![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
security
文章平均质量分 73
HeathXian
嵌入式 分布式后端 网络安全 主机安全
展开
-
x509 cer文件 crt文件 csr文件
拿到一个证书之后,得先去找CA验证下,拿到的证书是否是一个“真”的证书,而不是一个篡改后的证书。公钥私钥对可以在自己的本地通过相关的工具(如openssl、ssh_keygen)产生,那公钥怎么包装成一个证书,并且要在CA那边“注册”一下,不然,别人拿到你的证书之后,去CA那边验证不过,会认为是一个不可信证书。公钥是公开分发的,那当你拿到一个公司(个人)的公钥之后,怎么确定这个公钥就是那个公司(个人)的?这里,我们把自己当作一个CA,自己给自己注册一下,当然了,产生的证书是没人认可的。原创 2024-04-10 15:15:35 · 477 阅读 · 0 评论 -
/etc/passwd文件格式解析
There are several different authentication schemes that can be used on Linux systems. The most commonly used and standard scheme is to perform authentication against the and /etc/shadow files. is a plain text-based database that contains information for a原创 2024-03-15 14:40:28 · 771 阅读 · 0 评论 -
/etc/shadow文件格式解析
/etc/shadow shadow linux密码配置原创 2024-03-15 14:36:02 · 793 阅读 · 0 评论 -
/etc/sudoers 文件格式解析
sudo sudoers原创 2024-03-14 10:26:00 · 760 阅读 · 0 评论 -
shell属性(是否交互式,是否登录)
shell属性 是否交互式 是否登录shell原创 2024-03-12 19:31:28 · 889 阅读 · 0 评论 -
osquery 查询系统信息
说明本文是一篇翻译稿,原文是:https://blog.kolide.com/osquery-under-the-hood-c1a8df46bb7a在4年的时间里,有243个贡献者一共提交了4573个commit,为osquery的发展作出了贡献。osquery是一个复杂的项目,必须要兼备性能和稳定性,要要争能在数百万台的机器上面运行。本篇文章就是对osquery的整体架构进行一个简要的介绍。本篇文章适用于那些对osquery的架构感兴趣,想为osquery发现贡献pr或者是想从成功的开源项目架原创 2021-06-26 09:49:44 · 1088 阅读 · 0 评论 -
wazuh-monitord agent连接监控
ossecc -monitord程序监视agent的连接。此外,它每天或当内部日志达到一定的可配置大小时对其进行旋转和压缩。原创 2022-10-27 19:00:27 · 576 阅读 · 0 评论 -
wazuh api分析
代码所在路径wazuh\api\scripts\wazuh-apid.py。wazuh api服务进程。wazuh服务端架构。原创 2022-10-15 18:29:30 · 655 阅读 · 0 评论 -
wazuh集群通信
divide_flag 分割标识,因为最大载荷长度是5242880个字节,如果载荷被分割了则divide_flag标识为b,如果这是被分割的消息的最后一部分或者是一个单独的消息则为-所有集群节点使用该通信协议同步必要的信息,以接收来自agents的报告。command 长度是11个字符,描述这个命令类型,不足11个字符的通过-补齐11个字节。counter 是用于标识消息的消息ID,对于这个消息的响应消息需要带回这个消息ID。通信协议使用在所有通信中(包括集群和api)被定在。Wazuh 集群协议。原创 2022-10-12 16:55:44 · 464 阅读 · 0 评论 -
openssl漏洞检查修复
TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。链接:https://www.openssl.org/news/secadv/20160922.txt。链接:https://www.openssl.org/news/secadv/20160922.txt。重点:避免使用IDEA、DES和3DES算法。主要是修改conf文件。原创 2022-09-14 22:38:25 · 3079 阅读 · 0 评论 -
shell反弹
/dev/tcp/x.x.x.x/port 意为调用socket,建立socket连接,其中x.x.x.x为要反弹到的主机ip,port。在vps(用于攻击机器)机器监听7777端口,本机器ip地址为192.168.2.200。# 0>&1 标准输入重定向到标准输出,实现你与反弹出来的shell的交互。#bash -i 打开一个交互的bash。# >& 将标准错误输出重定向到标准输出。在vps执行任意命令实行攻击。原创 2022-09-04 23:03:10 · 323 阅读 · 0 评论 -
