kerberos

CentOs7改变的最大处就是防火墙了，下面列用了常用的防火墙规则，端口转发和伪装 一、Firewalld基础规则 --get-default-zone　　打印已设置为默认区域的当前区域，默认情况下默认区域为公共区域。 [root@centos7 ~]# firewall-cmd --get-default- zone public --new-zone=ZONE_NAME　　创建自己的自定义区域 [root@centos7 ~]# firewall-cmd --permanent --new-zone= testing success --set-default 　　修改默认区域 [root@centos7 ~]# firewall-cmd --permanent --set-default-zone=testing --get-zones　　打印所有可用区域的列表 [root@centos7 ~]# firewall-cmd --get- zones block dmz drop external home internal public trusted work --list-all-zones　　显示每个区域的详细信息，为了简单起见，这里只显示一个区域的结果 [root@centos7 ~]# firewall-cmd --list-all- zones public

作者：启明星辰ADLab 原文链接： https://mp.weixin.qq.com/s/Agr3doBvYMK6Bs0tH6urcw 引言 Cobalt Strike是一款商业化的渗透测试利器，由著名的攻防专业团队Strategic Cyber开发。该工具被广泛应用于渗透测试项目中，在提高政府和企业网络设施安全性上起到了重要的作用。同时，随着网络空间的红蓝对抗不断发展，该框架成为对手模拟和红队行动中最为流行的一款软件。但由于该框架具备团队协作攻击、流量防检测、防安全软件查杀等优势，因而也被大量黑客组织用于真实的高危害性的攻击。目前已知的多个APT组织都曾经使用过Cobalt Strike攻击框架，如FIN6、Cobalt Group组织和“海莲花”等。但是，目前所披露出来的攻击情报只是黑客利用Cobalt Strike进行非法攻击的冰山一角。由于该框架集成有丰富的逃避流量监测和沙箱检测技术，且具备优秀的反追踪能力，再结合黑客团体积累的免杀技术和C&C隐藏技术，使得业内对Cobalt Strike框架的在野利用状况知之甚少，也很难有一个全面的了解和清晰的认知。这种情况直接导致大量依赖于Cobalt Strike框架进行的网络攻击行为被忽视或者漏掉，如目前仍然存在许多VT查杀率为0的样本以及因利用C&C隐藏技术而存活至今的控制命令服务器。 因此

Mimikatz是法国人benjamin开发的一款功能强大的轻量级调试工具，本意是用来个人测试，但由于其功能强大，能够直接读取WindowsXP-2012等操作系统的明文密码而闻名于***测试，可以说是***必备工具，从早期1.0版本到现在的2.1.1 20180205版本，其功能得到了很大的提升和扩展。Mimikatz最新版本一共三个文件（mimilib.dll、mimikatz.exe、mimidrv.sys），分为Win32位（多了一个mimilove.exe文件）和X64位。通过它们可以提升进程权限、注入进程读取进程内存，可以直接从lsass中获取当前登录过系统用户的账号明文密码，lsass是微软Windows系统的安全机制它主要用于本地安全和登陆策略，通常我们在登陆系统时输入密码之后，密码便会储存在lsass内存中，经过其wdigest和tspkg两个模块调用后，对其使用可逆的算法进行加密并存储在内存之中，而mimikatz正是通过对lsass的逆算获取到明文密码！本文以mimikatz最新版为例，介绍了mimikatz的参数、获取密码以及伪造黄金票据获取域控密码等用户，利用ms14-068结合mimikatz获取域控密码等，最后文中还给出了相应的防范方法，对网络***都具有一定的借鉴意义。 1.1.1下载及安装 最新版下载地址： https://github.com

下面是译文，你也可以看老外的文章： Stairway to SQL Server Security 。 你需要保护你的server和数据，抵御当今复杂多变的攻击，在这些方面SQL Server都可以做到。但是在你使用这些安全有效的功能之前，你需要知道你面临的威胁和一些基本的安全概念。这篇文章是一些基础内容，以便您可以充分利用SQL Server的安全功能，不用浪费时间在数据安全方面。 身份验证是一个核实主体的过程，验证一个用户或者需要访问SQL Server DB进程的权限。一个用户需要有唯一的标识，以便于SQL Server能够确定这个主体有哪些权限。在为访问DB提供保护的时候，第一步必须的就是正确的身份验证。 SQL Server支持两种途径的身份验证：Windows和SQL Server身份验证。你使用的途径依赖于网络环境，访问数据库的应用程序类型和这些应用程序的用户类型。 Windows身份验证： 这种身份验证的形式依赖于Windows，当用户登录到Windows的时候验证身份。访问SQL Server对象的权限是通过 　　分配权限给Windows登陆账号来实现的。当SQL Server所在的Windows支持Windows NT 或者 Kerberos身份验证的时候，那么　　 Windows身份验证是很有用的，在Windows 2000之后，这个几乎是一个标准了。 SQL

