本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
学习路线图
其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。
相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。
网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。
项目实战
最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
下面继续基础配置
###先管理基础配置
###应用配置采用ldapadd命令,初期配置建议使用本地ldapi接口,后面配置应用命令与此相同,具体参数大家自己多搜一下熟悉就行,如果只是一般管理的话这里的使用命令应该是足够了。一般配置文件会指定dn,所以-D这个参数可以不指定。
ldapadd -Y EXTERNAL -D “cn=config” -H ldapi:/// -f syncprov.ldif
#另外两种应用格式,需要ip和端口号,默认的389可以不写,但自定义端口一定要写。-W启用后会要输入密码,所以需要先设定好根域密码,密码修改方式见下方,-D表示操作设置那个域,一般会在ldif文件中指定,可以省略。
ldapadd -x -D “cn=config” -H ldap://192.168.1.11 -W -f syncprov.ldif
ldapadd -x -D “cn=config” -H ldaps://192.168.1.11:636 -W -f syncprov.ldif
###导入一些基础配置,大家根据实际需求选吧,不一定要全部导入
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/collective.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/corba.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/duaconf.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/dyngroup.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/java.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/misc.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/openldap.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/pmi.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif
######################################################################################
###这里大家一定要注意看一下,很多配置文件这里写的是{2}hdb,实际上2.6.2的配置都在mdb下,大家注意了。 大家可以看一下路径下面的内容就清楚了。自定义参数时,ldif文件前指定对应数据库的dn,如dn: olcDatabase={0}config,cn=config就是指修改下面olcDatabase={0}config.ldif数据库中的配置,dn:olcDatabase={1}monitor.ldif,就是指修改下面olcDatabase={1}monitor.ldif数据库中的配置,每次修改完后可以cat查看修改后的配置情况,但不要直接编辑下面目录中的ldif文件,否则会出现配置文件校验错误。
ls /etc/openldap/slapd.d/cn=config/
cn=module{0}.ldif cn=schema.ldif olcDatabase={-1}frontend.ldif olcDatabase={2}mdb/
cn=schema/ olcDatabase={0}config.ldif olcDatabase={1}monitor.ldif olcDatabase={2}mdb.ldif
##大家看看这里都是{2}mdb,后面基于这个路径配置的文件会保存在olcDatabase={2}mdb这个目录下,大家配置完反复看一下这些配置目录里的文件
######################################################################################
#生成密码字符串,这里使用的是ssha方式加密, -s后面的密码就是自己想设定的明文密码,可以采用交互方式输入,这样明文密码不会显示在history中,提高安全性。
slappasswd -s sdlfkjeioo@3LK
{SSHA}cGUAOenh1/et0kezbZiJsdY/o7e+hSGJ
###记住这个字符串,后面需要写入配置文件来更新密码
###编辑修改根域管理密码配置,修改的是olcRootPW,采用modify添加方式
###当然也可以放在下方管理权限配置里面一同修改。
vim chrootpw.ldif
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}GDdMN3vBiNHs4fEcDaey6nCdILiY3GYd
###应用修改
ldapmodify -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
########################################################
###基础配置之后大家可以查看变化,/etc/openldap/slapd.d/cn=config/olcDatabase={0}config.ldif,大家要看到文件头的提示# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
所以千万别手动去修改,容易出错
###下面是配置截图,仅供参考
###olc开头的都是可以设定的参数,想设置哪个参数或者添加什么参数,按ldif配置文件的格式编写即可,自定义配置建议统一放置在 /etc/openldap/configs下面,防止与系统配置文件弄混
###配置管理权限,可以单独配置角色并配置对应的读写权限,dn要写清楚,这里面的dn.base=和后面dn=里面对应的Mangement,jindong,com都可以根据自己喜好或实际修改,但要注意,这个设定后,后面使用时也要按这个来使用,且设定密码或修改对应权限时这个dn都要写全,且不能出错。
###下方的olcRootPW和前面的步骤里提到的是一样的,表示根域管理的密码
###olcSuffix表示自己的域,可以理解为组织或单位的名称,如 jd.com, biosafe.org,按照这个修改为dc=jd,dc=com或 dc=biosafe,dc=org
###olcRootDN就是表示olcSuffix下的一个管理角色Management, 根据自己喜好设定即可,但后面dc要和前面suffix相同。
###olcAccess就是配置权限了,{0}、{1}、{2}这几个表示的是不同数据库,后面by跟着表示对应角色给予什么权限。
vim admin_config.ldif
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base=“gidNumber=0+uidNumber=0,cn=peercred,cn=external, cn=auth” read by dn.base=“cn=Management,dc=jindong,dc=com” read by * none
dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=jindong,dc=com
dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Management,dc=jindong,dc=com
dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}9FYhkbjcu5/JT+jveRmEeE/EgHp6zDVWJ+
dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by dn=“cn=Management,dc=jindong,dc=com” write by anonymous auth by self write by * none
olcAccess: {1}to dn.base=“” by * read
olcAccess: {2}to * by dn=“cn=Management,dc=jindong,dc=com” write by * read