yara 分析器
yara 安装,测试,分析原创 2022-08-31 18:04:57 · 1182 阅读 · 0 评论 -
yara 规则
非常棒的各类yara规则。原创 2022-08-09 18:10:07 · 265 阅读 · 0 评论 -
eBPF/Ftrace
no space left on device 无处遁形最近在生产环境中遇到了几次创建容器报错 ”no space left on device“ 失败的案例,但是排查过程中发现磁盘使用空间和 inode 都比较正常。在常规的排查方式都失效的情况下,有没有快速通用思路可以定位问题根源呢?本文是在单独环境中使用 eBPF + Ftrace 分析和排查问题流程的记录,考虑到该方式具有一定的通用性,特整理记录,希望能够起到抛砖引玉的作用。作者水平有限,思路仅供参考,难免存在某些判断或假设存在不足,欢迎转载 2022-07-20 18:02:23 · 374 阅读 · 0 评论 -
利用eBPF探测Rootkit漏洞
利用eBPF探测Rootkit漏洞转载 2022-07-20 18:05:32 · 123 阅读 · 0 评论 -
log4j漏洞 es升级log4j
1.检查环境可能的受影响应用及组件(包括但不限于)如下:RedisElasticsearchApache SolrApache FlinkApache DruidApache Struts2srping-boot-strater-log4j2flumedubbologstashkafka影响范围log4j版本Apache Log4j 2.x <= 2.15.0检查攻击1. 可以通过检查日志中是否存在 “jndi:ldap://”、“jndi:rmi” 等原创 2021-12-15 17:16:34 · 3761 阅读 · 0 评论 -
log4j2漏洞
这个漏洞到底是怎么回事?怎么利用这个漏洞呢?我看了很多技术分析文章,都太过专业,很多非Java技术栈或者不搞安全的人只能看个一知半解,导致大家只能看个热闹,对这个漏洞的成因、原理、利用方式、影响面理解的不到位。这篇文章,我尝试让所有技术相关的朋友都能看懂:这个注定会载入网络安全史册上的漏洞,到底是怎么一回事!log4j2不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。通过日志,可以帮助我们了解程序的运行情况,排查程序运行中出现的问题。在Java技术栈中,用的比较转载 2021-12-12 11:17:07 · 5241 阅读 · 9 评论 -
https客户端与服务端认证过程详解
Go和HTTPS四月 30, 2015 27 条评论近期在构思一个产品,考虑到安全性的原因,可能需要使用到HTTPS协议以及双向数字证书校验。之前只是粗浅接触过HTTP(使用Golang开 发微信系列)。对HTTPS的了解则始于那次自行搭建ngrok服务,在那个过程中照猫画虎地为服务端生成了一些私钥和证书,虽然结果是好 的:ngrok服务成功搭建起来了,但对HTTPS、数字证书等的基本原理并未求甚解。于是想趁这次的机会,对HTTPS做一些深度挖掘。主要途 径:翻阅网上资料、书籍,并利用golang转载 2021-11-30 17:53:30 · 3240 阅读 · 0 评论 -
开源流量分析zeek(又名pro)
入侵检测系统-流量分析http://www.icir.org/vern/papers/bro-CN99.html其他同类项目Suricata、SnortZeek (Bro) 是一款大名鼎鼎的开源网络安全分析工具。通过 Zeek 可以监测网络流量中的可疑活动,通过 Zeek 的脚本可以实现灵活的分析功能,可是实现多种协议的开相机用的分析。本文主要是将 Zeek 结合被动扫描器的一些实践的介绍,以及 Zeek 部署的踩过的一些坑。安装Zeek 的安装还是比较简单的,笔者主要是在 Mac.转载 2021-10-27 09:28:55 · 3530 阅读 · 1 评论 -
13款入侵检测系统介绍(HIDS)
阅读目录工具列表基于签名的IDS 基于异常的IDS 选择IDS方法1. SolarWinds Security Event Manager(FREE TRIAL) 2. CrowdStrike Falcon(FREE TRIAL) 3. ManageEngine EventLog Analyzer(FREE TRIAL) 4. Snort 5. OSSEC 6. Suricata 7. Zeek 8. Sagan 9. Security Onion 10. ...转载 2021-10-22 14:46:43 · 10005 阅读 · 0 评论 -
恶意软件分析
阅览目录0 初衷 Awesome Hacking系列-恶意代码分析 1 恶意软件分析 1.1 梳理恶意软件分析的工具集合 1.2 相关资源 2 参考回到顶部0 初衷GitHub这一份黑客技能列表很不错,包含了多个方向的安全。但目前我关注只有逆向工程与恶意代码,所以其他的被暂时略过。虽然很感谢作者的辛勤付出,但并不打算复制粘贴全套转载。逐条整理是为了从大量资源里梳理出自己觉得实用性很高的东西。《Awesome-Hacking》https://github.com/转载 2021-10-15 22:28:31 · 1532 阅读 · 0 评论 -
