[Wazuh](Wazuh · The Open Source Security Platform)是一整套基于ossec安全检测工具和EFK日志工具构成的终端安全管理工具。不管是将其分类至HIDS，还是EDR，它都是一套通过监控主机日志行为，提供安全检测、分析和完整报告的开源、免费利器。Wazuh基于C/S架构，它的Agent支持Windows、MacOS、Linux、HP-UX、AIX等主流操作系统。其服务端负责提供认证和数据收集，然后通过filebeat进行日志清洗，最后导入ElasticSearch，通过Kinbana进行展示和输出日志。它不仅可以收集主机的事件日志进行一般的入侵检测功能，还可以通过第三方提供的系统漏洞检测feed文件，来实现主机的漏洞扫描和合规检查。 基本概念功能示例 组件模块Wazuh的组件分为三部分： 客户端的功能 收集日志和事件日志； 文件和注册表的监控； 运行进程和安装软件的信息收集； 监控系统端口和网络配置； 检测恶意软件； 配置管理和策略监控 检测主机响应 服务端 客户端的服务器注册； 实现客户端的连接服务； 根据各项规则实现 ...

缘起公司现有一堆14年末的Mac mini主机需要清理、更换SSD、系统升级和资产归纳。因为是库存主机且数据已经可以清空的情况下，对这些老家伙进行格式化重装和重命名主机并加入现有AD域。 部署制作USB启动器 下载 balenaEtcher 工具，来刻录USB安装镜像（需科学上网才能正常下载） 下载可引导ISO镜像，我们使用最新的12.3.1 系统安装 开机部署（ 开机按 alt 键，进入引导界面） 打开系统工具，点击“Disk Utility” 清除磁盘，并新建磁盘 返回系统工具，点击“Install macOS”，开始安装 更名原有主机配置根据用户名创建主机名，为方便后续资产管理，现需要变更主机名。 打开系统偏好设置 选择 “共享” ，并点击“编辑” 勾选“使用动态全局主机名” 修改默认“电脑名称” 加域 使用管理员权限打开“用户与群组” 点击“登录选项”，并点击锁按钮 使用管理员权限解锁按钮 点击下方“网络账户服务器：加入” 输入可加域管理员账号、密码、加域主机名(默认小写) 输入本地管理员密码确认变更

部门库存里面有几台硬盘为1TB机械盘的2014年版本Mac Mini。为了资源利用，现将这些主机的硬盘更换为拆机的256GB SSD磁盘。 主要操作流程如下： 拆除主机外壳( 要注意wifi的连接线) 拆除主机风扇（注意使用镊子或者小的一字螺丝刀把风扇电源、硬盘数据线、主板电源小心的拆掉，这个接口很脆） 从机壳中拉出主板（有两颗固定长螺丝需要拆除） 拆除主机电源（拔掉电源接口下方的金属销，然后将电源接口向主板位置方向旋转90度即可拉出电源）； 拆除主机硬盘 更换硬盘（硬盘位使用普通十字螺丝固定，接口有贴纸，贴纸很容易失去粘性，可小心贴到塑料表面，不要沾染指纹或灰尘） 最后依次还原主机

本书从概念和操作两方面介绍了虚拟化基础设施的性能。 CPU虚拟化基础 CPU保护模式 CPU保护模式，也称为保护虚拟地址模式，是一种提供硬件级别内存保护的X86处理器操作模式。 实模式 为原始x86处理器设计 关闭内存保护功能 只有操作系统内核才可以无限制使用全部硬件资源 保护模式： 保护模式的特权等级：Ring0 Ring1 Ring2 Ring3 Ring 0 特权最多，Ring 3 特权做少 Ring 0：Kernel ；Ring 1 设备驱动； Ring 2 设备驱动； Ring 3 应用 定义CPU虚拟化的类型： 基于软件的CPU虚拟化： 运行于Ring1级别 需要VMM编译执行代码 基于硬件辅助的CPU虚拟化 运行于Ring0 使用Intel VT 或者AMD-V硬件辅助功能，无需软件编译 物理CPU与虚拟CPU之间的区别 每一个物理处理器内核被检测为一个pCPU 每个线程也可以被视为一个pCPU vCPU状态 运行状态：在pCPU上被调度来运行指令 准备状态：在pCPU上准备调度，但由于调度延迟不直接运行 等待闲置状态：特殊状态（？） 等待 ...

