基础安全
文章平均质量分 89
介绍运维安全问题、安全基线、修复方案等
煜铭2011
随笔记录
展开
-
hids Elastic Security 系列2-部署和运维
Elastic Security安全是在 Elastic Stack 上构建对所有人的统一保护。Elastic Security 使分析人员能够预防,检测和响应威胁。 这个免费开放的解决方案可提供 SIEM,端点安全,威胁搜寻,云监视等功能。原创 2023-02-04 14:15:00 · 1019 阅读 · 1 评论 -
hids wazuh 系列5-常规代理检测规则
传统的入侵检测,主要分为网络入侵检测系统和主机入侵检测系统,分别作用于网络层面和主机(服务器、办公电脑等终端)。随着技术发展,出现了结合传统入侵检测系统和新技术(如数据分析、威胁情报、自动化操作、主动响应等)的新产品,这类新产品可能的名称是XDR、EDR、EPP等。Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。原创 2023-01-29 23:15:00 · 746 阅读 · 0 评论 -
hids wazuh 系列4-反弹shell规则
传统的入侵检测,主要分为网络入侵检测系统和主机入侵检测系统,分别作用于网络层面和主机(服务器、办公电脑等终端)。随着技术发展,出现了结合传统入侵检测系统和新技术(如数据分析、威胁情报、自动化操作、主动响应等)的新产品,这类新产品可能的名称是XDR、EDR、EPP等。Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。原创 2023-01-19 21:45:00 · 2081 阅读 · 1 评论 -
hids Elastic Security 系列1-Elastic Security介绍
Elastic Security安全是在 Elastic Stack 上构建对所有人的统一保护。Elastic Security 使分析人员能够预防,检测和响应威胁。 这个免费开放的解决方案可提供 SIEM,端点安全,威胁搜寻,云监视等功能。Elastic Security 将 SIEM 威胁检测功能与端点预防和响应功能结合在一个解决方案中。这些分析和保护功能,利用 Elasticsearch 的速度和可扩展性,使分析师能够在损害和损失发生之前保护他们的组织免受威胁。原创 2023-01-19 22:30:00 · 2041 阅读 · 0 评论 -
hids wazuh 系列3-内网扫描规则
传统的入侵检测,主要分为网络入侵检测系统和主机入侵检测系统,分别作用于网络层面和主机(服务器、办公电脑等终端)。随着技术发展,出现了结合传统入侵检测系统和新技术(如数据分析、威胁情报、自动化操作、主动响应等)的新产品,这类新产品可能的名称是XDR、EDR、EPP等。Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。原创 2023-01-18 22:00:00 · 1346 阅读 · 0 评论 -
hids wazuh 系列1-安全运营
Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。提供配置评估、扩展检测和响应、文件完整性监控、漏洞检测、威胁情报、日志数据分析、恶意软件检测、审计与合规、态势管理、工作负载保护、容器安全等安全解决方案,此外可以与许多外部服务和工具集成。如VirusTotal,YARA,Amazon Macie,Slack和FortiGate。原创 2022-09-17 08:30:00 · 693 阅读 · 0 评论 -
hids wazuh 系列2- 规则管理
Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,本文重点描述了wazuh规则,自定义规则,实现wazuh检测端口扫描、存在主机扫描的恶意内网行为的目标原创 2022-09-16 22:30:00 · 769 阅读 · 0 评论 -
CentOS7 磁盘重新调整分配
CentOS7 磁盘重新调整分配。原创 2022-09-17 11:01:08 · 8058 阅读 · 1 评论 -
Linux 服务器 Firewalld 防火墙配置端口转发
业务应用系统的web容器无法更改IP地址,例如临时SSH端口,但是不想修改SSH配置;例如某些服务web服务需要通过公共IP进行统一访问;例如外网访问内网资源等;例如快速调整web容器的端口而不需要更改服务的任何配置等。.........原创 2022-08-07 16:00:00 · 7014 阅读 · 0 评论 -
centos 7 升级内核版本
由于centos 7在某些情况下需要使用新内核支持某些应用或者修复安全补丁。原创 2022-08-06 12:00:00 · 2530 阅读 · 0 评论 -
如何强制删除需要卸载密码的软件
