2015/06/27

ECSA 考試之後

今天通過了ECSA 考試,順利拿到證書。

但是70% 及格的考試,我是70.67 過關。
特定幾個領域的問題全部都不會,沒概念也答不出來。
還有一題,從題目到所有選項、都有看不懂的單字,到最後只能猜。因為從題目到四個選項,我都不知道在講什麼東西。

所以過了又如何,離開考場時我的臉整個是繃緊的、高興不起來。
我還是一樣弱,只是進步了一些些而已。

但至少目標還是拿到了,擔子還是輕了一些、也不用擔心重考的費用了。

原本的目標裡,PMP 與ECSA 都入手了,CGEIT 等待結果。
年底的CRISC 慢慢來,我不擔心。
後續這幾個月就是英文與練身體,一切照計劃走。
只是現在BSC 先不看了,專心在CODING 與ECSA 完整議題上,其餘的時間就好好消化過去一年來的東西吧。

15 個月,七張證照。已經確定入手的有六張、一張結果還未知。
我不知道有多少人像我這樣拚,我只知道PMP 之後就不行了、意識磨完了。

CGEIT 考試時,考前規則宣讀時我還是恍神狀態、整個神遊。
ECSA 考試,MARK 的題目看完就交卷了,我只想早早離開考場。
考試時都這樣了,二個考試前都早早睡覺、書本放在眼前卻沒看也就不訝異了。

我不知道自已是否真的累了、考不完的試,起因是耐力+恆心不足?
還是這麼努力的結果卻還是找不到合適的工作,顧問產業工業化讓我這種人反而容易形成問題或更直接影響高階顧問的地位?是否這個原因讓我意志消沉?

但是意志力不足、不夠堅強是事實,所以後面幾個月的重點除了英文、身體之外,個人基本能力--包含人格特質與心理素質的強化,才是我最大的考驗與最重要的議題。

加油。

2015/02/20

AIDE


AIDE 是稽核LINUX 上系統異動的情況,包含權限異動也都可以查到。

最後修改日期:2014/2/20

基本使用:

1. 首次使用時輸入 aide --init
輸出的資料檔為:/var/lib/aide/,記得要換名稱、否則日後比對時會找不到基準到。

# aide --check
 
AIDE found differences between database and filesystem!!
Start timestamp: 2014-01-05 08:03:47
 
Summary:
  Total number of files:        39240
  Added files:                  0
  Removed files:                0
  Changed files:                20
 
---------------------------------------------------
Changed files:
---------------------------------------------------
 
changed: /usr/sbin
changed: /usr/libexec
changed: /usr/libexec/gcc/x86_64-redhat-linux/4.4.4
changed: /usr/libexec/getconf
changed: /usr/libexec/polkit-1
changed: /usr/libexec/utempter
changed: /usr/libexec/awk
changed: /usr/bin
changed: /usr/lib64
changed: /usr/lib64/pm-utils/bin
changed: /usr/lib64/nss/unsupported-tools
changed: /usr/lib64/sa
changed: /usr/lib64/perl5/CORE
changed: /root
changed: /root/.viminfo
changed: /lib/udev
changed: /bin
changed: /lib64
changed: /lib64/dbus-1
changed: /sbin
 
--------------------------------------------------
Detailed information about changes:
---------------------------------------------------
 
Directory: /usr/sbin
  Mtime    : 2014-01-05 08:00:49              , 2014-01-05 08:01:20
  Ctime    : 2014-01-05 08:00:49              , 2014-01-05 08:01:20
 
Directory: /usr/libexec
  Mtime    : 2014-01-05 08:00:49              , 2014-01-05 08:01:21
  Ctime    : 2014-01-05 08:00:49              , 2014-01-05 08:01:21
 
Directory: /usr/libexec/gcc/x86_64-redhat-linux/4.4.4
  Mtime    : 2014-01-05 08:00:49              , 2014-01-05 08:01:21
  Ctime    : 2014-01-05 08:00:49              , 2014-01-05 08:01:21
 
Directory: /usr/libexec/getconf
  Mtime    : 2014-01-05 08:00:49              , 2014-01-05 08:01:21
  Ctime    : 2014-01-05 08:00:49              , 2014-01-05 08:01:21
 
Directory: /usr/libexec/polkit-1
  Mtime    : 2014-01-05 08:00:50              , 2014-01-05 08:01:21
  Ctime    : 2014-01-05 08:00:50              , 2014-01-05 08:01:21
 
Directory: /usr/libexec/utempter
  Mtime    : 2014-01-05 08:00:50              , 2014-01-05 08:01:21
  Ctime    : 2014-01-05 08:00:50              , 2014-01-05 08:01:21
 
Directory: /usr/libexec/awk
  Mtime    : 2014-01-05 08:00:50              , 2014-01-05 08:01:21
  Ctime    : 2014-01-05 08:00:50              , 2014-01-05 08:01:21
 
Directory: /usr/bin
  Mtime    : 2014-01-05 08:00:57              , 2014-01-05 08:01:29
  Ctime    : 2014-01-05 08:00:57              , 2014-01-05 08:01:29
 
Directory: /usr/lib64
  Mtime    : 2014-01-05 08:01:09              , 2014-01-05 08:01:42
  Ctime    : 2014-01-05 08:01:09              , 2014-01-05 08:01:42
 
Directory: /usr/lib64/pm-utils/bin
  Mtime    : 2014-01-05 08:01:09              , 2014-01-05 08:01:42
  Ctime    : 2014-01-05 08:01:09              , 2014-01-05 08:01:42
 
