Eric.zhong

TLS 1.0 和 1.1 是已弃用的协议，具有广为人知的缺点和漏洞。应在所有接口上启用 TLS 1.2，并在支持的情况下禁用 SSLv3、TL 1.1 和 1.0。强制要求 TLS 1.2 可能会破坏 vSphere 的第三方集成和加载项。在实施 TLS 1.2 后仔细测试这些集成，并在适当时回滚。在 TLS 1.2 破坏所需功能的接口上，在第三方软件支持 TLS 1.2 之前，此发现不适用。

安全部门脆弱性扫描到如下的风险漏洞要求系统上线必须要修复完毕。不过我仔细的看了安全部门返回的报告，它是针对Windows Server 2019远程桌面端口进行风险报告…这是刷存在感了吗？哎，没有办法先做调查确认，然后再去考虑修复。此远程桌面是不对外发布的，但也需要针对此问题进行修复…才叫折磨人…

文章目录技巧一：限制[su -]切换到root权限技巧二：sudo权限管理将所有 root 权限委派给特定用户将所有 root 权限委派给特定用户，但限制部分命令无法被执行将特定权限委派给特定用户组sudo履历记录技巧一：限制[su -]切换到root权限# 有权限账号添加到wheel用户组usermod -G wheel ericzhong# 设置pam认证配置vi /etc/pam.d/su#%PAM-1.0auth required pam_env

文章目录1. 账号与密码加固1.1 禁用或删除无用账号1.2 检查特殊账号1.3 设置密码策略1.4 限制用户su操作2. 服务加固2.1 关闭不必要的服务2.2 SSH服务安全3. 环境加固3.1 PROFILE加固3.2 删除潜在危险文件3.3 设置重要目录或文件权限4. 日志加固4.1 syslogd日志4.2 记录所有用户的登录和操作日志1. 账号与密码加固1.1 禁用或删除无用账号减少系统无用账号，降低安全风险。操作步骤userdel <用户名> //删除不必要的账号。

文章目录证书概述证书区别发行方差异适用场景证书概述SSL证书（SSL Certificates）为网站和移动应用（APP）及小程序提供数据HTTPS加密协议访问，保障数据的安全。装载SSL证书产品后自动激活浏览器中显示“锁”型安全标志，地址栏以“https”开头。当前有几种不同类型的证书，他们分别是DV、OV、EV。简要介绍如下：DV SSL 证书：由于无需人工干预(无需人工做身份验证)，并且无需等待 3-5 天，10分钟就自助颁发而得到证书，因此它的安全性与价格一样都很低。这种SSL证书完全失去了

文章目录问题描述问题分析解决方案问题描述在启动Backup Exec备份软件时，系统直接抛出停止工作错误。检查系统日志反馈如下信息：错误存储段 ，类型 0事件名称: CLR20r3响应: 不可用Cab Id: 0问题签名:P1: BackupExec.exeP2: 16.0.1142.0P3: 57f0f61dP4: mscorlibP5: 4.8.4210.0P6: 5efa676dP7: 113aP8: 61P9: System.Reflection.Ambiguo

文章目录sysmon介绍sysmon 部署Sysmon ViewSysmon Shellsysmon介绍如果是做过应急响应的朋友，对sysmon应该都比较熟悉了，它是一款强大的轻量级监控工具，由Windows Sysinternals官方出品的。sysmon用来监视和记录系统活动，并记录到windows事件日志，可以提供相关进程创建、网络连接和文件创建更改时间等详细信息。不过有许多人都无法很好的运用sysmon，因为它必须要有合适的配置文件避免过多的日志量，它必须要有非常良好的日志分析能力来逐层分析关

文章目录问题描述处理步骤问题描述Jumpserver服务器在重启 / 长时间运行后，它可能会出现一些毛病。我们需要通过一些途径来对各项问题进行筛查。处理步骤服务状态检查# redis高速缓存服务状态systemctl status redissystemctl restart redis# mysql数据库服务状态systemctl status mariadbsystemctl restart mariadb# nginx前端服务状态systemctl status ngi