wazuh 集群
基本目的wazhu集群是一组wazuh管理器,它们共同工作以增强服务的可用性和可扩展性。使用wazuh集群设置,只要我们在必要时增加worker节点,就可以大大增加agent的数量。使用集群的原因支持水平扩展与高可用性。水平扩展支持数千个agent同时上报,向集群中增加一个agent也很简单(只需要在配置中增加master的地址)并且可以实现自动化,使用户可以实现自动扩展可用性单节点机器系统可能宕机、或者人为关机、硬件损坏,当机器恢复时,您不知道之前发生的事件。但是在使用集群时,可以...原创 2021-10-14 14:07:35 · 795 阅读 · 0 评论 -
wazuh agent功能详解
wazhu之agent功能详解一、日志数据收集日志数据收集是从服务器或设备生成的记录中收集的实时过程。此组件可以通过文本文件或Windows事件日志接收日志。它还可以通过远程syslog直接接收日志,这对防火墙和其他此类设备非常有用。此过程的目的是识别应用程序或系统程序错误,配置错误,入侵威胁,触发策略或安全问题。Wazuh aegnt 的内存和CPU要求是,因为它的非常低的,主要作用是将事件转发给管理器。但是,在Wazuh管理器上,CPU和内存消耗可能会迅速增加,具体取决于管理器每秒事件数转载 2021-10-11 21:13:41 · 5365 阅读 · 1 评论 -
安全开源项目
收集一些优秀的甲方安全开源项目这是一份开源安全项目清单,收集了一些比较优秀的开源安全项目,以帮助甲方安全从业人员构建企业安全能力。这些开源项目,每一个都在致力于解决一些安全问题。项目收集的思路:一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。另一个是来自企业安全能力建设的需求,根据需求分类,如WAF、HIDS、Git监控等。这个收集是一个长期的过程,我在GitHub创建了一个项目,专门用来收集一些优秀的甲方安全项目。GitHub项目地址:GitHub转载 2021-10-08 13:49:38 · 714 阅读 · 0 评论 -
wazuh-remoted 接收数据进程
接收远端消息处理主函数/* Handle remote connections */void HandleRemote(int uid){ const int position = logr.position; int recv_timeout; //timeout in seconds waiting for a client reply int send_timeout; char * str_protocol = NULL; recv_time原创 2021-10-08 12:00:22 · 2226 阅读 · 0 评论 -
wazuh-logcollector 日志采集进程
logcollector进程主函数int main(int argc, char **argv){ int c; int debug_level = 0; int test_config = 0, run_foreground = 0; /* Set the name */ OS_SetName(ARGV0); // Define current working directory char * home_path = w_homedir(原创 2021-10-07 18:22:04 · 497 阅读 · 0 评论 -
wazuh-analysisd 事件分析进程
wazuh-analysisd 事件分析进程入口函数#ifndef TESTRULE#ifdef WAZUH_UNIT_TESTING__attribute((weak))#endifint main(int argc, char **argv)#else__attribute__((noreturn))int main_analysisd(int argc, char **argv)#endif{ int c = 0, m_queue = 0, test_config原创 2021-10-07 16:08:09 · 522 阅读 · 0 评论 -
wazuh事件环形队列(堆、栈与队列)
分析完成之后的事件存到队列中,入队列函数如下:int queue_push_ex_block(w_queue_t * queue, void * data) { int result; w_mutex_lock(&queue->mutex); while (result = queue_full(queue), result) { w_cond_wait(&queue->available_not_empty, &qu..原创 2021-10-07 15:34:27 · 187 阅读 · 0 评论 -
wazuh 服务端源码分析
进程列表原创 2021-09-30 18:04:40 · 950 阅读 · 0 评论 -
什么是OCSP Stapling
随着人们对网络安全意识的增强,越来越多的网站已实现了HTTPS加密,在安全性方面有了质的飞跃,提升了访问者对网站的信赖,但是当客户端访问OCSP服务器延时较高时,打开链接的速度相对较慢又会让访客流失。怎么办?OCSP Stapling将在很大程度上解决网站设置HTTPS后访问速度变慢的问题。背景首先,我们先了解一下互联网PKI证书的生命周期。对于一个可信任的 CA 机构颁发的有效证书,在证书到期之前,只要 CA 没有将该证书吊销,那么这个证书就是有效可信任的。但是,由于某些特殊原因(比如转载 2021-08-24 10:54:38 · 437 阅读 · 0 评论 -
