后使用快捷导航没有帐号？
一个LINUX高手写给初学者的话
摘要: 现在好多的人开始接触电脑的时候，见到的应该是Windows98 说实话，98&已经是一个很人性化，封装的很好的一个系统了 一个对电脑一窍不通的人都能很快的使用它。这样很多人对 "电脑"的印象...
现在好多的人开始接触电脑的时候，见到的应该是Windows98 说实话，98&已经是一个很人性化，封装的很好的一个系统了 一个对电脑一窍不通的人都能很快的使用它。这样很多人对 "电脑"的印象和那些和我一样一开始接触的是DOS人是绝然不 同的。在DOS时代，如果你对电脑的基础知识不懂的话是玩不 动它的，不像现在好多人CPU是什么都不知道，却能够是Flash 高手,倾倒MM无数。如果你是这样的人，你要学Linux，你有一 段回头路要走，为什么，看下去 我们先看看MS操作系统的发展,他有两套内核 MSDOS---&DOS+Win3.2--&Win9X&\ ---&WinXP& WindowsNT3.1---NT4.0--&Win2000&/ 他的发展是从DOS这个纯字符界面的系统发展到一个由字符界面 的内核加上一个图像界面的应用程序(Win3.2)再到结合把两个 合为一体的Win95,到现在再并上一开始就是图形界面的NT成为 WindowsXP,他未来的野心就是并上internet成为&.net 现在我们来看Linux，Linux只是个内核！这点很重要，你必须 理解这一点。 只有一个内核是不能构成一个操作系统的。现在的linux操作系统 如redhat，蓝点，红旗等，都是用这么一个内核，加上其它的 应用程序（包括X）构成的。任何一个叫做操作系统的东西都是 这样子构成的:内核+用户界面+一般应用程序。 现在我就拿MS的系统和linux的系统的互相对应来让大家更多的 认识Linux 如果你装过DOS，那你一定知道***完成之后整个硬盘是这样 根目录下有 io.sys&msdos.sys&&config.sys&autoexec.bat 共5个文件，以及C:\dos这个目录，很简单。其中 io.sys和msdos.sys就是系统的内核，是用户界面(shell), config.sys和autoexec.bat是配置文件,C:\DOS目录下面的是一般应用程序 系统启动时首先装入io.sys,再根据配置文件的设置装入msdos.sys和 ,然后就出现提示符，现在你就能输入命令了。如 copy&c:\aaa.txt&d:\aaa.txt&来拷贝文件。也你能够使用C:\dos目录下的 一些应用程序来完成工作，如用edit编辑文件，用Qbasic写basic程序。 接下去你***了一个叫做Foxpro2.6的程序，这个程序可以让你做一些 数据库方面的工作，然后你在***了一个叫做windows3.2中文版的程序 ，这个程序可厉害了，你现在不用在命令行下打命令了，可以用鼠标来 操作了，打开文件管理器，打开C&再打开另一个窗口D，用鼠标一拉 就能完成copy&c:\aaa.txt&d:\aaa.txt这个命令，你只是动了几次食指 和现在在windows98下没什么两样。 OK&，goto&linux ***好linux之后 根目录下有boot,bin,sbin,etc,usr/bin,等几个目录 boot下有vmlinuz这个文件，这个就是内核，就是目前世界上最厉害的黑客 linus带头写的那个东东。 bin下有sh，这个就是shell（==,用户界面） 因为UNIX系统是没有内部命令这个说法的，准确地说 /bin+/sbin&==& 而/etc&==&config.sys&+&msdos.sys 剩下/usr/bin&==&c:\dos 当然。因为Linux比Dos庞大得多，所以，reahat和红旗或者有不同的安排方法， 各种目录下的东西并不规则。 linux的启动同样是装载vmlinuxz，然后装载sh（或者其他的shell,如bash), 出来提示符。现在你同样能输入命令了。如 cp&/aaa.txt&/tmp/aaa.txt。