0x00 背景 现在的互联网安全监管趋严,存在不少案例是某某软件需要卸载密码,但是电脑使用者并不知道这个密码,但他有需要需要卸载电脑的某某软件,但该软件需要密码才能进行卸载。例如离职员工安装了前东家的安全软件,但离职时未卸载。 此外,使用普通的软件管理工具无法卸载,如360的软件管家、腾讯的软件管家、软媒魔方的软件管理,电脑本身的程序卸载等。0x01 删除思路...............原创 2019-09-04 08:40:42 · 102990 阅读 · 3 评论 -
云安全基线
云安全基线参考实践转载 2022-05-09 22:00:00 · 1712 阅读 · 0 评论 -
docker和docker-compose命令学习
docker 和docker-compose安装使用记录原创 2022-04-30 15:45:00 · 2922 阅读 · 0 评论 -
Linux增加swap虚拟内存
在我们管理的机器中,适当增加虚拟交换内存swap,可以一定程度提供机器的性能,尤其是机器(新建机器、新购买的云主机ECS)缺乏交换内存。原创 2022-04-23 20:45:00 · 4369 阅读 · 0 评论 -
搭建syslog日志服务器
为了方便日志监控并防止日志被篡改,通常工作环境中会使用rsyslog架设日服务器用于存放其它服务器的日志。rsyslog支持日志的远程发送和接收。原创 2022-04-23 15:45:00 · 30764 阅读 · 0 评论 -
elk日志分析搭建使用记录(五)
0x00 介绍1.elk背景介绍Elasticsearch 是一个非常强大的搜索引擎。它目前被广泛地使用于各个 IT 公司。Elasticsearch 是由 Elastic 公司创建。它的代码位于 GitHub - elastic/elasticsearch: Free and Open, Distributed, RESTful Search Engine。目前,Elasticsearch 是一个免费及开放(free and open)的项目。同时,Elastic 公司也拥有 Logstash原创 2022-04-17 17:00:00 · 1726 阅读 · 0 评论 -
elk日志分析搭建使用记录(四)
0x00 介绍1.elk背景介绍Elasticsearch 是一个非常强大的搜索引擎。它目前被广泛地使用于各个 IT 公司。Elasticsearch 是由 Elastic 公司创建。它的代码位于 GitHub - elastic/elasticsearch: Free and Open, Distributed, RESTful Search Engine。目前,Elasticsearch 是一个免费及开放(free and open)的项目。同时,Elastic 公司也拥有 Logstash原创 2022-04-17 15:45:00 · 2924 阅读 · 0 评论 -
elk日志分析搭建使用记录(三)
0x00 介绍1.elk背景介绍Elasticsearch 是一个非常强大的搜索引擎。它目前被广泛地使用于各个 IT 公司。Elasticsearch 是由 Elastic 公司创建。它的代码位于 GitHub - elastic/elasticsearch: Free and Open, Distributed, RESTful Search Engine。目前,Elasticsearch 是一个免费及开放(free and open)的项目。同时,Elastic 公司也拥有 Logstas.原创 2022-04-17 12:45:00 · 5491 阅读 · 0 评论 -
elk日志分析搭建使用记录(二)
Elasticsearch 是一个非常强大的搜索引擎。它目前被广泛地使用于各个 IT 公司。Elasticsearch 是由 Elastic 公司创建。它的代码位于 GitHub - elastic/elasticsearch: Free and Open, Distributed, RESTful Search Engine。目前,Elasticsearch 是一个免费及开放(free and open)的项目。原创 2022-04-16 20:15:00 · 5677 阅读 · 0 评论 -
elk日志分析搭建使用记录(一)
Elasticsearch 是一个非常强大的搜索引擎。它目前被广泛地使用于各个 IT 公司。Elasticsearch 是由 Elastic 公司创建。它的代码位于 GitHub - elastic/elasticsearch: Free and Open, Distributed, RESTful Search Engine。目前,Elasticsearch 是一个免费及开放(free and open)的项目。原创 2022-04-16 15:15:00 · 6016 阅读 · 0 评论 -
值得推荐的威胁情报平台--2022.3更新
威胁情报是指:基于一定知识的证据,已经存在或正在形成的潜在威胁,比如,上下文、机制、指标、意义以及可实施的建议,利用这些,可以帮助当事人形成应对这些危险的决策。原创 2020-02-27 10:00:27 · 32941 阅读 · 0 评论 -
邮件安全风险评估方案
网络安全意识风险评估是测试员工信息安全意识的最有效评估手段。通过实战实训实践,让员工进行体验式、参与式、实战性的网络安全场景,从而得出公司内部员工整体的信息安全意识水平。原创 2022-04-08 17:41:34 · 1567 阅读 · 0 评论 -