文章目录问题描述问题解决参考资料问题描述JumpServer会定期对资产列表进行遍历更新，它会更新主机的资产信息，如CPU、MEM、DISK、操作系统等信息。此功能是基于SSH完成的，因此Linux可以直接获取到相应的信息，但Windows无法直接获取信息。那么该如何让Windows也具备相应的信息呢？问题解决OpenSSH组件下载https://github.com/PowerShell/Win32-OpenSSH/releases/latest解压后，将其重命名到 C:\Pro

文章目录操作审计会话审计录像审计指令审计操作审计通过日志审计 > 操作日志可以查看各项配置变更记录会话审计会话管理有在线会话与历史会话。点击页面左侧”会话管理”菜单下的”在线会话”按钮, 进入在线会话列表页面, 默认展示最近7天的记录。历史会话同在线会话包含的信息一样, 都有用户、资产和 IP 地址等信息，它还提供最重要的录像观看。录像审计审计录像可以回放用户操作，可以通过录像对用户的所有操作进行回放审计各项操作。指令审计命令记录里面存放的是用户在资产上执行过哪些命令, 单击

文章目录我的资产我的应用Web终端文件管理我的资产可以通过此界面看到所有JumpServer堡垒机提供给我访问的资产信息，简单的点击即可访问资产。用户不需要记忆账号与密码，这些都已经由堡垒机管理员关联好。我的应用暂时只支持Mysql数据库直接访问与审计，其他应用有待追加。Web终端点击登录可以切换到luna组件并访问资产文件管理堡垒机默认是不可以直接通过SMB、FTP、SCP等方式上传文件，我们必须要通过专用的空间来中继文件。不过当前只能针对SSH协议实施文件管理，Windows 文件上

文章目录系统设置1. 基础设置2. 邮件设置3. 邮件内容设置4. LDAP设置5. 终端设置6. 安全设置7. 许可证用户配置用户、系统用户、管理用户的关系1. 用户账号2. 管理账号3. 系统用户系统设置1. 基础设置Email主题前缀 邮件的标题，比如 [JMS] 收到的邮件会是 [JMS] 创建用户成功。2. 邮件设置SMTP主机 输入你或者你服务商提供的 smtp 服务器, 格式：smtp.sina.comSMTP端口 通常是 25，推荐使用更安全的 465 或者 587SMTP账

文章目录组件介绍组件部署1. 环境要求2. 系统环境更新3. 环境依赖包4. 安装Python、Mysql、Redis、Nginx组件5. Redis设置6. Mysql设置7. Python虚拟环境配置8. JumpServer部署9. Docker部署KOKO组件10. Docker部署Guacamole组件11. Lina组件部署12. Luna组件部署13. Nginx 整合各组件配置14. Jumpserver登录验证组件介绍组件部署1. 环境要求硬件配置: 2个CPU核心, 4G 内

文章目录堡垒机介绍JumpServer介绍JumpServer功能堡垒机介绍由于来源身份不明、越权操作、密码泄露、数据被窃、违规操作等因素都可能会使运营的业务系统面临严重威胁，一旦发生事故，如果不能快速定位事故原因，运维人员往往就会背黑锅。几种常见的运维人员背黑锅场景：1）由于不明身份利用远程运维通道攻击服务器造成业务系统出现异常，但是运维人员无法明确攻击来源，那么领导很生气、后果很严重；2）只有张三能管理的服务器，被李四登录过并且做了违规操作，但是没有证据是李四登录的，那么张三只能背黑锅了；3）