Samba AD DC(域控制器)的配置 http: // lihaitao.cn/?p=299 山东前辈写的blog 挺好的。。 改天做实验。 发表于 2017年3月7日 由 李海涛 ■Samba AD DC(域控制器)的配置 为了使用Active Directory,要事前确认下面项目. ・AD DC服务器的主机名：centos7-samba ・域名：TESTAD ・完整域名：TESTAD.LOCAL １、事前准备 ①CentOS７上主机名的配置 # echo centos7-samba > /etc/hostname 上面的命令实行后、重起让主机名生效。 ②因为yum 源里没有现成的samba的Domain Controler,所以通过源码安装 ①先安装Samba 在make时依赖的软件包 # yum install perl gcc attr libacl-devel libblkid-devel \ gnutls-devel readline-devel python-devel gdb pkgconfig \ krb5-workstation zlib-devel setroubleshoot-server libaio-devel \ setroubleshoot-plugins policycoreutils-python \ libsemanage-python

Kerberos is a network authentication protocol. It is designed to provide strong authentication for client/server applications by using secret-key cryptography. A free implementation of this protocol is available from the Massachusetts Institute of Technology. Kerberos is available in many commercial products as well. Kerberos 是一个网络授权协议。它是为了向c/s应用提供强有力的认证机制而设计出来的，它使用了密钥加密。 Massachusetts Institute of Technology 是一种免费的实现。也有很多商业产品实现了这个协议。 The Internet is an insecure place. Many of the protocols used in the Internet do not provide any security. Tools to "sniff" passwords off of the network are in

摘自： https://www.cnblogs.com/wukenaihe/p/3732141.html 1. Kerberos简介 1.1. 功能 一个安全认证协议 用tickets验证 避免本地保存密码和在互联网上传输密码 包含一个可信任的第三方 使用对称加密 客户端与服务器（非KDC）之间能够相互验证 Kerberos只提供一种功能——在网络上安全的完成用户的身份验证。它并不提供授权功能或者审计功能。 1.2. 概念 首次请求，三次通信方 the Authentication Server the Ticket Granting Server the Service or host machine that you’re wanting access to. 图 1‑1 角色 其他知识点 每次通信，消息包含两部分，一部分可解码，一部分不可解码 服务端不会直接有KDC通信 KDC保存所有机器的账户名和密码 KDC本身具有一个密码 2. 3次通信 　　我们这里已获取服务器中的一张表（数据）的服务以为，为一个http服务。 2.1. 你和验证服务 　　如果想要获取http服务，你首先要向KDC表名你自己的身份。这个过程可以在你的程序启动时进行。Kerberos可以通过kinit获取。介绍自己通过未加密的信息发送至KDC获取Ticket Granting Ticket (TGT)。

前言： 2020年3月7日晚7点，大佬张祥在微信群向大家详细介绍了58同城HBase平台及其生态的建设实践与相关经验，确实讲得很好。今天花了点时间帮大家整理了一下，希望更多的没有参与直播的朋友能够看到它，也欢迎大家积极转发一下，视频与PPT 相关资料附于文末 。 亮点在哪 该分享的亮点在哪儿里呢？这里我就自己的理解阐述一下自己的想法，不喜勿喷哈~ 1. 数据接入层 第一个亮点是：58同城在HBase之上做了进一步封装（SCF），融入了微服务，充分利用了微服务的优势和特点，比如熔断、监控、权限、动态扩缩容等等都可以在这一层做，虽然也多了一层运维成本，但微服务技术应该也算有比较成熟的体系了。 之前也听过诸多言论，比如HBase之上封装一层HTTP或是RPC服务会导致性能降低之类的说法，其实我倒是觉得影响还是比较小的，当然肯定会有些影响。对性能影响比较大的只可能是过度封装或是对HTTP/RPC框架不熟。 当然，性能与服务器成本是挂钩的，性能的提升会带来服务器成本的降低，诸多好处和不足还应权衡一下。58同城，也算是在这一方面开了一个不错的先例（恕我孤陋寡闻~）。 2. 多租户打通与数据隔离 听完整个视频，我觉得第二个亮点算是多租户的全线打通了，这里主要是一个解决方式：Hadoop ugi 的提出。可能是我孤陋寡闻吧，这个对我的启发确实挺大的