一.加密与解密 1.1 常见的加密算法 对称加密:怎么加密,就怎么解密 DES Date Encryption Standard AES Advance Encryption Standard 非对称加密 RSA Rivest Shamirh Adleman DSA Digital Signature Algorithm 数据信息完整性 MD5 Message Digest Algorithm 5 SHA Secure Hash Algorithm ]# md5sum a.txt 1.2 GPG加密工具 ]# rpm -q gnupg2 gnupg2-2.0.22-3.el7.x86_64 ]# which gpg /bin/gpg ]# gpg --help 1.3 新建两个用户,并分别登陆,在一台机器行测试加密解密 ]# useradd usera ]# useradd userb ]# echo 123456 | passwd --stdin usera ]# echo 123456 | passwd --stdin userb ]# ssh -X usera@localhost ]# ssh -X userb@localhost 1.3.1 gpg 数据对称加密与解密 -c 加密 -d 解密 发 收 usera加密 usera --> userb usera~] gpg -c a.txt usera~] ls a.txt a.txt.gpg usera]$ cp a.txt.gpg /tmp/ userb解密 userb~] ls -l /tmp/a.txt.gpg -rw-rw-r--. 1 usera usera 48 2月 19 15:01 /tmp/a.txt.gpg 解密 ]$ cat /tmp/a.txt.gpg 看到的是乱码 userb/tmp] gpg -d a.txt.gpg > ~/a4.txt (提示输解密密码) userb]$ cat a4.txt 查看文件内容(解密) 1.3.2 gpg 数据非对称加密与解密 公钥加密 私钥解密 加密 解密 uesra userb A--发送加密数据(B的公钥) B--查看加密数据(B的私钥) B--创建秘钥对 B-->公钥-->A A--公钥-->加密数据 A--数据-->B B--私钥-->数据 1) 创建密钥对 userb ]$ rm -rf ~/.gnupg/ ]$ gpg --gen-key 创建密钥对 ... 请选择您要使用的密钥种类: (1) RSA and RSA (default) (2) DSA and Elgamal (3) DSA (仅用于签名) (4) RSA (仅用于签名) 您的选择? RSA 密钥长度应在 1024 位与 4096 位之间。 您想要用多大的密钥尺寸?(2048) 您所要求的密钥尺寸是 2048 位 请设定这把密钥的有效期限。 0 = 密钥永不过期 <n> = 密钥在 n 天后过期 <n>w = 密钥在 n 周后过期 <n>m = 密钥在 n 月后过期 <n>y = 密钥在 n 年后过期 密钥的有效期限是?(0) 密钥永远不会过期 以上正确吗?(y/n)y ... 真实姓名:userb 电子邮件地址:pang@ 注释:teacher 您选定了这个用户标识: “userb (teacher) <pang@>” 更改姓名(N)、注释(C)、电子邮件地址(E)或确定(O)/退出(Q)?O (提示输入保护私钥的密码) gpg: 正在检查信任度数据库 gpg: 需要 3 份勉强信任和 1 份完全信任,PGP 信任模型 gpg: 深度:0 有效性: 1 已签名: 0 信任度:0-,0q,0n,0m,0f,1u pub 2048R/44CFD46F -02-19 密钥指纹 = DB63 55F8 6BD7 941D 8F4A 872F BD9B B688 44CF D46F uid userb (teacher) <pang@> sub 2048R/F6E2F282 -02-19 ]$ ls ~/.gnupg/ gpg.confpubring.gpg random_seed S.gpg-agent private-keys-v1.d pubring.gpg~ secring.gpg trustdb.gpg 2) userb导出公钥 ]$ gpg --export -a > ~/userb.pub ]$ ls a4.txt userb.pub 3) userb把导出公钥放到公共目录下 ~]$ cp ~/userb.pub /tmp/ usera : 1) usera导入公钥 ]$ rm -rf ~/.gnupg/ ]$ gpg --import /tmp/userb.pub ]$ ls ~/.gnupg/ gpg.conf pubring.gpg pubring.gpg~ secring.gpg trustdb.gpg 2) usera使用公钥加密文件 ]$ echo aaaa > test.txt ]$ gpg -e -r userb test.txt 文件加密 无论如何还是使用这把密钥吗?