由于CentOS 8的源已经不可用，所以需要将原有 CentOS 8 升级为CentOS Steam 8： dnf --disablerepo '*' --enablerepo extras swap centos-linux-repos centos-stream-repos dnf distro-sync

缘起近期，DBA报错多台CentOS7的主机无法使用域账号登陆，出现“Permission denied”的错误。确认域账号密码正确无误，使用root可登录，域账号就是无法登陆。由于CentOS7.3以后使用SSSD替换了winbind服务，所以尝试重启SSSD服务，但故障依旧。SSSD服务可以完成重启，但重启之后提示认证失败： Mar 21 16:06:02 test.targetmachine.com sssd[krb5_child[40570]][40570]: Preauthentication failed Mar 21 16:06:02 test.targetmachine.com sssd[krb5_child[40570]][40570]: Preauthentication failed Mar 21 16:06:02 test.targetmachine.com sssd[krb5_child[40570]][40570]: Preauthentication failed Mar 21 16:06:02 test.targetmachine.com sshd[40 ...

背景由于微信小工具的SDK是部署到Windows Server上的，在利用jenkins进行DevOPS的时候，就难免涉及到要将前端代码发送到Linux的生成服务器上去。那么问题就来了…… 部署环境 操作系统：Windows Server 2012R2 x64（2019以前都可以照此办理） 服务端： [OpenSSH For Windows]: https://github.com/PowerShell/Win32-OpenSSH/releases 工具： [Rsync客户端]: https://www.itefix.net/cwrsync 安装# 下载OpenSSH客户端并解压至c:\windows\system32\，完整路径为c:\windows\system32\openssh # 使用管理员权限打开powershell客户端 # 进入相应目录 # 安装SSHD服务 powershell.exe -ExecutionPolicy Bypass -File install-sshd.ps1 # 启动sshd服务 start-service sshd # 设置自启动 ...

缘起现有十多台已加入Windows Server活动目录的CentOS6主机，无法使用域账号登录，只能使用本机系统登录。 该集群主机运行服务正常，网络服务正常。 思路 长时间无域账号登录导致的脱域； Samba版本升级引起的配置文件错误（丢失或配置项变更）。 排错 使用root账号登录重新加域 # 清空缓存 net cache flush rm -f /var/lib/samba/*.tdb # 重新加域 net ads join -U administrator@DOMAIN.com 加域之后无法登录，id username 无法拉取最近用户 # AD连接测试失败 [root@server ~]# wbinfo -t checking the trust secret for domain EXAMPLE via RPC calls failed wbcCheckTrustCredentials(EXAMPLE): error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233) failed to call ...

关于OWASP是一个开源的非盈利NGO，是Web安全标准的制定者和推广者,在全世界有250个分部和近7万会员。ZAP是其出品的一个免费、开源的WEB安全旗舰产品，全称是OWASP Zed Attack Proxy，是一款web application 集成渗透测试和漏洞工具。目前，我司的WEB产品交付安全检测就是由它来负责和验证。 部署靶机我们使用wordpress来作为测试的目标： # CentOS Steam 8上Wordpress的部署 # 在192.168.79.16上建立WordPress站点作为靶机，WordPress的版本为5.9，PHP版本为7.2.4 dnf update -y dnf install -y mysql mysql-server dnf install -y httpd tar curl dnf install -y php php-fpm php-mysqlnd php-json php-dom php-gd php-mbstring php-zip php-intl # 开启防火墙例外 firewall-cmd --permanent --ad ...