熱搜:win11繞過硬件限制安裝 一鍵重裝Win10系統(tǒng) 最干凈的u盤啟動(dòng)盤 真正純凈版的win7系統(tǒng)
時(shí)間:2015-01-04 15:30:05 作者:qipeng 來源:系統(tǒng)之家 1. 掃描二維碼隨時(shí)看資訊 2. 請(qǐng)使用手機(jī)瀏覽器訪問: https://m.xitongzhijia.net/xtjc/20150104/33930.html 手機(jī)查看 評(píng)論 反饋
55:自動(dòng)加密連接
難度:高級(jí)
應(yīng)用程序:FreeS/WAN
一個(gè)FreeS/WAN支持的特別cool的功能是,當(dāng)其他主機(jī)運(yùn)行FreeS/WAN時(shí)隨機(jī)加密。這允許FreeS/WAN在所有支持隨機(jī)加密的主機(jī)間透明傳輸。為了這個(gè),每臺(tái)主機(jī)必須使用FreeS/WAN生成一個(gè)公鑰,這個(gè)公鑰可以存儲(chǔ)于那臺(tái)主機(jī)的一個(gè)DNS TXT記錄中。當(dāng)一臺(tái)主機(jī)要與另一個(gè)主機(jī)建立一個(gè)隨機(jī)加密,希望初始化一個(gè)加密連接時(shí),將會(huì)通過DNS查詢這臺(tái)主機(jī)的公鑰并且初始化這個(gè)連接。
一開始,你想使用這個(gè)功能時(shí),需要為每一臺(tái)主機(jī)生成一個(gè)公鑰。你可以通過運(yùn)行如下命令來實(shí)現(xiàn)它:
ipsec newhostkey --output /tmp/`hostname`.key
現(xiàn)在你需要添加通過那條命令創(chuàng)建的文件的內(nèi)容到/etc/ipsec.secrets中。
cat /tmp/`hostname`.key 》》 /etc/ipsec.secrets
然后,你需要生成一個(gè)TXT記錄來存放你的DNS區(qū)域。你可以通過運(yùn)行如下命令來實(shí)現(xiàn)它:
ipsec showhostkey --txt @colossus.nnc
現(xiàn)在添加這條記錄到你的空間然后重載它。你會(huì)證實(shí)DNS已經(jīng)通過這條命令正確的運(yùn)行了:
ipsec verify
Checking your system to see if IPsec got installed and started correctlyVersion check and ipsec on-path[OK]Checking for KLIPS support in kernel [OK]Checking for RSA private key (/etc/ipsec.secrets) [OK]Checking that pluto is running [OK]DNS checks. Looking for TXT in forward map: colossus [OK]Does the machine have at least one non-private address [OK]
現(xiàn)在只需要重啟FreeS/WAN-你現(xiàn)在應(yīng)該能連接到任何支持隨機(jī)加密的主機(jī)上了。但是如果其他的主機(jī)想要連接你該怎么辦?要授權(quán)連接,你需要在你的DNS反向查找區(qū)域?yàn)槟愕臋C(jī)器創(chuàng)建一個(gè)TXT記錄。
你可以通過運(yùn)行一個(gè)簡單的命令來生成一條記錄:
ipsec showhostkey --txt 192.168.0.64
為你的子網(wǎng)添加這條記錄到反向查找區(qū)域,然后其他的機(jī)器就可以和你的機(jī)器初始化隨機(jī)加密了。伴隨著隨機(jī)加密的使用,所有主機(jī)間的傳輸將被自動(dòng)加密,同時(shí)保護(hù)所有的服務(wù)。
56:消除二進(jìn)制suid
難度:中等
應(yīng)用程序:find
如果你的服務(wù)器有比你自身多的shell用戶,你應(yīng)該在你的系統(tǒng)上定期的審核setuid和setgid的二進(jìn)制文件?赡苣銜(huì)驚訝你找到了那么多文件。這里有一個(gè)搜尋所有setuid或者setgid的文件的命令位設(shè)置:
find / -perm +6000 -type f -exec ls -ld {} \; 》 setuid.txt &