xhydra使用介绍说明
THC-HYDRA是一个支持多种网络服务的非常快速的网络登陆工具。这个工具是一个验证性质的工具,它被设计的主要目的是为研究人员和安全从业人员展示远程获取一个系统的认证权限是比较容易的!并且支持多种协议和服务:asterisk cisco cisco-enable cvs firebird ftp ftps http[s]-{head|get} http[s]-{ge...原创 2020-02-18 15:05:59 · 18794 阅读 · 4 评论 -
Splunk使用记录-安全日志聚合分析
Splunk是一个功能强大的机器数据分析平台,包括机器数据的收集、索引、搜索、监控、可视化和告警等此处我们将splunk 用于网络安全的SIEM/SOC、日志安全审计系统等。原创 2022-04-02 18:13:10 · 8172 阅读 · 0 评论 -
镜像安全扫描建设指南-用户篇
0x01 背景介绍使用开源软件作为开发过程的一部分有很多好处,其中包括但不限于:避免重复工作、提高研发效率、成熟稳定、成本较低、加快产品上市时间等。若开源软件存有安全漏洞、恶意代码、病毒等安全问题,将造成业务系统被入侵导致数据泄露,从而影响公司业务开展。故着眼于从根源上发现安全问题,注重开源软件的安全管理,降低安全风险。 0x02 查询镜像漏洞在这里我们选择harbor作为容器镜像的管理平台,使用集成的Trivy进行漏洞检测。a.选择项目选择正在使用的tagb.查..原创 2022-04-05 16:00:00 · 2027 阅读 · 0 评论 -
Github代码安全监控
0x00背景 Github 类的代码平台是个研发和安全人员的大宝库,阿里云效平台的代码权限事件历历在目,密码泄露到公开代码平台的事件层出不穷,为企业内外部的各种源代码管理系统(gitlab\stash\github\gitee)做好合理配置是新生事物。开发各种 github 敏感信息监控工具均属于事后管理,做好安全配置和培养员工良好的习惯才是安全管理的重中之重。Unit 42研究人员(以下简称我们)使用eth0izzle开发的shhgit来近实时读取GitHub事件,研究人员发现了一些潜在的敏感数据..原创 2020-06-19 19:54:36 · 5042 阅读 · 0 评论 -
Suricata入侵检测系统的搭建
0x01、安装CentOS1 基于CentOS-6.8-x86_64-bin-DVD1.iso,安装时选择desktop, customiz now,databases-->>mysql*, 进行安装mysql, 这里我们要配置可以访问外网。尽量选择多的开发包,不要选择最小化安装,因为那样的话,系统会缺失很多依赖包的,在后期编译的时候会出现很多问题的。毕竟现在硬盘和内存都很大了,不必节省那么点空间原创 2016-11-20 23:11:01 · 8611 阅读 · 3 评论 -
云平台常见风险
0x00 前言 云技术(Cloud technology)基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后...原创 2018-12-05 19:27:31 · 4823 阅读 · 0 评论 -
HFish 配置supervisor定时监控
0x00背景HFish是一款基于Golang开发的跨平台多功能主动诱导型开源蜜罐框架系统,为了企业安全防护做出了精心的打造,全程记录黑客攻击手段,实现防护自主化。多功能不仅仅支持HTTP(S)蜜罐,还支持SSH**、SFTP、Redis、Mysql、FTP、Telnet、暗网** 等 扩展性提供API接口,使用者可以随意扩展蜜罐模块 (WEB**、PC、APP** ) 便捷性使用Golang+SQLite开发,使用者可以在Win+Mac+Linux上...原创 2020-12-30 18:13:18 · 2941 阅读 · 0 评论 -
容器安全03:NIST.SP.800-190容器安全指南
0x00背景计算机系统技术报告美国国家标准技术研究院(NIST) 的信息技术实验室(ITL) 通过为美国的测量和标准基础设施提供技术指导, 促进了美国经济和公共福利的发展。 ITL 开发测试、 测试方法、参考数据、 概念验证、 以及技术分析, 促进信息技术的开发和生产使用。 ITL 的职责包括制定管理、 行政、 技术和物理标准以及指南, 以经济有效地保护联邦信息系统中除国家安全相关信息以外的...原创 2019-11-06 11:49:05 · 1490 阅读 · 0 评论 -
容器安全02:Docker体系安全总结
0x00背景 本文主要以思维导图的方式展示docker安全问题,它让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,这有点像java的jar文件直接运行在java平台,但是其中安全隐患,你知道多少?0x01 Docker自身安全问题0x02 给安全防御体系带来的挑战0x03 安全防御体系的应对...原创 2019-03-08 21:32:20 · 704 阅读 · 0 评论 -
