50: 加密与解密 、 AIDE入侵检测系统 、 扫描与抓包 、 总结和答疑
NSD SECURITY DAY04
- 案例1:加密与解密应用
- 案例2:使用AIDE做入侵检测
- 案例3:扫描与抓包分析
1 案例1:加密与解密应用
1.1 问题
本案例要求采用gpg工具实现加/解密及软件签名等功能,分别完成以下任务:
- 检查文件的MD5校验和
- 使用GPG实现文件机密性保护,加密和解密操作
- 使用GPG的签名机制,验证数据的来源正确性
1.2 方案
加密算法主要有以下几种分类:
1.为确保数据机密性算法:
a) 对称加密算法(AES,DES)
b) 非对称加密算法(RSA,DSA)
2.为确保数据完整性算法:
a) 信息摘要(MD5,SHA256,SHA512)
1.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:检查文件的MD5校验和
1) 查看文件改动前的校验和,复制为新文件其校验和不变
[root@proxy ~]# vim file1.txt #新建一个文件,内容如下 abcdef 123456779 [root@proxy ~]# cp file1.txt file2.txt #拷贝文件 [root@proxy ~]# cp file1.txt file3.txt [root@proxy ~]# md5sum file?.txt #文件内容一致,则校验和也不变 b92aa0f8aa5d5af5a47c6896283f3536 file1.txt b92aa0f8aa5d5af5a47c6896283f3536 file2.txt b92aa0f8aa5d5af5a47c6896283f3536 file3.txt
2) 对文件内容稍作改动,再次检查校验和,会发现校验和已大不相同
[root@proxy ~]# echo "x" >> file1.txt [root@proxy ~]# md5sum file?.txt 6be3efe71d8b4b1ed34ac45f4edd2ba7 file1.txt b92aa0f8aa5d5af5a47c6896283f3536 file2.txt b92aa0f8aa5d5af5a47c6896283f3536 file3.txt
步骤二:使用GPG对称加密方式保护文件
GnuPG是非常流行的加密软件,支持所有常见加密算法,并且开源免费使用。
1)确保已经安装了相关软件
[root@proxy ~]# yum -y install gnupg2 #安装软件 [root@proxy ~]# gpg --version #查看版本 gpg (GnuPG) 2.0.22
2) gpg使用对称加密算法加密数据的操作
执行下列操作:
[root@proxy ~]# gpg -c file2.txt .. ..
根据提示依次输入两次密码即可。如果是在GNOME桌面环境,设置密码的交互界面会是弹出的窗口程序,如图-1所示:
图-1
如果是在tty终端执行的上述加密操作,则提示界面也是文本方式的,如图-2所示。
图-2
根据提示输入两次口令,加密后的文件(自动添加后缀 .gpg)就生成了,传递过程中只要发送加密的文件(比如 file2.txt.gpg)就可以了。
[root@proxy ~]# cat file2.txt.gpg #查看加密数据为乱码
3)使用gpg对加密文件进行解密操作
收到加密的文件后,必须进行解密才能查看其内容。
[root@proxy ~]# gpg -d file2.txt.gpg > file2.txt #解密后保存 gpg: 3DES 加密过的数据 .. .. #根据提示输入正确密码
[root@proxy ~]# cat file2.txt #查看解密后的文件
abcdef
123456779
步骤三:使用GPG非对称加密方式保护文件
非对称加密/解密文件时,UserA(192.168.2.5主机)生成私钥与公钥,并把公钥发送给UserB(192.168.2.100主机),UserB使用公钥加密数据,并把加密后的数据传给UserA,UserA最后使用自己的私钥解密数据。
流程如图-3所示。
图-3
实现过程如下所述。
1)接收方UserA创建自己的公钥、私钥对(在192.168.2.5操作)
[root@proxy ~]# gpg --gen-key #创建密钥对 … … 请选择您要使用的密钥种类: (1) RSA and RSA (default) #默认算法为RSA (2) DSA and Elgamal (3) DSA (仅用于签名) (4) RSA (仅用于签名) 您的选择? #直接回车默认(1) RSA 密钥长度应在 1024 位与 4096 位之间。 您想要用多大的密钥尺寸?(2048) #接受默认2048位 您所要求的密钥尺寸是 2048 位 请设定这把密钥的有效期限。 0 = 密钥永不过期 <n> = 密钥在 n 天后过期 <n>w = 密钥在 n 周后过期 <n>m = 密钥在 n 月后过期 <n>y = 密钥在 n 年后过期 密钥的有效期限是?(0) #接受默认永不过期 密钥永远不会过期 以上正确吗?(y/n)y #输入y确认
