![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
安全
文章平均质量分 64
mzhan017
小张
展开
-
Linux: security: sudo 的一个隐藏问题
如果interface的数量到了2000多个,这个时间就到了2.5秒多的时间来查所有的interface,然后遍历。虽然是通过netlink的方式进行的读取,也是非常的慢。这个命令在执行的时候会读取本地地址列表。是下面这个commit引进来的一个plugin。如果是三四个interface的情况下,sudo的执行都需要100多毫秒的时间。说这个隐藏是根据一般的知识,肯定是想不到它会读取本机的ip地址和mask。所以如果需要的效率比较高,就不能再使用这个sudo来做操作。原创 2024-04-18 08:59:40 · 289 阅读 · 0 评论 -
Linux: network: firewall: firewalld 导致icmp带admin prohibited
最近遇到一个主机主动回icmp,destination unreachable的错误包,而且里面的code是 administratively prohibited。使用netstat命令看,这个主机是有监听1026端口。说明是有管理员配置的iptables的rule给拒绝了这个包。原创 2024-03-20 03:37:00 · 311 阅读 · 0 评论 -
[测试] fuzztest
可以用来做模糊测试的工具,和google test的框架差不了太多。原创 2023-12-06 15:32:54 · 430 阅读 · 0 评论 -
[安全] CIS : The checklist does not match the target platform
这个CIS扫描的时候如果出现这个提示。就说扫描的目标何选择的不一致。后续还遇到sce/root_path.sh。可以通过下面的配置绕过这个检查。好像是在等一个输入。原创 2023-10-16 11:26:53 · 104 阅读 · 0 评论 -
Linux: security: passwd 如何设置空密码;Access denied;Permission denied, please try again.
但是登陆的时候,还是不能空密码登陆,即使在pam_unix里设置 nullok。原创 2023-08-06 10:22:37 · 297 阅读 · 0 评论 -
Linux: Openssl使用
openssl 新版本使用原创 2021-05-17 20:37:50 · 1018 阅读 · 0 评论 -
Openssl, Alert, Fatal, handshake failure 40
openssl 握手失败,fatal failure 40原创 2022-06-24 20:17:35 · 2360 阅读 · 0 评论 -
Openssl
软件升级,原来软件使用的openssl的版本是1.0.1,需要升级到1.1.0;结果编译出现这个错误,这个错误的原因是,在x509.h头文件里定义的X509_EXTENSION, 是一个typedef,typedef struct X509_extension_st X509_EXTENSION; 但是在openssl install的 header 文件中根本就没有X509_extension_st 这个类型,这个类型是创建在一个私有的header文件中:x509_lcl.h, 这个头文件见不会安装到原创 2020-08-13 07:02:01 · 911 阅读 · 0 评论 -
Linux: openssh: ssh登陆慢与 getnameinfo的关系
这个配置的作用是:让sshd根据远端的IP信息做DNS查询,做反向校验。默认值是 “yes”.如果出现这种问题可能会比较迷惑,怎么会出现这种情况呢。从网上看好多这种DNS导致的问题。当sshd的启动配置里有配置: useDNS yes(或者使用默认值,yes)而且在/etc/resolv.conf 里配置几个不通的DNS 服务IP。设置正确的dns服务。模拟出登陆慢的情况。原创 2023-04-27 17:43:05 · 62 阅读 · 0 评论 -
Security: strongswan: non-root 运行; STARTER_ALLOW_NON_ROOT
从strongswan的代码上看需要一个宏定义才能用non-root用户运行;为什么不设置一个 configure的选项呢?原创 2023-04-27 05:21:10 · 92 阅读 · 3 评论 -
openssh的一个commit分析;可能导致的问题是:append标记没有生效?
