上周入职了家做安全方面的公司,了解了一些安全方面的知识,以此记录:
1.蜜罐(honeypot)
蜜罐用于欺骗攻击者并跟踪攻击者,通过布置一些作为诱饵的主机或网络服务,诱使攻击方对他们实施攻击,从而可以对行为进行捕获和分析;
简单来说就是迷惑攻击者,然后捕获攻击者的行为并分析;
从攻击者交互的角度来看,蜜罐分为低交互、中交互和高交互三类:
·低交互蜜罐无法与攻击者进行交互,例如一个虚假的SSH服务,攻击者输入任意密码都可以登录成功,但无法真正执行命令;
·高交互蜜罐可以与攻击者进行交互,例如一个运行在 Docker 里面的真实的SSH服务同时存在弱口令,便于攻击者登录后分析它的行为,此时攻击者可以正常攻击这个SSH服务;
·中交互蜜罐介于两者之间;
从用途的角度来看,蜜罐分为研究型和防御型:
·研究型蜜罐:主要部署在公网上,用于分析攻击者的行为,通过一段时间的观察和分析,可以大概感知近期网络安全态势的变化;
·防御型蜜罐,主要部署在内网上,用于发现攻击告警并尽可能的溯源,甚至反制。内网蜜罐被触发,说明攻击者已经进入到内网中;
Linux系统中蜜罐陷阱的实现:
1.黑客以root身份登录时设置陷阱
一般情况下,只要用户输入的用户名和密码正确,就能顺利进入系统。如果我们在进入系统时设置了陷阱,并使攻击得对此防不胜防,就会大大提高入侵的难度系数。
例如,当黑客已获取正确的 root 口令,并以 root 身份登录时,我们在此设置一个迷魂阵,提示输入的口令有误,并让它重新输入用户名和口令。而其实,这些提示都是虚拟的,只要在某处输入一个密码就可通过。黑客因此就掉入了陷阱,不断地输入 root 用户名和口令,却不断地得到口令错误的提示,从而使它怀疑所获口令的正确性,放弃入侵的企图。
给 root 用户设置陷阱,并不是给系统带来太多的麻烦。因为拥有 root 口令的人数不会太多,为了系统的安全,稍微增加一点复杂性也是值得的。这种陷阱的设置是很方便的,我们只要在 root 用户的 .profile 中加一段程序就可以实现。我们完全可以在这段程序中触发其他入侵检测与预警控制程序。
2.在黑客成功以 root 身份登录后设置陷阱
万一前面陷阱失效了,黑客已经成功登录,就必须启用登录成功的陷阱。此陷阱的设计原理是一旦以 root 用户登录,就可以启动一个计划器,正常的 root 登录后,先停止计时。而非法入侵者不知道休息有计时器,就无法停止计时,等到一个规定的时间到,就意味着有黑客入侵,需要触发必要的控制程序,如强制关机等,以免造成损害,等待系统管理员进行善后处理。可以通过写一个脚本程序来实现定时功能。通过终端启动脚本我们通过往 /root/.bashrc中写入 sh /root/timer 这个脚本,当我们运行终端时,就可以启动这个定时器,如何我们没有及时 kill 掉这个计时器,电脑就会在指定时间自动关机。
原文链接:https://blog.csdn.net/luoye_xiaochao/java/article/details/62240388
目前公司的做法是在用户登录后在某一目录内生成一个文件,如果半小时内没有删除该文件,则认为是蜜罐登录,会提醒相关管理员;
个人感觉有点鸡肋,目前对业务还不太熟悉,既然公司这样做应该是有这样做的原因的,比如实现比较困难等等。
网友评论