同样可以用vi编辑文件，用gcc编译程序 接下去你***了一个叫做MySQL的程序，这个程序可以让你做一些 数据库方面的工作，然后你再***了一个叫做kde4.0的程序，这个程序可厉害 了，你现在不用在命令行下打命令了，可以用鼠标来操作了，打开文件管理器， 打开/&再打开另一个窗口/tmp，用鼠标一拉就能完成cp&/aaa.txt&/tmp/aaa.txt 这个命令，你只是动了几次食指和现在在windows98下没什么两样。 看到这里希望你明白我为什么说你在走回头路， 因为目前的Linux操作系统==MS的Win3.2 但MS系统已经走过了9X，现在是XP了，整整落后了两代。当然，这是从用户界面上来说的，但也恰恰是很多人装个Linux之后就是在X的kde上搞东搞西，而其它的什么都搞不起来，为什么搞不起来因为你没搞过DOS，你根本就不知道系统还可以有这样的搞法。你一开始接触的就是98，电脑给你的感觉就是用鼠标来操作的东西，你认为同样是操作系统，Linux也应该是这样的东西。你根本就没有想过你一直以为你在玩的是Linux,但实际上你玩的只不过是一个运行在Linux系统上 的程序而已。 因此很多人装完搞了几天说，靠，Linux不过如此。这话可以说对也可以说不对 Linux嘛，你都还没见到是什么样子，你有什么资格说它怎样呢？ 但kde嘛，就真的确实不过如此，你用过98吧，现在你去用用3.2看看，你有什么 感觉？从稳定性来说，我不拿98比了，拿95，如果同样的工作，95一天崩溃1次 的话，那X会崩溃10次，如果是2000的话，2000一天崩溃1次，X会崩溃100次。 和3.2是差不多的。但为什么还是会听说比如某些好莱坞的电影特技是在Linux上 完成的呢？为了出席一次重要宴会，你可以去买一套名牌西装，也可以去订做一 套，订做的当然更加合身更加好看，但价格也更贵，工作量也更大 名牌西装==Windows系统 定做西装==Linux系统+修改系统内核+修改X代码+修改kde代码+专门写的特技软件你现在装的那套西装是街边货，也就是reahat服装厂为了适应全世界所有人的身材批量生产的东东。 明白了吧？如果你明白，那你也就明白了Linux比Window好的一个方面了，我也就不用废话 那么为什么Linux往往会和黑客撤上关系呢？ 记得我看过一本书这么写，"Linux是由一个叫linus的黑客及互联网上很多的黑客 共同编写而成"。所以，一个由黑客写成的系统怎么会和黑客没有关系呢？ 当然这个“黑客”的定义和现在很多中国人心中的"黑客"的定义是绝然不同的 前者是几乎从未入侵过其他系统，而后者是入侵过就是了。 如果你是一个美术工作者，你也是几乎除了睡觉就在用电脑，你时时都开着photoShop在那里搞啊搞，在美术这个行业，你也算得上是这个行业里的高手了。但你根本就不关心你所做的，电脑里面到底是怎么帮你完成的。电脑不过是你创作的一个工具。就像音乐是很多人喜欢听的，但你根本不关心你所听到的音乐，她从原来歌星嘴里发出来到被你来欣赏，她到底是怎么个回事。但对一HIFI发烧友而言，她关心的就只是这些。现在回到我刚刚说到了copy命令，对于一个黑客而言，她根本不关心aaa.txt 这个文件里面的内容，她关心的是从C:\aaa.txt到d:\aaa.txt这个过程中，电脑它到底干了什么？现在我问一下正在看这个帖子的人：把一个文件从一个地方拷贝到另一个地方这个事情你肯定是做过的对吧？但当你这样做的时候，你是否有想过电脑内部它是怎样来完成你的这个操作的呢？如果你的回答是：哎呀，我倒真的从未想过耶~~ 那么，你根本没有黑客的天分，你还是到轻松一刻混比较有前途。 寻根问底是黑客的天性，在这点上，Linux可以满足，但windows不能， 你在dos上按下copy&C:\aaa.txt&d:\aaa.txt。复制的任务是完成了，但电脑作了什么你知道么？ 你只能根据你的经验的积累，大概的判断系统怎么完成，在你没看过copy的源代码之前你根本没法确定你的判断是否正确的。但UNIX上cp的源代码基本上是随手就能拿到。 TCP/ip方面，linxu可以让你一杆子捅到内核中去，但windows你只能捅到winsock apache和系统的具体交流你可以一清二楚，但IIS和系统的交流你却不可能知道 Linux和黑客的关系是在这里，和入侵是一点关系都没有的。