容器安全01:docker漏洞扫描
0x00背景 镜像是容器的最基础的载体,docker作为最流行的容器runtime,其最大的贡献就是把镜像作为容器应用的标准交付方式,镜像包含了容器运行的所有基础文件,可以说镜像的安全就决定了容器安全。 但现实不乐观,在docker官方镜像中有超过30%的镜像有高危漏洞,平均每一个镜像有127个中危漏洞,几乎没有镜像没有漏洞。镜像在构建过程中会安装依赖组件,这些组件存在大量漏洞,而这仅仅是基础运行环境的软件漏洞。对于镜像的安全控制可以在三个地方:1、构建时,在使用持续集成平台自动...原创 2020-06-19 19:21:47 · 3317 阅读 · 0 评论 -
resin安全配置参考
0x01 账号口令1 设置控制台口令配置说明 加固 resin 控制台,设置复杂的口令1 、参考配置操作(1) 如果不需要使用 resin-admin,建议删除 resin_home/doc/admin 文件夹(2) 在 admin-users.xml 中为用户设置复杂的密码编辑 resin_home/conf/admin-users.xml,进行用户密码设置,原创 2017-01-14 17:11:12 · 2415 阅读 · 0 评论 -
apache安全配置参考
0X01 账号要求内容:以专门的非root用户账号和组运行Apache。操作指南: 根据需要为Apache创建用户、组。参考配置操作:修改httpd.conf配置文件,添加如下语句:User apache Group apachegroup其中apache、apachegroup分别是为Apache创建的用户和组。检测方法:1. 检查httpd.conf配置原创 2016-12-08 19:11:10 · 1567 阅读 · 0 评论 -
Nginx安全配置参考
0X01 日志审计① 参考配置操作(1)编辑 nginx.conf 配置文件将 error_log 前的“#”去掉,记录错误日志将 access_log 前的“#”去掉,记录访问日志(2)设置 access_log,修改配置文件如下:log_format formatname '$remote_addr - $remote_user [$time_local] '' "原创 2016-12-19 20:27:45 · 4500 阅读 · 3 评论 -
jboss安全配置参考
0x01 账号口令1 jmx-console 默认情况访问 http://ip:port/jmx-console 需要输入用户名和密码。设置用户名密码限制账号,并进行加密存储。jboss 6.0 之前的版本 JMX 控制台的配置文件位置为:server/$config/deploy/jmx-console.war/WEB-INF/,jboss 6.0 及以上、7.0 以前的版本原创 2016-11-07 19:15:04 · 3615 阅读 · 0 评论 -
WebSphere安全配置参考
0x01账号安全1 应用用户角色管理① 建议配置以管理员身份打开管理控制台,执行:(1) 点击“应用程序”-->“企业应用程序”双击要查看的应用程序(2) 点击“其它属性”中的“映射安全性角色到用户/组”与开发人员确认协商,修改安全角色映射,保证“每个用户“、“所有已认证户”、“已映射的用户”、“已映射的组”进行安全的角色映射,没有赋予不必要的权限② 备注事项以管...原创 2016-12-07 19:22:25 · 5802 阅读 · 1 评论 -
tomcat安全配置参考
0x01 基本配置1 删除默认目录 安装完tomcat后,删除$CATALINA_HOME/webapps下默认的所有目录文件 rm -rf /srv/apache-tomcat/webapps/*2 隐藏tomcat版本信息修改$CATALINA_HOME/conf/server.xml,在Connector节点添加server字段,示例如下<...原创 2016-10-15 10:21:52 · 5937 阅读 · 0 评论 -
nginx的一些安全配置笔记
0x00 测试环境操作系统:debian 6 32位Web服务器:nginx/1.6.2Php版本:Php5.4.260x01 Nginx介绍nginx本身不能处理PHP,它只是个web服务器,当接收到请求后,如果是php请求,则发给php解释器处理,并把结果返回给客户端。nginx一般是把请求发fastcgi管理进程处理,fastcgi管理进程选择cgi子进程处理结果并返回被ng...原创 2016-05-31 09:15:26 · 6747 阅读 · 0 评论 -
Hadoop安全配置参考
0x00 Hadoop简介:Hadoop是一个由Apache基金会所开发的一个开源 高可靠 可扩展的分布式计算框架。Hadoop的框架最核心的设计就是:HDFS和MapReduce。HDFS为海量的数据提供了存储,MapReduce则为海量的数据提供了计算。HDFS是Google File System(GFS)的开源实现。MapReduce是一种编程模型,用于大规模数据集(大于1...原创 2018-08-27 21:58:13 · 2648 阅读 · 0 评论