案例1:加密与解密应用
案例2:使用AIDE做入侵检测
案例3:扫描与抓包分析
#####################
案例1: 加密与解密
步骤1: md5
md5sum file1.txt
步骤2:GPG 对称加密
yum -y install gnupg2 安装软件
gpg --version 查看版本
gpg -c file1.txt 加密
要输入两次密码,在本机可以不用再输入密码了,如果要在其他机子上操作,就需要输入密码.
cat 时,就是乱码 cat file2.txt.gpg
gpg -d file2.txt.gpg > file2.txt 解密后保存
步骤3:使用gpg 非对称加密
gpg --gen-key 创建密钥对
之后一顿操作
#如果不能出来,就一下步骤:因为random的效率太低
mv /dev/random /dev/random.bak
ln -s /dev/urandom /dev/random
之后不能换行,盲打reset
2) 导出自己的公钥文件(4.100)
# gpg --listkeys 查看公钥环
/root/.gnupg/pubring.gpg
pub 2048R/02227EDA 2020-05-09
uid IIIID (IIIID) IIIID@163.com
sub 2048R/40B6CBD2 2020-05-09
使用gpg 结合 export 将公钥文本导出
[root@web1 /]# gpg -a --export IIIID > IIIID.pub
export 导出 -a 储存为 ASCII 格式
或者写邮箱 不加a ,就是乱码(但是也可以)
[root@web1 /]# scp IIIID.pub 192.168.2.5:/tmp/
3)导入接受的公钥信息(2.5)
使用gpg 结合 import 导入公钥信息
[root@proxy3 ~]# gpg --import /tmp/IIIID.pub
gpg: 密钥 02227EDA:公钥“IIIID (IIIID) IIIID@163.com”已导入
gpg: 合计被处理的数量:1
gpg: 已导入:1 (RSA: 1)
_____________
4)使用公钥加密数据,并将加密文件传回
[root@proxy3 ~]# gpg -e -r IIIID love.txt
gpg: 40B6CBD2:没有证据表明这把密钥真的属于它所声称的持有者
pub 2048R/40B6CBD2 2020-05-09 IIIID (IIIID) IIIID@163.com
主钥指纹: 0A0C 2728 8FB3 7657 C3AA 306D BDBE 8E4B 0222 7EDA
子钥指纹: 9B17 A5F5 156F 31D7 9E35 731F 8AD3 84DF 40B6 CBD2
传回:
[root@proxy3 ~]# scp love.txt.gpg 192.168.2.100:/root
_______________
4) 查看 (2.100)
私钥解密:[root@web1 ~]# gpg -d love.txt.gpg > love.txt
查看: [root@web1 ~]# cat love.txt
I love you . I love you .
步骤四: 使用pgp 的签名机制
1)为软件包创建分离式签名 (4.100)
要将 软件包 签名文件 公钥文件 一起发布给其他用户下载
[root@web1 ~]# tar zcf log.tar /var/log
tar: 从成员名中删除开头的“/”
[root@web1 ~]# gpg -b log.tar
[root@web1 ~]# ls -lh log.tar*
-rw-r–r-- 1 root root 537K 5月 9 14:06 log.tar
-rw-r–r-- 1 root root 287 5月 9 14:06 log.tar.sig
[root@web1 ~]# scp log.tar* 192.168.2.5:/root
root@192.168.2.5’s password:
log.tar 100% 536KB 45.1MB/s 00:00
log.tar.sig 100% 287 256.4KB/s 00:00
________________
2)签名
[root@proxy3 ~]# gpg --verify log.tar.sig log.tar
gpg: 于 2020年05月09日 星期六 14时06分49秒 CST 创建的签名,使用 RSA,钥匙号 02227EDA
gpg: 完好的签名,来自于“IIIID (IIIID) IIIID@163.com”
gpg: 警告:这把密钥未经受信任的签名认证!
gpg: 没有证据表明这个签名属于它所声称的持有者。
主钥指纹: 0A0C 2728 8FB3 7657 C3AA 306D BDBE 8E4B 0222 7EDA
##############
案例2:使用 AIDE 做入侵检测
步骤
步骤一: 部署 AIDE
1)安装
yum -y install aide
2) 配置
随便配置,
[root@proxy3 ~]# aide --init 校验初始
AIDE, version 0.15.1
###AIDE database at /var/lib/aide/aide.db.new.gz initialized.
备份
#[root@proxy3 ~]# vim /var/log/secure 查看登录日志
[root@proxy3 ~]# ls /var/lib/aide
aide.db.new.gz
[root@proxy3 ~]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
[root@proxy3 ~]# aide --check 校验
.....
____________
案例三:扫描 nmap 与抓包 tcpdump
使用NMAP扫描来获取指定主机/网段的相关信息
使用tcpdump分析FTP访问中的明文交换信息
步骤
步骤一:
1)[root@proxy ~]# yum -y install nmap
//基本用法:
nmap [扫描类型] [选项] <扫描目标 …>
//常用的扫描类型
// -sS,TCP SYN扫描(半开)
// -sT,TCP 连接扫描(全开)
// -sU,UDP扫描
// -sP,ICMP扫描
// -A,目标系统全面分析
ping : nmap -sP 192.168.4.100
-n 可以不执行DNS 解析
步骤二:使用tcpdump 分析FTP访问中的明文交换信息
1) [root@proxy3 tmp]# yum -y install vsftpd
restart
2) 启动 tcpdump
//监控选项如下:
// -i,指定监控的网络接口(默认监听第一个网卡)
// -A,转换为 ACSII 码,以方便阅读
// -w,将数据包信息保存到指定文件
// -r,从指定文件读取数据包信息
//tcpdump的过滤条件:
// 类型:host、net、port、portrange
// 方向:src、dst
// 协议:tcp、udp、ip、wlan、arp、……
// 多个条件组合:and、or、not
3)执行FTP_____________________
[root@web1 ~]# yum -y install ftp
[root@web1 ~]# ftp 192.168.2.5
Connected to 192.168.2.5 (192.168.2.5).
220 (vsFTPd 3.0.2)
Name (192.168.2.5:root): user1
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.
ftp> exit
___________
[root@proxy3 tmp]# tcpdump -i eth0 -w ftp.cap tcp port 21
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
__________
[root@proxy3 tmp]# tcpdump -A -r ftp.cap