DDoS和CC攻击的技术原理区别
互联网企业经常会遭到网络攻击,其中最常见的攻击方式就是CC攻击和DDoS攻击这两种,很多互联网企业服务器遭到攻击后接入我们墨者盾防御时会问,什么是CC攻击,什么又是DDoS攻击,这两者攻击原理是什么,两者的区别又是什么?其实清楚它们的攻击原理,也就知道它们的区别了。下边墨者安全首席安全顾问“孤之剑”简单说说这两者的工作原理:CC攻击:CC的前世是一个攻击程序,叫做fatboy,这是黑客为了挑战一款防DDoS设备开发的,它应该算是一个应用层的DDoS,是发生在TCP 3次握手完成之后,它发送的ip转载 2021-08-24 10:31:13 · 187 阅读 · 0 评论 -
wazuh安装
终端终端系统:win10agent:wazuh-agent-4.2.2-1https://packages.wazuh.com/4.x/windows/wazuh-agent-4.2.2-1.msi服务器安装方式:单步安装Step-by-step installation - All-in-one deploymentecho "install necessary packages"yum install curl unzip wget libcap -yrpm --import .原创 2021-09-28 17:12:52 · 1202 阅读 · 0 评论 -
wazuh整体分析
wazuh是什么Wazuh是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规、也就是一套开源的完善的edr。wazuh整体结构Wazuh代理:它安装在端点上,例如笔记本电脑,台式机,服务器,云实例或虚拟机。它提供日志采集、预防、检测和响应功能。支持大多数操作系统 Wazuh服务器:它分析从代理收到的数据,通过解码器和规则对其进行处理,并使用威胁情报来查找众所周知的危害指标(IOC)。一台服务器可以分析来自成百上千个代理的数据,并在设置为集群时水平扩展。该服务器还翻译 2021-09-28 14:55:36 · 1248 阅读 · 0 评论 -
sftp服务器搭建
简介: sftp是Secure File Transfer Protocol的缩写,安全文件传送协议。可以为传输文件提供一种安全的加密方法。sftp与ftp有着几乎一样的语法和功能。SFTP为SSH的一部份,和vsftpd一点关系没有,是一种传输档案至Blogger伺服器的安全方式。本身没有守护进程,是包含在ssh中,端口也是22。配置: 注:本文搭建sftp的系统为CentOS 6.8 以上 sftp服务器有两种搭建方式,下面介绍一下 1、直接在系统上新建一个用户即...原创 2021-07-28 14:00:13 · 1124 阅读 · 0 评论 -
openssl源码分析(三)
int tls1_generate_master_secret(SSL *s, unsigned char *out, unsigned char *p,int len){// 首先检查是否支持扩展的Master Key(简称是EXTMS)。是否支持是EXTMS是由用户决定的,用户在发送Client Hello的时候有一个TLS扩展就叫做extended_master_secret扩展。如果用户发送了这个扩展,后续服务端就都会使用这个扩展定义的方法来生成Master Key。现代的浏览器一般会启转载 2020-11-24 22:56:20 · 1524 阅读 · 0 评论 -
数字证书
数字证书就是网络通讯中标志通讯各方身份信息的一系列数据,其作用类似于现实生活中的身份证。它是由一个权威机构发行的,人们可以在互联网上用它来识别对方的身份。证书的格式遵循ITUTX.509国际标准一个标准的X.509数字证书包含以下一些内容:证书的版本信息;证书的序列号,每个证书都有一个唯一的证书序列号;证书所使用的签名算法;证书的发行机构名称,命名规则一般采用X.500格式;证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;证书所有人的名称转载 2020-10-19 14:58:53 · 855 阅读 · 2 评论 -
数字签名
它用图片通俗易懂地解释了,"数字签名"(digital signature)和"数字证书"(digital certificate)到底是什么。我对这些问题的理解,一直是模模糊糊的,很多细节搞不清楚。读完这篇文章后,发现思路一下子就理清了。为了加深记忆,我把文字和图片都翻译出来了。===================================================转载 2016-04-01 17:02:09 · 458 阅读 · 0 评论 -
openssl 安全套接层协议
http://baike.baidu.com/link?url=21O4yrWycfcoeMH87s5sXS7vWWwOlDgXac5UYsZLz-3n8jAXFXcygLfyDdytdhBeiFQJvz2QqGI148MuFABqpa转载 2015-03-02 11:56:16 · 784 阅读 · 0 评论