忽略大小写)‘/usr/bin/scp’
- 检测时间:10min
- 归并分组:受害者IP
- 统计次数:count >= 1
-
4、研判分析
- 根据告警信息发现被更改的SSH二进制文件,并及时联系数据源IP主机责任人确认是否为授权修改,若不是则判定为可疑事件;
- 根据告警信息获取进行修改文件的UID等账户信息并查看该用户是否存在其他敏感操作,若出现判定为可疑事件。
5、应急响应
- 更改远程连接登录的端口;
- 禁止ROOT用户直接登录;
- 密码认证的方式改为密钥认证;
- 重要服务不使用公网IP;
- 使用防火墙限制来源IP
一、网安学习成长路线图
网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
二、网安视频合集
观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
三、精品网安学习书籍
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
四、网络安全源码合集+工具包
光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
五、网络安全面试题
最后就是大家最关心的网络安全面试题板块
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!