文章目录前言PowerShell命令方法PowerShell常用命令1. 检查服务器最近开关机时间2. 最近登录失败的详细信息常见EventID解释前言我每月都要给各种不同的客户做系统巡检，其中Windows事件日志检查是比较耗时的事情。它会记录许多的信息，特别是针对系统安全方面、系统故障排除方面有重要线索。我们可以通过一些事件关键字与信息，制作各种不同的脚本以便快速筛选过滤日志。一般来说，我们可以通过如下两种方法实现日志过滤：Powershell => Win自带的命令行工具Log Pa

文章目录源码程序概述信息影响范围检测工具解决方案我不是程序猿，写程序只是学习源码程序https://github.com/ericzhong2010/GUI-Check-CVE-2020-0976概述信息Microsoft通过Microsoft Server Message Block 3.1.1（SMBv3）协议处理某些请求的方式意识到了一个远程执行代码漏洞。成功利用此漏洞的攻击者可以...

文章目录NMAP介绍常用命令1. 查询网段内在线主机2. 扫描在线主机的开放服务3. 目标主机详细信息4. NES脚本扫描5. 在局域网上扫找 Conficker 蠕虫病毒7. 邮件安全检查8. 数据库安全检查8. 扫描网段内的SNMP信息9. 扫描网段内的LDAP服务安全检查10. HTTP相关安全检查11. SMB相关安全检查常用端口与渗透风险NMAP介绍Nmap是一款开源免费的网络发现（...

[问题描述]客户反馈服务器事件日志存在大量4105告警，详细内容参考如下：鉴于事件日志会有容量限制，旧数据会被新数据冲掉。大量告警日志将原来可以保存60天的日志缩短为1天不到的时间。这样严重影响客户对问题的分析。[问题分析]4105事件日志有解决方案，简要如下：1.如果许可证服务器安装在域控制器上，则网络服务帐户也必须是“终端服务器许可证服务器”组的成员。2.如果许可证服务器安装在域...

[微软相关]SQLServer 生命周期查询https://support.microsoft.com/en-us/lifecycle/search?alpha=SQL%20ServerSQLServer 版本完整列表https://sqlserverbuilds.blogspot.com/Windows 生命周期查询https://support.microsoft.co...

[问题描述]客户反馈远程管理服务器时，系统提示[由于CredSSP加密Oracle修正问题]告警而无法正常访问服务器。正好客户服务器是跑Oracle数据库…异常紧张的…[问题分析]微软官方 2018 年 5 月更新了凭据安全支持提供程序协议（CredSSP）相关补丁和身份验证请求方式。由于Windows将默认设置，从“易受攻击”更改为“缓解”的更新引起的。当出现以下任一配置策略时都会出现...

[问题描述]2019年5月14日，微软发布CVE-2019-0708应对补丁，但还有许多客户没有防范起来。2019年8月14日，微软又发现新的两个RDP漏洞…CVE-2019-1181与CVE-2019-1182！通过漏洞可以获取服务器系统权限后，可能被远程批量利用，并进行蠕虫病毒传播。[问题分析]CVE-2019-1181、CVE-2019-1182 主要针对的目标范围参考如下：W...

[账户管理加固]禁用Guest账户net user guest /active:no管理员/组重命名wmic useraccount where name='Administrator' call Rename admin[账户策略加固][日志审核][日志属性][服务加固]修改默认3389远程端口reg add "HKEY_LOCAL_MACHINE\S...

【真实案例，信息脱敏】最近不知道怎么，我处理几起勒索病毒、挖坑病毒的案件。典型的两例：1.某客户几乎一夜间所有企业数据都被勒索病毒加密（包括备份数据，企业没有实施离线备份）；客户最终只能通过一些散落的旧备份实施恢复，最终丢失1年左右的数据！※ 期间尝试通过各大安全厂商解密最终无果2.某客户社内忽然大小问题不断，没有规律可循各种莫名其妙的问题，最终通过蜜罐服务发现社内有大量异常扫描，定位...

[网络收集，纯粹自用]Kali Windowshttps://github.com/jiansiting/Kali-Windows#基于windows 10打造的kali工具集.iso，适合于习惯使用windows的安全从业者。