(y/N)y ]$ ls test.txt test.txt.gpg userb.pub 3) usera把加密文件放到公共目录下 ]$ cp test.txt.gpg /tmp/ ]$ ls -l /tmp/test.txt.gpg -rw-rw-r--. 1 usera usera 344 2月 19 15:45 /tmp/test.txt.gpg 4) userb用户使用私钥解密文件 ]$ gpg -d /tmp/test.txt.gpg > ~/test5.txt (必须输入私钥的密码) 5) userb查看文件内容 ]$ cat ~/test5.txt 1.3.3 gpg 数字签名 userb使用私钥签名 ]$ echo qwe > a1.txt 创建文件 ]$ gpg -b a1.txt (数字签名 要输入私钥密码) ]$ls ~/a1* /home/userb/a1.txt /home/userb/a1.txt.sig ]$ cp ~/a1* /tmp/ ]$ ls -l /tmp/a1* -rw-rw-r--. 1 userb userb 4 2月 19 15:51 /tmp/a1.txt -rw-rw-r--. 1 userb userb 287 2月 19 15:51 /tmp/a1.txt.sig ]$ gpg --fingerprint 输出私钥指纹 /home/userb/.gnupg/pubring.gpg ------------------------------ pub 2048R/44CFD46F -02-19 密钥指纹 = DB63 55F8 6BD7 941D 8F4A 872F BD9B B688 44CF D46F uid userb (teacher) <pang@> sub 2048R/F6E2F282 -02-19 usera使用公钥验证签名 ]$ gpg --verify /tmp/a1.txt.sig (root 用户修改了 a1.txt 文件的话 提示签名损坏) gpg: 于 02月19日 星期二 15时49分06秒 CST 创建的签名,使用 RSA,钥匙号 44CFD46F gpg: 完好的签名,来自于“userb (teacher) <pang@>” gpg: 警告:这把密钥未经受信任的签名认证! gpg: 没有证据表明这个签名属于它所声称的持有者。 主钥指纹: DB63 55F8 6BD7 941D 8F4A 872F BD9B B688 44CF D46F ]$ cat /tmp/a1.txt 如果内容被修改: ]$ gpg --verify /tmp/a1.txt.sig gpg: 于 02月19日 星期二 15时49分06秒 CST 创建的签名,使用 RSA,钥匙号 44CFD46F gpg: 已损坏的签名,来自于“userb (teacher) <pang@>” 二 AIDE入侵检测系统 2.1 安装提供检测程序的软件包 ]# yum -y install aide 2.2 编辑主配置文件 ]# sed -i '99,312s/^/#/' /etc/aide.conf 注释默认的检测配置 ]# vim /etc/aide.conf /root/ FIPSR #定义检测的目录 和检测规则,写在99行的上方即可 :wq ]# aide --init 没有被入侵之前 生成初始信息数据库文件 AIDE, version 0.15.1 ### AIDE database at /var/lib/aide/aide.db.new.gz initialized. ]# ls /var/lib/aide/aide.db.new.gz 查看数据库文件 ]# cp /var/lib/aide/aide.db.new.gz /tmp/ 把存有初始信息的文件拷贝走 ]# cd /var/lib/aide/ ]# mv aide.db.new.gz aide.db.gz修改文件名 ]# ls /var/lib/aide/ aide.db.gz查看修改后的文件名 对被检测的/root 目录做操作 (任何操作都可以) 585 lsattr /root/a.txt 586 chattr -a a.txt 587 rm -rf /root/a.txt* 588 ls 589 vim passwd 590 vim b3.txt 591 ls -l mysql-5.7.17.tar 592 chown mysql:mysql mysql-5.7.17.tar ]# aide --check Summary: Total number of files:9848 Added files:1 Removed files:0 Changed files:2 三 扫描与抓包 3.1 nmap 扫描 ]# rpm -q nmap ]# man nmap ]# nmap -sP 172.40.52.0/24 ]# nmap -sT 172.40.52.118 ]# nmap -sT -p 8080 172.40.52.118 ]# nmap -sT -n -p 