真实姓名:UserA
电子邮件地址:UserA@tarena.com
注释:UserA
您选定了这个用户标识: #姓名、邮箱、注释可以任意,推荐与案例保持一致
“UserA (UserA) <UserA@tarena.com>”
更改姓名(N)、注释©、电子邮件地址(E)或确定(O)/退出(Q)?O #输入大写O确认
您需要一个密码来保护您的私钥。
我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动
鼠标、读写硬盘之类的),这会让随机数字发生器有更好的机会获得足够的熵数。
注意:生成密钥后当前终端可能会变的无法使用,执行reset命令即可,或者关闭后再开一个终端。
2)UserA导出自己的公钥文件(在192.168.2.5操作)
用户的公钥、私钥信息分别保存在pubring.gpg和secring.gpg文件内:
[root@proxy ~]# gpg --list-keys #查看密钥 /root/.gnupg/pubring.gpg
pub 2048R/421C9354 2037-08-16
uid UserA (User A) <UserA@tarena.com>
sub 2048R/9FA3AD25 2037-08-16
使用gpg命令结合--export选项将其中的公钥文本导出:
[root@proxy ~]# gpg -a --export UserA > UserA.pub #导出密钥(文件名任意) #--export的作用是导出密钥,导出名称为UserA的密钥 #-a的作用是导出的密钥存储为ASCII格式 [root@proxy ~]# scp UserA.pub 192.168.2.100:/tmp/ #UserA将密钥传给UserB
3)UserB导入接收的公钥信息(在192.168.2.100操作)
使用gpg命令结合--import选项导入公钥信息,以便在加密文件时指定对应的公钥。
[root@web1 ~]# gpg --import /tmp/UserA.pub #导入密钥 gpg: 密钥 421C9354:公钥“UserA (UserA) <UserA@tarena.com>”已导入 gpg: 合计被处理的数量:1 gpg: 已导入:1 (RSA: 1)
注意:常见错误。
#很多同学做到这里,会出现如下错误提示: gpg: key 39BD9CAE was created 311549447 seconds in the future (time warp or clock problem) gpg: 密钥 39BD9CAE 是在 311549335 秒后的未来生成的(可能是因为时空扭曲或时钟的问题) 英语词汇:time(时间),warp(扭曲),clock(时钟),problem(问题) 不管是上面的英文报错,还是下面的中文报错,都是因为两台主机的时间不一致导致的,需要修改计算机的时间。
4) UserB使用公钥加密数据,把加密后的数据传给UserA(在192.168.2.100操作)
[root@web1 ~]# echo "I love you ." > love.txt [root@web1 ~]# gpg -e -r UserA love.txt #加密数据 无论如何还是使用这把密钥吗?(y/N)y #确认使用此密钥加密文件 #-e选项是使用密钥加密数据 #-r选项后面跟的是密钥,说明使用哪个密钥对文件加密 [root@web1 ~]# scp love.txt.gpg 192.168.2.5:/root #加密的数据传给UserA
4)UserA以自己的私钥解密文件(在192.168.2.5操作)
[root@proxy ~]# gpg -d love.txt.gpg > love.txt #解密数据 您需要输入密码,才能解开这个用户的私钥:“UserA (UserA) <UserA@tarena.com>” 2048 位的 RSA 密钥,钥匙号 9FA3AD25,建立于 2037-08-16 (主钥匙号 421C9354) gpg: 由 2048 位的 RSA 密钥加密,钥匙号为 9FA3AD25、生成于 2037-08-16“UserA (UserA) <UserA@tarena.com>” [root@proxy ~]# cat love.txt #获得解密后的文件内容 I love you.
步骤四:使用GPG的签名机制,检查数据来源的正确性
使用私钥签名的文件,是可以使用对应的公钥验证签名的,只要验证成功,则说明这个文件一定是出自对应的私钥签名,除非私钥被盗,否则一定能证明这个文件来自于某个人!