很多远程漏洞的攻击程序是要在unix系统上编译的这没错，但是那些程序本来的意义就是举个例子让你看好过说，你看得懂的话，改一改在Win上同样可以编译。 UNIX和Windows相比有太多的优点，也有太多值得你去弄的地方，只是我说不出来就像你深爱一个人的时候，你根本没法说出你爱他什么，她有什么地方值得你去爱 但，Windows不是垃圾，绝对不是，作为一个工具来使用，她比UNIX好上几百倍 似乎你现在都该明白为何很多远程漏洞的攻击程序是以unix的习惯写的，因为能够发现这个漏洞，说明他对系统相当的熟悉，而且是UNIX让他对系统相当的熟悉，他不自觉地就是用了UNIX的那一套，不过，它的这些代码却很大的可能是用UltraEdit在windows系统下敲的。 好像跑题了，我说要给想学Linux(UNIX)的朋友的一点建议，但却说了这样的话， 但我觉得没有跑题，我希望你看到这里已经能够知道我要给你的建议是什么了。 1.根据你目前的水平，确定Linux对你的意义有多大。 2.确定你玩的是Linux而不是X 3.把X系统卸了，剩下的空间装上源代码 4.不要用rpm&-i的方式***程序，用自己编译的方法 5.找个合用的telnet软件，我推荐SecureCRT. 6.如果你只有一台电脑，***Vmware.用这个方式来接触UNIX 7.再看一下帖子，自己再一次体会我帖子中暗藏的建议 8.在学习Linux的过程中的，把被linux玩的经验记下来 9.在玩linux的过程中，把linux怎么被你玩的趣事记下来&
小编推荐：欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术，请
注册黑基账号，公开课频道价值万元IT培训教程免费学，让您少走弯路、事半功倍，好工作升职加薪！
免责声明：本文由投稿者转载自互联网，版权归原作者所有，文中所述不代表本站观点，若有侵权或转载等不当之处请联系我们处理，让我们一起为维护良好的互联网秩序而努力！联系方式见网站首页右下角。后使用快捷导航没有帐号？
WinNT&Win2K下实现进程的完全隐藏
面对众多的计算机高手，考虑许久，终于还是决定出来献丑一下，文章内尽量使用最简洁易懂的词汇及例子来介绍，希望能够对一些初学与进...
面对众多的计算机高手，考虑许久，终于还是决定出来献丑一下，文章内尽量使用最简洁易懂的词汇及例子来介绍，希望能够对一些初学与进
小编推荐：欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术，请
注册黑基账号，公开课频道价值万元IT培训教程免费学，让您少走弯路、事半功倍，好工作升职加薪！
免责声明：本文由投稿者转载自互联网，版权归原作者所有，文中所述不代表本站观点，若有侵权或转载等不当之处请联系我们处理，让我们一起为维护良好的互联网秩序而努力！联系方式见网站首页右下角。后使用快捷导航没有帐号？
安全的log纪录服务器
摘要: *环境 RedHat 7.3
在网上越来越多的 hacker 的出现, 越来越多的高手出现的情况下.如何才能确保自己可以保存一份完整的 log 呢？稍微有点概念的 hacker 都知...
*环境 RedHat 7.3
在网上越来越多的 hacker 的出现, 越来越多的高手出现的情况下.如何才能确保自己可以保存一份完整的 log 呢？稍微有点概念的 hacker 都知道,进入系统后的第一见事情就是去清理 log, 而发现入侵的最简单最直接的方法就是去看系统纪录文件.现在我们来说说如何设定一个安全的 log 服务器.
想想看,如果入侵者无法连结您的 log 服务器,又如何能改您的 log 呢？现在我们来学习如何设定一个无 ip 的 log 服务器.
现在,来介绍一下如何用 Snort 来做三件事情∶
Stealth sniffer
stealth NIDS porbe
stealth logger
这一切都是用在一台没有 ip 的服务器上面的. NIDS 是 Network Intrusion Dectection Server 的简称,也就是说入侵检测服务器.
