security 04

案例1：加密与解密应用
案例2：使用AIDE做入侵检测
案例3：扫描与抓包分析
#####################
案例1：　加密与解密
步骤1：　md5
md5sum file1.txt
步骤2：ＧＰＧ　对称加密
　　yum -y install gnupg2 安装软件
　　gpg --version 查看版本
　　gpg -c file1.txt 加密
　　 要输入两次密码，在本机可以不用再输入密码了，如果要在其他机子上操作，就需要输入密码．
　　 ｃａｔ　时，就是乱码　　　ｃａｔ file2.txt.gpg
　　gpg -d 　　file2.txt.gpg > file2.txt 解密后保存
步骤3：使用gpg　非对称加密
　　　gpg --gen-key 创建密钥对
　　　 　之后一顿操作
　　＃如果不能出来，就一下步骤：因为random的效率太低
mv /dev/random /dev/random.bak
ln -s /dev/urandom /dev/random
之后不能换行，盲打reset
2) 导出自己的公钥文件(4.100)
　　 # gpg --listkeys　　　　　　　　　　查看公钥环
/root/.gnupg/pubring.gpg
pub 2048R/02227EDA 2020-05-09
uid IIIID (IIIID) IIIID@163.com
sub 2048R/40B6CBD2 2020-05-09
　使用gpg　　结合　　export 　将公钥文本导出
　　　　[root@web1 /]# gpg -a --export IIIID > IIIID.pub
　　　　export 导出　　-a 储存为　ASCII　格式　　　
　　　　或者写邮箱　不加a ，就是乱码（但是也可以）
　　　　[root@web1 /]# scp IIIID.pub 192.168.2.5:/tmp/
　　
3）导入接受的公钥信息（2.5）
　　使用gpg　结合　import 　导入公钥信息
[root@proxy3 ~]# gpg --import /tmp/IIIID.pub
gpg: 密钥 02227EDA：公钥“IIIID (IIIID) IIIID@163.com”已导入
gpg: 合计被处理的数量：1
gpg: 已导入：1 (RSA: 1)
＿＿＿＿＿＿＿＿＿＿＿＿＿
4）使用公钥加密数据，并将加密文件传回
[root@proxy3 ~]# gpg -e -r IIIID love.txt
gpg: 40B6CBD2：没有证据表明这把密钥真的属于它所声称的持有者

pub 2048R/40B6CBD2 2020-05-09 IIIID (IIIID) IIIID@163.com
主钥指纹： 0A0C 2728 8FB3 7657 C3AA 306D BDBE 8E4B 0222 7EDA
子钥指纹： 9B17 A5F5 156F 31D7 9E35 731F 8AD3 84DF 40B6 CBD2
传回：
[root@proxy3 ~]# scp love.txt.gpg 192.168.2.100:/root
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
4）　查看　（2.100）
私钥解密：[root@web1 ~]# gpg -d love.txt.gpg > love.txt
查看：　[root@web1 ~]# cat love.txt
I love you . I love you .
步骤四：　使用pgp　的签名机制
　1）为软件包创建分离式签名　（4.100）
　　　要将　软件包 签名文件　公钥文件　一起发布给其他用户下载
[root@web1 ~]# tar zcf log.tar /var/log
tar: 从成员名中删除开头的“/”
[root@web1 ~]# gpg -b log.tar
[root@web1 ~]# ls -lh log.tar*
-rw-r–r-- 1 root root 537K 5月 9 14:06 log.tar
-rw-r–r-- 1 root root 287 5月 9 14:06 log.tar.sig
[root@web1 ~]# scp log.tar* 192.168.2.5:/root
root@192.168.2.5’s password:
log.tar 100% 536KB 45.1MB/s 00:00
log.tar.sig 100% 287 256.4KB/s 00:00
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
2）签名
[root@proxy3 ~]# gpg --verify log.tar.sig log.tar
gpg: 于 2020年05月09日 星期六 14时06分49秒 CST 创建的签名，使用 RSA，钥匙号 02227EDA
gpg: 完好的签名，来自于“IIIID (IIIID) IIIID@163.com”
gpg: 警告：这把密钥未经受信任的签名认证！
gpg: 没有证据表明这个签名属于它所声称的持有者。
主钥指纹： 0A0C 2728 8FB3 7657 C3AA 306D BDBE 8E4B 0222 7EDA
＃＃＃＃＃＃＃＃＃＃＃＃＃＃
案例2：使用　AIDE　做入侵检测
步骤
步骤一：　部署 AIDE
1)安装
　　yum -y install aide
2)　配置
　随便配置，
　[root@proxy3 ~]# aide --init　　　校验初始
　AIDE, version 0.15.1
###AIDE database at /var/lib/aide/aide.db.new.gz initialized.
　备份
＃[root@proxy3 ~]# vim /var/log/secure 　　查看登录日志
[root@proxy3 ~]# ls /var/lib/aide
aide.db.new.gz
[root@proxy3 ~]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
[root@proxy3 ~]# aide --check　　　　校验
．．．．．
＿＿＿＿＿＿＿＿＿＿＿＿
案例三：扫描　nmap 与抓包 tcpdump
使用NMAP扫描来获取指定主机/网段的相关信息
使用tcpdump分析FTP访问中的明文交换信息
步骤
步骤一：
1）[root@proxy ~]# yum -y install nmap
//基本用法：
nmap [扫描类型] 　 [选项] <扫描目标 …>
//常用的扫描类型
// -sS，TCP SYN扫描（半开）
// -sT，TCP 连接扫描（全开）
// -sU，UDP扫描
// -sP，ICMP扫描
// -A，目标系统全面分析
ping ：　 nmap -sP 192.168.4.100
　　　-n　可以不执行DNS　解析
　
　步骤二：使用tcpdump 分析FTP访问中的明文交换信息
　　1) [root@proxy3 tmp]# yum -y install vsftpd
　　　　　　　　　　　　ｒｅｓｔａｒｔ
　　2) 启动 tcpdump
　　
//监控选项如下：
// -i，指定监控的网络接口（默认监听第一个网卡）
// -A，转换为 ACSII 码，以方便阅读
// -w，将数据包信息保存到指定文件
// -r，从指定文件读取数据包信息
//tcpdump的过滤条件：
// 类型：host、net、port、portrange
// 方向：src、dst
// 协议：tcp、udp、ip、wlan、arp、……
// 多个条件组合：and、or、not

---

3)执行FTP_____________________
[root@web1 ~]# yum -y install ftp
　[root@web1 ~]# ftp 192.168.2.5
Connected to 192.168.2.5 (192.168.2.5).
220 (vsFTPd 3.0.2)
Name (192.168.2.5:root): user1
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.
ftp> exit
＿＿＿＿＿＿＿＿＿＿＿
[root@proxy3 tmp]# tcpdump -i eth0 -w ftp.cap tcp port 21
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
＿＿＿＿＿＿＿＿＿＿
[root@proxy3 tmp]# tcpdump -A -r ftp.cap