从描述看,这个commit的主要作用是,将标准输入输出变成非阻塞的模式。原有可能是在做标准的输入输出的时候出现block,影响ssh的处理。这个commit可能导致的问题就是,如果之前文件描述符带有append标记,可能会被写坏,导致append操作失败。但是从代码逻辑看是有些问题。因为代码里的restore比较强势,直接给设置成0。可能导致原有flag的丢失。原创 2023-01-17 17:04:09 · 161 阅读 · 0 评论 -
openssh: 升级版本9.0的一个新功能,当然也有些副作用
默认使用一种混合的密钥交换方法:sntrup761x25519-sha512@openssh.com;通过这种混合的方法来达到更改的安全级别。安全级别越高,代表着算法的复杂度在提高,也就是新算法所带来的CPU的消耗,可能会影响登录的时间。要根据具体的情况选择了。原创 2022-12-21 07:05:53 · 423 阅读 · 0 评论 -
Openssl, Alert, Fatal, unsupported protocol、Protocol Version
(openssl的version是1.1.1q)把server端的version打印出来,把ssl context的 int server_version = s->method->version;s->version 打印出来。当client端发来hello消息,server端回复Alert Fatal Protocol Version;让client和server,使用一致的tls version。原创 2022-11-04 11:14:33 · 682 阅读 · 0 评论 -
Redhat8: openssl 链接错误: EVP_KDF_ctrl version OPENSSL_1_1_1b not defined in file libcrypto.so.1.1
这个问题的原因是,redhat8自己开发了一套函数,会打包在自己的libopenssl rpm包里,有些redhat提供的应用使用到这些函数;所以如果是用redhat提供的openssl 最好不要自己build openssl。在official的openssl源代码里没有这些函数;原创 2021-02-24 16:09:46 · 5079 阅读 · 0 评论 -
RFC4543: Galois Message Authentication Code (GMAC);CONFIG_CRYPTO_GCM
在2010年这个算法被Linux社区加进来:说明算法还是挺重要,普遍使用。之后,就可以看到相应的函数信息;原创 2023-02-20 20:34:53 · 325 阅读 · 0 评论 -
Linux: 会话登录超时的一些改动
https://access.redhat.com/errata/RHBA-2022:8327https://bugzilla.redhat.com/show_bug.cgi?id=2100464https://www.niap-ccevs.org/MMO/PP/-442-/#FMT_SMF_EXT.1.1systemd涉及的改动https://github.com/systemd/systemd/pull/24242https://github.com/redhat-plumbers/systemd原创 2022-12-06 20:02:21 · 478 阅读 · 0 评论 -
Openssl: CPU ECDHE_RSA; RFC 4492
这里有提到,如果使用ECDHE_RSA 来向后兼容处理RSA证书,会比传统的RSA方式消耗的算例要多。这也是合理的,算法更安全了。第二部分. Key Exchange Algorithms of RFC4492.所以遇到CPU的问题的时候,这个也算是一个考虑的地方。原创 2022-11-29 14:30:34 · 243 阅读 · 0 评论 -
Linux:Security: random: RANDOM_TRUST_CPU;random.trust_cpu;entropy;随机熵
文章目录gcc plugin latent entropy,潜在熵gcc plugin latent entropy,潜在熵安全随机商https://lwn.net/Articles/688492/https://grsecurity.net/pipermail/grsecurity/2012-July/001093.htmlhttps://factorable.net/weakkeys12.extended.pdf原创 2022-10-21 16:08:57 · 595 阅读 · 0 评论 -
sshd: Corrupted MAC on input
由于csdn,创作页面的搜索功能限制;搜索的范围只是在标题范围。为了方便个人使用,不得不将每一项具体问题都发布成单篇文章。以便搜索;这一篇也是这个目的;原创 2022-10-13 05:41:41 · 1095 阅读 · 0 评论 -
Linux:scp
scp 错误总结原创 2021-06-10 13:42:13 · 981 阅读 · 0 评论 -
systemd:systemctl 命令错误:The name org.freedesktop.PolicyKit1 was not provided by any .service files
就是在非root用户在调用systemctl命令时,会访问一些root用户的文件,功能,但是返回错误的地方,没有正确显示这个访问权限问题。导致具有迷惑性的信息打印;后续有更改进代码,可用更改这个问题。原创 2022-10-08 19:47:41 · 2759 阅读 · 0 评论 -
Kernel:自己引入的gcc 插件;attribute, randomize_layout & no_randomize_layout
编译用到的种子信息在文件scripts/gcc-plgins/randomize_layout_seed.h。即使“make clean”之后,这个文件依然存在,因为后续的内核模块的编译需要这个文件。当然打开了这个之后,会影响性能,而且会略微增加内存使用。不过益处就是,(除非在内核编译之后,没有清理源文件)阻止类似于Volatility的工具攻击系统。RHEL 没有打开此配置。这一就会增强系统的安全性,需要额外的信息才能解码对应的结构体内存信息。注意需要gcc的版本是4.7 或者以后的版本。原创 2022-10-08 15:22:36 · 336 阅读 · 0 评论 -
Kernel,内核模块签名机制、CONFIG_MODULE_SIG
内核模块签名机制翻译 2022-10-03 16:17:55 · 997 阅读 · 0 评论 -
Linux: ipsec :相关
https://www.cisco.com/c/en/us/support/docs/ip/internet-key-exchange-ike/117258-config-l2l.html,推荐strongswan的原因是维护支持好,文档全面,还开源。内核里关于ipsec的实现里,将ip层的错误返回码给挤掉了,所以上层应用在调用sendto的时候,根本获取不到错误信息。需要注意,即使发送成功,也不代表真正的成功。如果从网上去搜索这个产品,相关的信息(使用,调试,问题等等)非常的少,几乎看不到。原创 2024-03-04 20:10:24 · 73 阅读 · 0 评论 -