1)在proxy(192.168.2.5)上,UserA为软件包创建分离式签名
将软件包、签名文件、公钥文件一起发布给其他用户下载。
[root@proxy ~]# tar zcf log.tar /var/log #建立测试软件包 [root@proxy ~]# gpg -b log.tar #创建分离式数字签名 [root@proxy ~]# ls -lh log.tar* -rw-rw-r--. 1 root root 170 8月 17 21:18 log.tar -rw-rw-r--. 1 root root 287 8月 17 21:22 log.tar.sig [root@proxy ~]# scp log.tar* 192.168.2.100:/root #将文件与签名传给UserB
2)在192.168.2.100上验证签名
[root@web1 ~]# gpg --verify log.tar.sig log.tar gpg:于2037年06月07日 星期六 23时23分23秒 CST 创建的签名,使用 RSA,钥匙号 421C9354 gpg: 完好的签名,来自于“UserA (UserA) <UserA@tarena.com>”
2 案例2:使用AIDE做入侵检测
2.1 问题
本案例要求熟悉Linux主机环境下的常用安全工具,完成以下任务操作:
- 安装aide软件
- 执行初始化校验操作,生成校验数据库文件
- 备份数据库文件到安全的地方
- 使用数据库执行入侵检测操作
2.2 方案
Aide通过检查数据文件的权限、时间、大小、哈希值等,校验数据的完整性。
使用Aide需要在数据没有被破坏前,对数据完成初始化校验,生成校验数据库文件,在被攻击后,可以使用数据库文件,快速定位被人篡改的文件。
2.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:部署AIDE入侵检测系统
1)安装软件包
[root@proxy ~]# yum -y install aide
2) 修改配置文件
确定对哪些数据进行校验,如何校验数据
[root@proxy ~]# vim /etc/aide.conf @@define DBDIR /var/lib/aide #数据库目录 @@define LOGDIR /var/log/aide #日志目录 database_out=file:@@{DBDIR}/aide.db.new.gz #数据库文件名 #一下内容为可以检查的项目(权限,用户,组,大小,哈希值等) #p: permissions #i: inode: #n: number of links #u: user #g: group #s: size #md5: md5 checksum #sha1: sha1 checksum #sha256: sha256 checksum DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha256 #以下内容设置需要对哪些数据进行入侵校验检查 #注意:为了校验的效率,这里将所有默认的校验目录与文件都注释 #仅保留/opt目录,其他目录都注释掉 /opt DATAONLY #/boot NORMAL #对哪些目录进行什么校验 #/bin NORMAL #/sbin NORMAL #/lib NORMAL #/lib64 NORMAL #/opt NORMAL #/usr NORMAL #!/usr/src #使用[!],设置不校验的目录 #!/usr/tmp
步骤二:初始化数据库,入侵后检测
1)入侵前对数据进行校验,生成初始化数据库
[root@proxy ~]# aide --init AIDE, version 0.15.1 AIDE database at /var/lib/aide/aide.db.new.gz initialized. #生成校验数据库,数据保存在/var/lib/aide/aide.db.new.gz
2)备份数据库,将数据库文件拷贝到U盘(非必须的操作)
[root@proxy ~]# cp /var/lib/aide/aide.db.new.gz /media/
3)入侵后检测
[root@proxy ~]# cd /var/lib/aide/ [root@proxy ~]# mv aide.db.new.gz aide.db.gz [root@proxy ~]# aide --check #检查哪些数据发生了变化
3 案例3:扫描与抓包分析
3.1 问题
本案例要求熟悉Linux主机环境下的常用安全工具,完成以下任务操作:
- 使用NMAP扫描来获取指定主机/网段的相关信息
- 使用tcpdump分析FTP访问中的明文交换信息
3.2 步骤
实现此案例需要按照如下步骤进行。
步骤一:使用NMAP扫描来获取指定主机/网段的相关信息
1)安装软件
[root@proxy ~]# yum -y install nmap #基本用法: # nmap [扫描类型] [选项] <扫描目标 ...> #常用的扫描类型 # -sS,TCP SYN扫描(半开) # -sT,TCP 连接扫描(全开) # -sU,UDP扫描 # -sP,ICMP扫描 # -A,目标系统全面分析
2)检查192.168.2.100主机是否可以ping通
[root@proxy ~]# nmap -sP 192.168.2.100 Starting Nmap 6.40 ( http://nmap.org ) at 2028-06-06 21:59 CST mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers Nmap scan report for host3 (192.168.2.100) Host is up (0.00036s latency). MAC Address: 52:54:00:71:07:76 (QEMU Virtual NIC) Nmap done: 1 IP address (1 host up) scanned in 0.02 seconds
使用-n选项可以不执行DNS解析
[root@proxy ~]# nmap -n -sP 192.168.2.100 Starting Nmap 6.40 ( http://nmap.org ) at 2028-06-06 22:00 CST Nmap scan report for 192.168.2.100 Host is up (0.00046s latency). MAC Address: 52:54:00:71:07:76 (QEMU Virtual NIC) Nmap done: 1 IP address (1 host up) scanned in 0.03 seconds
3)检查192.168.2.0/24网段内哪些主机可以ping通
