Linux Security（二）之加密与解密，AIDE入侵检测系统，扫描与抓包_linux aide 密码

一、加密与解密
1.加密与解密介绍
    发送方：明文到密文
    接收方：密文到明文
    
2.加密目的及方式
    确保数据的机密性
        对称加密：加密解密用同一个密钥
        非对称加密：加密解密用不同的密钥
    保护信息的完整行
        信息摘要：基于输入的信息生成长度较短，位数固定的散列值

3.常见的加密算法
    对称加密
        DES，Data Encryption Standard
        AES，Advanced Encryption Standard
    非对称加密
        RSA，Rivest Shamirh Adleman
        DSA，Digital Signature Algorithm
    Hash散列技术，用于信息摘要
        根据输入的文本，生成固定长度的摘要文本。输入的文本不同，生成的摘要文本也不一样
        MD5，Message Digest Algorithm 5
        SHA，Secure Hash Algorithm
        
4.MD5完整行检验
        使用md5sum校验工具
            生成MD5校验值
            与软件官方提供的校验值比对
[root@web100 ~]# md5sum /etc/passwd
60a77a6190ace9f08cd80932b119f40e  /etc/passwd
[root@web100 ~]# useradd bob2
[root@web100 ~]# md5sum /etc/passwd
c11b544ecd1048d5503cd83df2223c3d  /etc/passwd
            
5.GnuPG简介
    GnuPG，GNU Privacy Guard
    最流行的数据加密，数字签名工具
[root@web100 ~]# gpg --version
gpg (GnuPG) 2.0.22
支持的算法：
公钥：RSA, ?, ?, ELG, DSA
对称加密：IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256,
     TWOFISH, CAMELLIA128, CAMELLIA192, CAMELLIA256
散列：MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224

6.GPG对称加密解密
    基本用法
        加密操作：--symmetric 或 -c
        解密操作：--dectypt 或 -d
[root@web100 ~]# useradd usera
[root@web100 ~]# useradd userb
[root@web100 ~]# echo 123456|passwd --stdin usera
[root@web100 ~]# echo 123456|passwd --stdin userb
[usera@web100 ~]$ gpg -c test1.txt 

7.GPG非对称加密解密
    前期准备工作
        用户b创建密钥对：--gen-key
        用户b导出公钥：--export，--armor或-a
        用户a导入公钥：--import
    基本用法：
        加密操作：--encrypt 或 -e
        指定目标用户：--recipient 或 -r 
        解密操作：--decrypt 或 -d 
        
8.GPG软件签名与验证
    软件签名与验证过程
        软件官方以私钥对软件包执行数字签名
        用户下载软件包，软甲官方的公钥
        以官方公钥验证软件包签名，确保数据来源正确
    为软件包建立签名文件
        分离式签名：--detach-sign 或 -b 
    验证软件包签名
        验证签名：--verify
        
二、AIDE入侵检测系统
1.安装软件包
    AIDE（Advanced intrusion detection environment）
    该软件为一套入侵检测系统
    配置yum源即可安装aide软件
[root@web100 ~]# yum -y install aide

2.修改配置文件
    AIDE默认配置文件/etc/aide.conf 
[root@web100 ~]# vim /etc/aide.conf 
  3 @@define DBDIR /var/lib/aide           ==>>数据库目录
  4 @@define LOGDIR /var/log/aide           ==>>日志目录
 12 database_out=file:@@{DBDIR}/aide.db.new.gz      ==>>数据库文件名
 54 FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256    ==>>希望检查的项目
 99 /boot/   CONTENT_EX            ==>>对哪些目录进行什么检查
100 /bin/    CONTENT_EX
101 /sbin/   CONTENT_EX
102 /lib/    CONTENT_EX
103 /lib64/  CONTENT_EX
104 /opt/    CONTENT
112 !/usr/src/             ==>>使用！，设置不校验的目录
113 !/usr/tmp/

3.初始化检查
    在没有被攻击入侵前
    根据配置文件，对数据进行校验操作
[root@web100 ~]# aide --init
AIDE, version 0.15.1
### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

4.备份数据库
    在被入侵前，将校验的数据库文件备份到安全的地方
    如，光盘，U盘，移动硬盘，网络存储
[root@web100 ~]# mv /var/lib/aide/aide.db.new.gz /media/
    
5.执行入侵检查
    将之前备份的校验数据库文件还原
    根据数据库执行入侵检测
[root@web100 ~]# cp /media/aide.db.new.gz /var/lib/aide/aide.db.gz
[root@web100 ~]# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-07-24 09:29:37
Summary:
  Total number of files:    51448
  Added files:            64
  Removed files:        6
  Changed files:        55
    
三、扫描与抓包
1.为什么需要扫描
    获取一些公开/非公开信息为目的
        检测潜在的风险
        查找可攻击目标
        收集设备/主机/系统/软件信息
        发现可利用的安全漏洞

2.扫描方式及工具
    典型的扫描方式
        Scan，主动探测
        Sniff，被动监听/嗅探
        Capture，数据包捕获（抓包）
    常见的安全分析工具
        扫描器，NMAP
        协议分析，tcpdump，Wire Shark
    
3.NMAP简介
    一款强大的网络探测工具
    支持多种深测技术
        ping扫描
        多端口扫描
        TCP/IP指纹校验
    基本用法
        nmap [扫描类型] [选项] <扫描目标 ...>
    常用的扫描类型
        -sS，TCP SYN扫描（半开）
        -sT，TCP 连接扫描（全开）
        -sU，UDP扫描
        -sP，ICMP扫描
        -A，目标系统全面分析
            相当于-O（OS检测），—sV（版本检测）,-sC（脚本检测）,traceroute跟踪等
[root@web100 ~]# yum install -y nmap
[root@web100 ~]# nmap 192.168.2.100    ==>>扫描目标主机开放了那些端口（默认扫描TCP）
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
[root@web100 ~]# nmap -sU web100  ==>>扫描UDP
[root@web100 ~]# nmap -p 21-22 192.168.2.0/24   ==>>检查那些主机开启FTP，SSH服务端
Nmap scan report for 192.168.2.100
Host is up (0.000034s latency).
PORT   STATE  SERVICE
21/tcp closed ftp
22/tcp open   ssh
[root@web100 ~]# nmap -n -sP 192.168.2.0/24   ==>>检查目标主机的存活状态（是否可以ping通）
Nmap scan report for 192.168.2.100
Host is up.
        
4.tcpdump抓包命令
    命令行抓取数据包的工具
    基本用法
        tcpdump [选项] [过滤条件]
    常见监控选线
        -i  指定监控的网络接口
        -A  转换为ACSII码，以方便阅读
        -w  将数据包信息保存到指定文件
        -r  从指定文件读取数据包信息
        -c  定义抓包个数
    过滤条件
        类型：host，net，port，portrange
        方向：src，dst
        协议：tcp，udp，ip，wlan，arp，.....
        多个条件组合：and，or，not
[root@web100 ~]# yum -y install tcpdump
[root@web100 ~]# tcpdump -A -w ftp.cap host 192.168.2.100 and tcp port 21  ==>>抓取访问FTP服务的包，保存到ftp.cap文件

5.WireShark协议分析器
    与tcpdump类似的抓包工具，需要图形环境
    RHEL光盘中的两个包
        wireshark
        wireshark-gnome