這將會(huì)創(chuàng)建一個(gè)名為setuid.txt的文件,包含了所有當(dāng)前系統(tǒng)上匹配的文件的細(xì)節(jié)。要移除任何你不用的工具的s位,輸入:
chmod a-s program
57:Mac過濾Host AP
難度:高級(jí)
應(yīng)用程序:iwpriv
你可以在鏈路層使用iptables或者ebtables執(zhí)行MAC過濾,那比讓Host AP為你做這些更安全。這不僅僅是阻礙指向你的網(wǎng)絡(luò)傳輸,也是預(yù)防邪惡的人關(guān)聯(lián)你的站。這能幫助組織某些人給你的其他無線客戶端造成麻煩的可能,即使他們沒有更多的網(wǎng)絡(luò)通道。
當(dāng)使用MAC過濾時(shí),很多人會(huì)列出一個(gè)他們希望允許的無線裝置清單,然后拒絕所有其他的。使用iwpriv命令完成這個(gè)功能:
iwpriv wlan0 addmac 00:30:65:23:17:05iwpriv wlan0 addmac 00:40:96:aa:99:fd.。.iwpriv wlan0 maccmd 1iwpriv wlan0 maccmd 4
addmac指示添加一個(gè)MAC地址到內(nèi)部表。只要你喜歡你就可以通過執(zhí)行更多的addmac命令添加更多的MAC地址到表中。然后你需要告訴Host AP對(duì)你已經(jīng)建好的表做什么。maccmd 1命令告訴Host AP就像使用一個(gè)“允許”清單一樣使用這個(gè)表,并且拒絕所有其他的MAC地址來關(guān)聯(lián)。最終,maccmd 4命令去除掉所有的關(guān)聯(lián)客戶端,強(qiáng)制使它們重新關(guān)聯(lián)。對(duì)表中的客戶端來說是自動(dòng)發(fā)生的,但是其他的任何企圖關(guān)聯(lián)的客戶端都是被拒絕的。
有時(shí),你只需要禁止一個(gè)或者兩個(gè)搗蛋鬼,而不是設(shè)置一個(gè)詳細(xì)的被允許的硬件規(guī)則。如果你需要禁止兩三個(gè)MAC地址而允許其他所有的地址,嘗試這個(gè):
iwpriv wlan0 addmac 00:30:65:fa:ca:deiwpriv wlan0 maccmd 2iwpriv wlan0 kickmac 00:30:65:fa:ca:de
像以前一樣,你可以不限次數(shù)的使用addmac,只要你樂意。Maccmd2命令會(huì)將規(guī)則設(shè)置為“拒絕”,而如果該MAC恰巧已經(jīng)關(guān)聯(lián),kickmac會(huì)立刻將特定的MACboot。這也許比只為了禁止一個(gè)搗蛋鬼而消除所有關(guān)聯(lián)然后讓他們重新鄰接要好一些。順便說一下,如果你想要消除所有的MAC過濾,嘗試maccmd 0。
如果你錯(cuò)誤的輸入了一個(gè)MAC地址,你可以像使用addmac一樣使用delmac命令,然后它(可以預(yù)見)就會(huì)從表中刪掉這個(gè)給出的MAC地址。你有時(shí)會(huì)需要完全清除當(dāng)前的MAC表但是保留它當(dāng)前的規(guī)則,使用這條命令:
iwpriv wlan0 maccmd 3
最后,你可以通過使用/proc瀏覽正在運(yùn)行的MAC表:
cat /proc/net/hostap/wlan0/ap_control
iwpriv程序操縱正在運(yùn)行的Host AP驅(qū)動(dòng),但是重啟后不保留設(shè)置。一旦你對(duì)你的MAC過濾表感到滿意,請(qǐng)確保你在一個(gè)rc腳本中添加了相關(guān)命令在啟動(dòng)時(shí)間運(yùn)行。
注意,未關(guān)聯(lián)的客戶端仍然可以監(jiān)聽網(wǎng)絡(luò)傳輸,所以MAC過濾實(shí)際上只能預(yù)防一點(diǎn)點(diǎn)竊取。為了與被動(dòng)的監(jiān)聽技巧搏斗,你需要加密你的數(shù)據(jù)。
上面就是Linux極客需要掌握的系統(tǒng)知識(shí)的介紹了,要想成為極客,成為電腦高手,除了需要比別人努力外,還需了解上面介紹的這個(gè)技巧,對(duì)你成為極客是很有幫助的。
發(fā)表評(píng)論
共0條
評(píng)論就這些咯,讓大家也知道你的獨(dú)特見解
立即評(píng)論以上留言僅代表用戶個(gè)人觀點(diǎn),不代表系統(tǒng)之家立場(chǎng)