###应用管理权限配置
ldapadd -Y EXTERNAL -H ldapi:/// -f admin_config.ldif
###编辑配置tls
vim add_tls.ldif
dn: cn=config
changetype: modify
replace: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/openldap/certs/ldapserver.crt
dn: cn=config
changetype: modify
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/openldap/certs/ldapserver.key
dn: cn=config
changetype: modify
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/openldap/certs/ldapserver.crt
###应用配置
ldapadd -Y EXTERNAL -H ldapi:/// -f add_tls.ldif
配置主主同步
###配置数据库同步
vim syncprov.ldif
dn: olcOverlay=syncprov,olcDatabase={2}mdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpSessionLog: 100
###应用配置
ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov.ldif
###配置开启数据同步模块,大家看一下目录下的文件就了解了,如果是手动安装在指定目录下,这个lib位置可能要修改成对应目录,总之是要找到路径/usr/lib64/openldap/下的syncprov.la这个文件
vim syncprov_mod.ldif
dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
olcModuleLoad: syncprov.la
###应用配置
ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov_mod.ldif
###配置日志级别
vim log_config.ldif
dn: cn=config
changetype: modify
add: olcLogLevel
olcLogLevel: stats
#stats为打印日志的级别,可根据不同的级别设置不同的值
###应用配置,这里使用modify模式
ldapmodify -Y EXTERNAL -H ldapi:/// -f log_config.ldif
#####openldap日志级别,看不懂的自己翻译去吧,不难:
Level Keyword Description
-1 any enable all debugging
0 no debugging
1 (0x1 trace) trace function calls
2 (0x2 packets) debug packet handling
4 (0x4 args) heavy trace debugging
8 (0x8 conns) connection management
16 (0x10 BER) print out packets sent and received
32 (0x20 filter) search filter processing
64 (0x40 config) configuration processing
128 (0x80 ACL) access control list processing
256 (0x100 stats) stats log connections/operations/results
512 (0x200 stats2) stats log entries sent
1024 (0x400 shell) print communication with shell backends
2048 (0x800 parse) print entry parsing debugging
16384 (0x4000 sync) syncrepl consumer processing
32768 (0x8000 none) only messages that get logged whatever log level is set
##可以选择配置rsyslog
修改/etc/rsyslog.conf配置文件
cat >> /etc/rsyslog.conf << EOF
local4.* /var/log/slapd/slapd.log
EOF
###然后重启rsyslog应用:
mkdir -p /var/log/slapd
chown ldap:ldap /var/log/slapd/
systemctl restart rsyslog
systemctl restart slapd
重启看到日志
ls /var/log/slapd/
/var/log/slapd/slapd.log目录下就可以看到slapd产生的日志了。
##配置禁止匿名用户访问,一般为了安全都需要设置,这里配置的是不允许匿名用户通过ip访问查看数据内容,不允许web服务前端匿名用户登陆,主要指ldapphpadmin的网络管理,后面会详细说明配置。
vim disable_anon.ldif
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
###应用配置
ldapadd -Y EXTERNAL -H ldapi:/// -f disable_anon.ldif
####################################################################################
####再提醒一下的就是所有采用命令生成的配置文件ldif都标明了不要手动修改,所以大家不要直接修改这里的ldif文件,否则后面会提示错误,或者在使用命令修改后,这个文件的配置就会对应修改,而且每个都有时间戳,破坏了系统就会显示检测到配置错误。
cat /etc/openldap/slapd.d/cn=config.ldif
AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
CRC32 21c2b603
dn: cn=config
objectClass: olcGlobal
cn: config
structuralObjectClass: olcGlobal
entryUUID: 2527141e-d799-103d-8820-417a1b6d07b1
creatorsName: cn=config
createTimestamp: 20230825134340Z
olcDisallows: bind_anon
olcRequires: authc
olcLogLevel: stats
olcTLSCACertificateFile: /etc/openldap/certs/ldapserver.crt
olcTLSCertificateKeyFile: /etc/openldap/certs/ldapserver.key
olcTLSCertificateFile: /etc/openldap/certs/ldapserver.crt
olcServerID:: MSA=
entryCSN: 20231115075749.487914Z#000000#002#000000
modifiersName: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
modifyTimestamp: 20231115075749Z
####################################################################################
###前面配置所有服务主机都配置相同的根域管理和密码,当然也可以不同,但下面对应的bindn和credentials就得做相应修改。
###配置主机id及同步主机策略等
#olcServerID,按顺序第几个主机就写对应数字作为对应编号,按自己喜好修改
#下面配置同步主机
olcSyncRepl 后面配置另外其他主机的信息,一般配置一个就行,这里三个节点,所以配置了2个。其他两台主机注意修改,这里第一个主机所以需要同步的是2和3主机,如果是第二个主机,这里改成1和3号。
olcMirrorMode表示主主同步,与主从模式区别。
###########################host1####################################
vim configrep.ldif
Update Server ID with LDAP URL
dn: cn=config
changetype: modify
replace: olcServerID