[root@proxy ~]# nmap -n -sP 192.168.2.0/24 Starting Nmap 5.51 ( http://nmap.org ) at 2027-05-17 18:01 CST Nmap scan report for 192.168.2.1 Host is up. Nmap scan report for 192.168.2.7 Host is up. Nmap scan report for 192.168.2.120 Host is up (0.00027s latency). MAC Address: 00:0C:29:74:BE:21 (VMware) Nmap scan report for 192.168.2.110 Host is up (0.00016s latency). MAC Address: 00:50:56:C0:00:01 (VMware) Nmap scan report for 192.168.2.120 Host is up (0.00046s latency). MAC Address: 00:0C:29:DB:84:46 (VMware) Nmap done: 256 IP addresses (5 hosts up) scanned in 3.57 seconds
4)检查目标主机所开启的TCP服务
[root@proxy ~]# nmap -sT 192.168.2.100 Starting Nmap 5.51 ( http://nmap.org ) at 2028-05-17 17:55 CST Nmap scan report for 192.168.2.100 Host is up (0.00028s latency). Not shown: 990 closed ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 25/tcp open smtp 80/tcp open http 110/tcp open pop3 111/tcp open rpcbind 143/tcp open imap 443/tcp open https 993/tcp open imaps 995/tcp open pop3s MAC Address: 00:0C:29:74:BE:21 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 1.31 seconds
5)检查192.168.2.0/24网段内哪些主机开启了FTP、SSH服务
[root@proxy ~]# nmap -p 21-22 192.168.2.0/24 Starting Nmap 5.51 ( http://nmap.org ) at 2027-05-17 18:00 CST Nmap scan report for 192.168.2.1 Host is up (0.000025s latency). PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh
Nmap scan report for 192.168.2.7
Host is up.
PORT STATE SERVICE
21/tcp filtered ftp
22/tcp filtered ssh
Nmap scan report for 192.168.2.120
Host is up (0.00052s latency).
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
MAC Address: 00:0C:29:74:BE:21 (VMware)
Nmap scan report for pc110.tarena.com (192.168.2.110)
Host is up (0.00038s latency).
PORT STATE SERVICE
21/tcp closed ftp
22/tcp closed ssh
MAC Address: 00:50:56:C0:00:01 (VMware)
Nmap scan report for 192.168.2.120
Host is up (0.00051s latency).
PORT STATE SERVICE
21/tcp closed ftp
22/tcp closed ssh
MAC Address: 00:0C:29:DB:84:46 (VMware)
Nmap done: 256 IP addresses (5 hosts up) scanned in 4.88 seconds
6)检查目标主机所开启的UDP服务
[root@proxy ~]# nmap -sU 192.168.2.100 #指定-sU扫描UDP 53/udp open domain 111/udp open rpcbind
7)全面分析目标主机192.168.2.100和192.168.2.5的操作系统信息
[root@proxy ~]# nmap -A 192.168.2.100,5
Starting Nmap 5.51 ( http://nmap.org ) at 2017-05-17 18:03 CST
Nmap scan report for 192.168.2.100 #主机mail的扫描报告
Host is up (0.0016s latency).
Not shown: 990 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 2.2.2
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
| -rw-r–r-- 1 0 0 1719 Aug 17 13:33 UserB.pub
| -rw-r–r-- 1 0 0 122 Aug 13 05:27 dl.txt
| drwxr-xr-x 2 14 0 4096 Aug 13 09:07 pub
| -rw-rw-r-- 1 505 505 170 Aug 17 13:18 tools-1.2.3.tar.gz
|_-rw-rw-r-- 1 505 505 287 Aug 17 13:22 tools-1.2.3.tar.gz.sig
22/tcp open ssh OpenSSH 5.3 (protocol 2.0)
| ssh-hostkey: 1024 86:be:d6:89:c1:2d:d9:1f:57:2f:66:d1:af:a8:d3:c6 (DSA)
|_2048 16:0a:15:01:fa:bb:91:1d:cc
50: 加密与解密 、 AIDE入侵检测系统 、 扫描与抓包 、 总结和答疑相关推荐
- 加密与解密 、 AIDE入侵检测系统 、 扫描与抓包案例
Top NSD SECURITY DAY04 案例1:加密与解密应用 案例2:使用AIDE做入侵检测 案例3:扫描与抓包分析 1 案例1:加密与解密应用 1.1 问题 本案例要求采用gpg工具实现加/ ...