为什么要 stealth 呢？
在 internet 中运行任何一种服务,都是有一定的危险的.不管是 http 也好, ftp 也好, telnet 也好,总之都会有机会被 hack 入侵. stealth logger 的独特性可以让我们在接收资料的同时,不发送任何的资料.这样外界的电脑（被 hack 入侵的电脑）就根本无法去更改 loger server 所收到的信息.也就是说保证了我们信息的完整性,以及原始性. 为了确保 log 服务器的安全,最好不要将 log 服务器连接在网路中.也就是说,当您需要检查 logger 服务器上得东西的时侯,您需要到电脑前,打开屏幕.而不是远端 login 进来.但是,如果说您一定要连接网路的话的话,那么请用两个的介面来做.也就是说两片网卡.并且注意,第一, IP forwarding 一定要关闭.第二就是,用来做 stealth logger 的介面是没有 ip 的一张网卡,这张网卡必须不能跟另外一个有 ip 的网卡在同一网路下面.
首先当然是确定您的网卡***无误,并且可以被 kernel 抓到.然后把网卡所需要的 module 写到 /etc/modules.conf 文件中.
现在我们来设定一个没有 ip 的网卡介面.
编辑文件 /etc/sysconfig/network-scripts/ifcfg-eth0
vim /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
USERCTL=no
ONBOOT=yes
BOOTPROTO=
BROADCAST=
存档后,用 ifconfig 来 active 我们的 eth0 介面.
初试 stealth
这里我们用到了 snort 这个程式.如果您的电脑中没有这个程式,可以到 www.snort.org 下载.
现在我们运行
snort -dvi eth0
这里 -d 的选项告诉 snort 对资料进行 decode （解码）
-v 告诉 snort 将结果显示在屏幕上面
-i 则是指定所需要的 interface
可以用 -C 选项告诉 snort 只显示 ASCII 部份. 忽略 hexadecimal 资料.
$snort -dviC eth0
Log directory= /var/log/snort
Initializing Network Interface eth0
kernel filter, protocol ALL, TURBO mode
(63 frames), raw packet socket
--== Initializing Snort ==--
Decoding Ethernet on interface eth0
--== Initialization Complate ==--
-*& Snort! &*-
Version 1.8.4 (Build 99)
By Martin Roesch (,
www.snort.org)
NIDS（入侵侦测） 入侵检测本身是一件很复杂的事情. snort 本身也提供了强大的入侵检测的功能. 这里我只做一个简单的介绍,好让大家有一个概念.如果真正实体去做一个 NIDS 的话.需要些更复杂的动作.例如设定更完善的 rules, 定时更新 snort.conf 中所定义的 rules （当新的攻击方式出现以后,要及时更新）
首先,我们需要更改一下 /etc/snort/snort.conf 具体需要参照您自己的机器来设定.
#设定 log 存放的地方
config logdir: /var/log/snort
var HOME_NET 192.168.1.0/24
var EXTERNAL_NET any
var SMTP $HOME_NET
var HTTP_SERVERS $HOME_NET
var SQL_SERVERS $HOME_NET
var DNS_SERVERS 192.168.1.250/32
var RULE_PATH ./
#设定 preprocessors
preprocessor frag2
preprocessor stream4: detect_scans
preprocessor stream4_reassemblt
preprocessor portscan: $HOME_NET 4 3 portscan.log
#设定 output
output database: log, mysql, user=root
dbname-snort host=localhost
alert tcp $HOME_NET 7161 -& $EXTERNAL_NET any
(msg: "MISC Cisco Catalyst Remote Access";
flags: SA; reference:arachnids, 129;
reference:cve, CVE-;
classtype:bad- sid:513; rev:1;)
#设定 patch , 这些都是些附加的 rules 的文件
include $RULE_PATH/bad-traffic.rules
include $RULE_PATH/exploit.rules
include $RULE_PATH/scan.rules
include $RULE_PATH/ftp.rules
#这些 rule 其实还有很多.您可以自己去写,也可以找人家写好的下载拿来用.