olcServerID: 1
Adding details for replication
dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcSyncRepl
olcSyncRepl:
rid=002
provider=ldap://192.168.1.12
binddn=“cn=Management,dc=jingdong,dc=com”
bindmethod=simple
credentials=这里的密码与前面一致,可以明文,建议使用前面的加密字符串
searchbase=“dc=jingdong,dc=com”
type=refreshAndPersist
retry=“5 5 300 5”
timeout=1
olcSyncRepl:
rid=003
provider=ldap://192.168.1.13
binddn=“cn=Management,dc=jingdong,dc=com”
bindmethod=simple
credentials=这里的密码与前面一致,可以明文,建议使用前面的加密字符串
searchbase=“dc=jingdong,dc=com”
type=refreshAndPersist
retry=“5 5 300 5”
timeout=1
replace: olcMirrorMode
olcMirrorMode: TRUE
###########################################################################
#################################host2#####################################
vim configrep.ldif
Update Server ID with LDAP URL
dn: cn=config
changetype: modify
replace: olcServerID
olcServerID: 1
Adding details for replication
dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcSyncRepl
olcSyncRepl:
rid=001
provider=ldap://192.168.1.11
binddn=“cn=Management,dc=jingdong,dc=com”
bindmethod=simple
credentials=这里的密码与前面一致,可以明文,建议使用前面的加密字符串
searchbase=“dc=jingdong,dc=com”
type=refreshAndPersist
retry=“5 5 300 5”
timeout=1
olcSyncRepl:
rid=003
provider=ldap://192.168.1.13
binddn=“cn=Management,dc=jingdong,dc=com”
bindmethod=simple
credentials=这里的密码与前面一致,可以明文,建议使用前面的加密字符串
searchbase=“dc=jingdong,dc=com”
type=refreshAndPersist
retry=“5 5 300 5”
timeout=1
replace: olcMirrorMode
olcMirrorMode: TRUE
###############################################################################
###应用配置
ldapadd -Y EXTERNAL -H ldapi:/// -f configrep.ldif
前面所有服务节点配置完成后最好是按顺序重新启动一下slapd服务,并确认所有服务状态和数据库同步无错误信息
###所有slapd节点,基本就是下面三个命令确认一下就行
systemctl restart slapd
systemctl status slapd
journal -xe | grep lapd
### 高可用配置keepalived+haproxy
怎么配置keepalived和haproxy大家搜索吧,本人后面会补充上
这里仅修改haproxy 关于 openldap高可用配置选段
##修改/etc/haproxy/haproxy.cfg,haproxy版本 2.8.1
##添加下面内容
listen openldap_cluster
bind 192.168.1.251:10389
mode tcp
option tcplog
balance roundrobin
server host1 192.168.1.11:389 check weight 5
server host2 192.168.1.12:389 check weight 5
server host3 192.168.1.13:389 check weight 5
复制haproxy配置到所有haproxy节点下,重新启动 haproxy服务,后面所有认证服务都可以使用ldap://192.168.1.251:10389这个地址。
### 添加用户组和用户
####批量导入导出原来系统已有的账号和用户组需要使用migrationtools,高版本的centos需要单独找安装源了。
###这里人员账户信息是按照migrationtools导出系统账户的格式,大家添加用户或者批量导入账户的都可以采用这种方式对应修改即可,有多少个人就添加多少个模块信息。
###这里的呃userPassword可以直接明文,但不建议,用户密码还是建议使用slappasswd生成后写入下面文件吧,但得注意明文密码单独记录,
###这里还可以添加其他email之类的账户参数,大家搜索一下就知道了。
###建议大家直接指定gid和uid,系统默认创建用户会从uid=500开始,个人一般喜好将小于1000的id留给系统账户,方便安全管理。
##分别编辑group和user配置文件
############################################################
vim add_group.ldif
dn: cn=liuqiangdong,ou=Group,dc=jingdong,dc=com
objectClass: posixGroup
objectClass: top
cn: liuqiangdong
gidNumber: 1601
dn: cn=zhangtianze,ou=Group,dc=jingdong,dc=com
objectClass: posixGroup
objectClass: top
cn: zhangtianze
gidNumber: 1602
###########################################################
############################################################
vim add_user.ldif
dn: uid=liuqiangdong,ou=People,dc=jingdong,dc=com
uid: liuqiangdong
cn: liuqiangdong
objectClass: account
objectClass: posixAccount
如何自学黑客&网络安全
黑客零基础入门学习路线&规划
初级黑客
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包评论区留言即可领取!
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
如果你零基础入门,笔者建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习;搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime;·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;·用Python编写漏洞的exp,然后写一个简单的网络爬虫;·PHP基本语法学习并书写一个简单的博客系统;熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选);·了解Bootstrap的布局或者CSS。
8、超级黑客
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言获取吧。我都会回复的
视频配套资料&国内外网安书籍、文档&工具
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
一些笔者自己买的、其他平台白嫖不到的视频教程。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
899
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