80 172.40.52.118-200 ]# nmap -A 192.168.4.50 ]# nmap -A 192.168.4.50 ]# nmap -sP 172.40.52.119,117,221 ]# nmap -sU 192.168.4.51 ]# nmap -sT -p 80,3306,53 192.168.4.51 ]# nmap -sT -p 21-110,3306,27017,6379 192.168.4.51 4.2 tcpdump抓包 ]# which tcpdump /sbin/tcpdump ]# man tcpdump ]# tcpdump (默认只抓从eth0接口进出的数据包) ]# tcpdump -i br1 指定抓包接口(网卡名称) ]# tcpdump -i br1 -c 2 指定抓包个数 ]# tcpdump -i br1 -c 2 -A 以可阅读方式显示抓包信息 ]# tcpdump -i br1 -c 2 -A -w /tmp/one.cap 存储到文件里 ]# ls /tmp/one.cap ]# tcpdump -A -r /tmp/one.cap 读取文件内容 ]# tcpdump -i br1 tcp port 80(网页服务) ]# tcpdump -i br1 tcp port 22(远程ssh) ]# tcpdump -i br1 tcp port 21 ]# tcpdump -i br1 host 172.40.52.143 and tcp port 21 ]# tcpdump -i br1 src host 172.40.52.143 and tcp port 21 (src 只抓访问我的,不抓我返回给他的,相反dst) 抓ftp服务的数据包(其他客户端访问51的ftp) ]# useradd student ]# echo abc123 | passwd --stdin student ]# tcpdump -A -i eth0 tcp port 21 -w /tmp/a3.cap ]# tcpdump -A -r /tmp/a3.cap | grep -i student ]# tcpdump -A -r /tmp/a3.cap | grep -i abc123 ]# tcpdump -A -r /tmp/a3.cap | grep -i 'user\|pass' 四. 192.168.4.51 做邮件服务器 收邮件服务 端口 110 ]# yum -y install dovecot ]# systemctl start dovecot ]# netstat -utnlp | grep :110 发邮件服务 端口25 ]# rpm -q postfix ]# systemctl status postfix ]# netstat -utnlp | grep :25 添加邮箱帐号 ]#useradd jim ]# echo 123456 | passwd --stdin jim jim@localhost 邮箱帐号 123456 密码 设置邮箱目录 ]# vim /etc/postfix/main.cf 419 home_mailbox = Maildir/ :wq ]# systemctl restart postfix ]# cd /etc/dovecot/conf.d/ ]# vim 10-auth.conf 10 disable_plaintext_auth = no :wq ]# vim 10-mail.conf 24 mail_location = maildir:~/Maildir :wq ]# systemctl restart dovecot 连接postfix服务发送邮件 ]# rpm -q telnet ]# telnet localhost 25 连接postfix服务 helo pc51 定义主机名 mail from:root@localhost 发件人 rcpt to:jim@localhost 收件人 data 写邮件 i love you boy 邮件内容 i love you boy i love you boy .提交邮件 quit断开连接 连接dovecot服务收邮件 [root@R51 ~]# telnet localhost 110 user jim 登陆用户名 pass 123456 登陆密码 list查看邮件 retr 1 显示编号是1的邮件内容 quit 断开连接 ]# tcpdump -A -i lo tcp port 110(上面操作,下面抓包) ]# tcpdump -w /tmp/mail3.cap -A -i lo tcp port 110 ]# tcpdump -A -r /tmp/mail3.cap | grep -i user ]# tcpdump -A -r /tmp/mail3.cap | grep -i pass 安装wireshark ]# yum -y install wireshark wireshark-gnome ]# wireshark