现在让我们把 snort 跑起来∶
snort -c /etc/snort/snort.conf -D -i eth0
现在 snort NIDS 的模式跑起来了. 在 default 的情况下∶
alerts 会放在 /var/log/snort/alert 中
port-scanning 会放在 /var/log/snort/portscan.log
当您真正跑 NIDS 的时侯,需要把 snort 以 daemon 的模式来跑. 如果您***的是 rpm 的东西,那么 rpm 文件中已经包含了一个 snortd 的文件,并且会帮您***在 /etc/rc.d/init.d/ 下面. 当您设定好 snort 的 configure 文件以后,只要用 chkconfig 把 snortd 打开就可以了:
加入 snortd
chkconfig --add snortd
打开 snortd
chkconfig snortd on
chkconfig --level 3 snortd on
这里的 level 请自行更改到您所跑的 runlevel
您可以用 cat /etc/inittab | grep id 来看自己在哪个
runlevel 上面.
cat /etc/inittab | grep id
id:5:initdefault:
这里就是说跑在 run level 5 上面.
设定服务器 我们需要对服务器做一些设定,让服务器把 log 送到我们的 logger 服务器去. 首先,我们需要设定 /etc/syslog.conf 把 log 送到一个有效的,但是不存在的 ip 下面.例如我们的网路是 192.168.1.0/24 其中并没有 192.168.1.123 这台机器,也就是说这个 ip 实际上是空的.我们就把 log 指向这里.您可以指向任意一个空的有效 ip.
vim /etc/syslog.conf
*.info @192.168.1.123
如果您的系统是用 syslog-ng 的话
vim /etc/syslog-ng/syslog-ng.conf
destination d_loghost { udp(ip(192.168.123)
port (514)); };
filter f_info { level(info); };
log {filter(f_info); destination(d_loghost);};
我们还需要加入 static ARP entry 才可以. 如果您的网路只是接了记个 Hub 而已, 那么 ARP 地址一样可以好象 ip 一样,设定成虚构的. 如果您有连结 switch, 您需要加入 log 服务器的真实 MAC 地址.
我们这里加入我们 logger 服务器的真实 MAC 地址就可以了.
arp -s 192.168.1.123 00:D0:B7:DB:BF:95
在 Logger 服务器设定 snort
/etc/snort/snort.conf
var EXTERNAL_NET any
#等于 snort -d
config dump_payload
#等于 snort -C
config dump_chars_only
#设定 log 存放的 path
config logdir: /var/log/snort
# frag2 所做的动作就是把 fragmented 给我们 re-assembly
preprocessor frag2
log udp 192.168.1.1/32 any -& 192.168.1.123/32 514
(logto: "logged-packets";)
最后一行需要稍微解释一下∶
我们这里把 snort 来做 packet logger. 也就是说,并不是把所有的东西都写入到 /var/log/snort/alert 中.而是 log any packets with match the rule without writing an alert.
udp: 是说,我们这里用 udp 的 protocol. system log 通常都是使用 udp 的.
192.168.1.1/32: 就是只我们的服务器啦,也就是送 log 的机器. 如果您是从整个一个网路段中收 log 也可以用 192.168.1.0/24.
any: any source port 任何 port
-&: 这个是 direction operator 大家都知道的
192.168.1.123/35 514 就是我们给出的那个空 ip 啦, port 514
如果没有指定 logto: 的话, log 会分别保存在不同的文件中. 而指定 logto 的话,就会把 log 全部存放到我们指定的文件中,看起来方便多了.
更安全的保存 log 就可以更安全的保护服务器. snort 的功能实际上非常的强大, 这里只是一个简单的介绍而已.如果您对这些东西有兴趣.可以去 www.snort.org/docs/ 下面看到非常多的有用的文件.
来源:http://www./studyarea/
小编推荐：欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术，请
注册黑基账号，公开课频道价值万元IT培训教程免费学，让您少走弯路、事半功倍，好工作升职加薪！
免责声明：本文由投稿者转载自互联网，版权归原作者所有，文中所述不代表本站观点，若有侵权或转载等不当之处请联系我们处理，让我们一起为维护良好的互联网秩序而努力！联系方式见网站首页右下角。