Linux: Security: sudoers 语法错误
例如:User_Alias 有别名:MARK,就不建议再创建Cmnd_Alias类型的别名:MARK;每一个EBNF定义都是有多个产生规则组成,(何为产生规则,就是产生信息规则的式子)。有四类别名:User_Alias, Runas_Alias, Host_Alias and Cmnd_Alias。sudoers中,关于命令的说明里,有以下字符需要转义:逗号,冒号,等号和反斜杠。(注意,这里的User_Alias和单引号里的User_Alias的含义不一样)重复定义别名,是一种语法错误。原创 2022-09-29 21:24:06 · 663 阅读 · 0 评论 -
openssl: issue-10463: 对/dev/random的依赖;openswitch-urandom
openssl对/dev/random的依赖原创 2022-09-19 06:42:26 · 237 阅读 · 4 评论 -
[安全]意识-多层防护
安全意识原创 2022-07-05 06:50:43 · 108 阅读 · 0 评论 -
sshd、ssh使用总结: openssh
ssh 使用及问题调试总结;错误类型包含:fatal: Timeout before authentication forno matching key exchangebad configuration optionsssh 莫名的登录不上去send disconnect: Broken pipe原创 2020-12-26 09:16:20 · 588 阅读 · 1 评论 -
Linux:应用由原来的root启动,切换到其他用户启动;runuser
应用程序转非root 用户原创 2022-05-26 20:01:07 · 1585 阅读 · 0 评论 -
Linux: security: Selinux
配置/sys/fs/selinux/Disabled/etc/selinux/configis file controls the state of SELinux on the system.#SELINUX= can take one of these three values:#enforcing - SELinux security policy is enforced.#permissive - SELinux prints warnings instead of enforcing.原创 2021-11-29 21:50:33 · 957 阅读 · 0 评论 -
Redhat8: SCTP: type= 5 errno= <0x5e> Socket type not supported
https://access.redhat.com/solutions/3665951错误0x5e: 94 ESOCKTNOSUPPORT Socket type not supportedenum sock_type {SOCK_STREAM = 1,SOCK_DGRAM = 2,SOCK_RAW = 3,SOCK_RDM = 4,SOCK_SEQPACKET = 5, //// 创建SCTP socketSOCK_DCCP = 6,SOCK_PACKET = 10,};原原创 2022-04-19 22:58:51 · 386 阅读 · 0 评论 -
C: integer overflow,隐式类型转换/整数加法溢出 解决方法示例;check_add_overflow;__builtin_add_overflow
https://git.dpdk.org/dpdk/commit/?id=3ae4beb079ce242240c34376a066bbccd0c0b23ediff --git a/lib/librte_vhost/vhost_user.c b/lib/librte_vhost/vhost_user.cindex 9c891d4..ff5b131 100644--- a/lib/librte_vhost/vhost_user.c+++ b/lib/librte_vhost/vhost_user.c原创 2021-03-19 11:32:15 · 1638 阅读 · 1 评论 -
CWE:通病总结
文章目录网站398686网站https://cwe.mitre.org/data/definitions/686.html398风格问题,如果一个局部变量,可以放在一个更小的区域,而且满足使用,最好是将作用域缩小。但是需要注意不要搞错。检查工具有点时候,检查有问题。[STYLE] (cwe=398, variableScope):The scope of the variable ‘left’ can be reduced., The scope of the variable ‘left’ c原创 2021-12-16 20:00:00 · 4897 阅读 · 0 评论 -
Linux:Libreswan: can‘t offload to because SIOCETHTOOL ETHTOOL_GSSET_INFO failed. Errno 95
文章目录错误原因网卡不支持修改这个值。错误Nov 20 07:09:59 rms13-cfed-a pluto[23560]: ERROR: can't offload to sig1 because SIOCETHTOOL ETHTOOL_GSSET_INFO failed. Errno 95: Operation not supported#define EOPNOTSUPP 95 /* Operation not supported on transport endpoint */根据这个错原创 2021-11-23 10:53:08 · 842 阅读 · 0 评论 -
openssl: 错误SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED
文章目录错误envoyAWS总结的可能原因错误2021-11-15 03:35:51.692][359][debug][connection] [source/extensions/transport_sockets/tls/ssl_socket.cc:225] [C8] TLS error: 268435581:SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED[2021-11-15 03:35:51.692][359][debug][co原创 2021-11-15 18:30:00 · 11039 阅读 · 0 评论 -
安全:协议模糊测试
文章目录说明工具需要的能力说明属于通信/网络协议健壮性测试范畴。目标是测试对象对于异常数据包的处理能力是否够健壮。工具新思科技:Defensics Fuzz Testinghttps://www.synopsys.com/content/dam/synopsys/sig-assets/datasheets/ds-defensics-fuzztesting.pdfhttps://www.synopsys.com/software-integrity/security-testing/fuzz-te原创 2021-06-18 05:20:49 · 944 阅读 · 0 评论