- \加密与解密应用\使用AIDE做入侵检测\扫描与抓包分析\加密与解密应用
例1:加密与解密应用 案例2:使用AIDE做入侵检测 案例3:扫描与抓包分析 1 案例1:加密与解密应用 1.1 问题 本案例要求采用gpg工具实现加/解密及软件签名等功能,分别完成以下任务: 检查文 ...
- 文件加解密,AIDE入侵检测,扫描与抓包
加/解密概述 发送方:明文->密文 接收方:密文->明文 加密目的及方式 确保数据的机密性 对称加密:加密/解密用同一个密钥 非对称加密:加密/解密用不同的密钥(公钥.私钥) 保护信息的完 ...
- 加密与解密 入侵检测 扫描与抓包
Top NSD SECURITY DAY02 案例1:加密与解密应用 案例2:使用AIDE做入侵检测 案例3:扫描与抓包分析 1 案例1:加密与解密应用 1.1 问题 本案例要求采用gpg工具实现加/ ...
- SECURITY:加密与解密,AIDE入侵检测系统,扫面与抓包
文章目录 加密与解密 加密目的及方式 MD5 GPG加/解密工具 介绍 使用GPG对称加密方式 使用GPG非对称加密方式 AIDE入侵检测系统 部署AIDE入侵检测系统 初始化数据库,入侵后检测 扫描 ...
- 《云计算》-安全策略-扫描与抓包分析-使用NMAP扫描回去指定主机/网段的相关信息、使用tcpdump分析FTP访问中的明文交换信息
3 案例3:扫描与抓包分析 3.1 问题 本案例要求熟悉Linux主机环境下的常用安全工具,完成以下任务操作: 使用NMAP扫描来获取指定主机/网段的相关信息 使用tcpdump分析FTP访问中的明文 ...
- Kali中网卡配置_Wifi扫描_抓包_密码破解
设备:Kali系统+一块外接无线网卡 网上搜Kali 网卡 选择购买即可. 1.配置网卡 1.默认的VMware USB是没有开启的,需要手动开启. window键+r->输入services. ...
- security 02: 加密与解密 、 扫描与抓包 、 总结和答疑 、 SELinux安全防护
day01 一.selinux安全防护 二.数据 加密 解密 三.抓包与扫描 ++++++++++++++++++++++++++++++ 一.selinux安全防护 1.1 selinux 介绍 1 ...
- 信息安全-Ping扫描与抓包分析
实验目的 1.了解实验环境.实验规范 2.掌握Wireshark抓包工具的使用 3.分析ping命令数据包的交互过程,理解ICMP协议. 4.分析带参数的ping命令,通过抓包工具总结各参数的作用 实 ...
- 0904、kali、使用john破解密码、nmap扫描、抓包、安全加固、Linux加固
security 文章目录 security 一.kali nmap扫描 二.使用john破解密码 三.抓包 四.安全加固 1.nginx安全 2.拒绝某些类型的请求 3.防止缓冲区溢出 五.Linu ...
最新文章
- Nature:学术造假者瑟瑟发抖,论文图像查重AI技术重拳出击!
- 字节跳动技术团队提出「AI渲染」方案,手机端也能实现影视级渲染效果
- ActiveMQ的消息重发策略和DLQ处理
- 实验2 SQL Server 表操作
- LeetCode 290. 单词规律(哈希)
- Java web 中的 三层架构
- python webkit内核_GitHub - yunate/wke: 基于Webkit精简的纯C接口的浏览器内核,可用于桌面UI、浏览器。...
- PMP考试-风险管理专项突破(第六版)
- 【分享一些自己收集的API接口---欢迎点赞收藏】
- WEB--3D立体魔方小游戏 (附源码)
- click是哪个键 wheel_Click是什么意思?键盘上的Click键在哪里?
- Zabbix批量增加节点方法(自动发现及Json API)
- 华夏基金X袋鼠云:基金业数字化转型,为什么说用户才是解题答案?
- ORA-01653 无法在表空间扩展的解决办法 -- 增加表空间大小或给表空间增加数据文件
- 知客CRM,管理软件优质选择
- 匹马行天下之逆风翻盘篇——塞翁失马焉知非福
- SAP-MM 采购订单涉及的后台表
- 给PyQt5 exe程序设置自启动(Windows)
- OrCAD Capture CIS 原理图绘制时Place Power(放置电源符号)中各个符号的区别
- 【正点原子FPGA连载】第二章 实验平台简介 -摘自【正点原子】领航者ZYNQ之FPGA开发指南_V2.0