Directory: /usr/lib64/nss/unsupported-tools
  Mtime    : 2014-01-05 08:01:09              , 2014-01-05 08:01:42
  Ctime    : 2014-01-05 08:01:09              , 2014-01-05 08:01:42
 
Directory: /usr/lib64/sa
  Mtime    : 2014-01-05 08:01:10              , 2014-01-05 08:01:43
  Ctime    : 2014-01-05 08:01:10              , 2014-01-05 08:01:43
 
Directory: /usr/lib64/perl5/CORE
  Mtime    : 2014-01-05 08:01:10              , 2014-01-05 08:01:44
  Ctime    : 2014-01-05 08:01:10              , 2014-01-05 08:01:44
 
Directory: /root
  Mtime    : 2014-01-05 07:59:25              , 2014-01-05 08:03:45
  Ctime    : 2014-01-05 07:59:25              , 2014-01-05 08:03:45
 
File: /root/.viminfo
  Inode    : 267392                           , 267393
 
Directory: /lib/udev
  Mtime    : 2014-01-05 08:01:14              , 2014-01-05 08:01:48
  Ctime    : 2014-01-05 08:01:14              , 2014-01-05 08:01:48
 
Directory: /bin
  Mtime    : 2014-01-05 08:01:15              , 2014-01-05 08:01:49
  Ctime    : 2014-01-05 08:01:15              , 2014-01-05 08:01:49
 
Directory: /lib64
  Mtime    : 2014-01-05 08:01:16              , 2014-01-05 08:01:50
  Ctime    : 2014-01-05 08:01:16              , 2014-01-05 08:01:50
 
Directory: /lib64/dbus-1
  Mtime    : 2014-01-05 08:01:16              , 2014-01-05 08:01:50
  Ctime    : 2014-01-05 08:01:16              , 2014-01-05 08:01:50
 
Directory: /sbin
  Mtime    : 2014-01-05 08:01:18              , 2014-01-05 08:01:52
  Ctime    : 2014-01-05 08:01:18              , 2014-01-05 08:01:52

預設情況下,每次比對都會把一些正常的東西給列出來如下:

這是因為prelink 的關係,請參考:這裡修改即可。
1. vi /etc/sysconfig/prelink 把PRELINK=yes 改成PRELINK=no
2. 以root 身份運行 /etc/cron.daily/prelink

後面就會正常了。

2014/12/31

2015 的新目標與2014 回首


12/29 號,我終於通過了CISSP 考試。
有空時來寫一下考試心得吧!但不是現在

2014 算是大豐收吧,公司需要的ISO 27001:2013 過了,自已想要的CISA、CISM和CISSP 也都過了。
資安管理方面的主要證照,我都到手了。
2015 過年前會去考PMP,這樣子管理職能方面就更完整了。只剩下技術面的證照了。

2014 的目標達成了,一個好的開始。
過去在準備這三個考試時,讓自已變的不一樣了。不只是學習怎麼念書準備考試,對自已的要求和管理也有所提升了--但仍然沒辦法跟那些優秀的人比。
但仍然是進步!

2015 的目標:
  1. 強化自已的在滲透方面的功力,並且考ECSA。
    1. 當然還有其他的資安技術!
  2. 讀COBIT,有空時看看SP800-30 系列。
  3. 把英文給學好。
  4. 好好練身體!
加油,希望自已能越來越好。

2015/1/7 ...

這幾天在PMP 上課前上自已看了一下書、也看了一下104,自已的目標也越來越明確了。

過年前:準備PMP.

過年後:準備ECSA,再學八極。.

剩下的就是:

  1. 練身體和射箭。
  2. 英文。
  3. COBIT, SP800 系統。

2015/4/14 ...

人生就是變化,目標改了二個月、一直忘了上來更新:

  1. ECSA。
  2. CGEIT
  3. CRISC。
  4. 英文。
  5. 平衡計分卡。
  6. 練身體。
  7. 不特定資安技術涉獵。
  8. PMP -> 已拿到。

2014/10/20

2014 目標檢視


10/20,2014 過的差不多了、只剩二個月多了、最後的ending 。

今年考到了CISA 與CISM,下午看了一下104,各個中階資安管理職都已經打開大門隨我挑。
只是看我想不想要而已。

但是CISSP 還沒有考,主因是…失算。
年初安排目標時想說中文不急、慢慢考,先從會去上課的CISA 當熱身開始。
沒想到中文版就沒了…。

六/九月的CISA/CISM 讓我重新學習怎麼念書和準備考試,真的非常的累,也看到自已的心志並不堅強、幾個月之後就累了。我真的比不上那些可以持之以恆念書的人,明明我都34了,但很清楚自已比不上那些台清交的、那麼年輕就可以明確的為自已的目標不斷努力。

最終目標不知道有沒有機會達成,剩二個月了、中文版考試還是遙遙無期,二年前680。
現在我的功力已經大不同了、但是真的沒問題嗎?

年初定的目標是CISSP,隨後修改成CISA/CISM/CISSP/PMP。
沒有錢了,我最多就12月衝刺CISSP。
PMP 呢?有錢我就一定考的到的東西。最終仍然是能力問題、但是重點卻是在財務上。

CISSP 年底前一定要考,給自已一個交代、也不要拖太多。
同時間已經可以開始加化技術面了、一直看書真的會受不了了,同時也該讓小子們知道天有多高了。

加油,勇猛無懼


------------------------------------------------------------------------------------------------------------------------

訂了12/29 的考試,只許成功、不許失敗。

2014/04/14

Linux 指令 cut 裡如何使用tab 分隔符號?

之前也遇過這類使用需求好幾次了,這次找到了一個好文章於此:http://unix.stackexchange.com/questions/35369/how-to-cut-by-tab-character

方法一: Press Ctrl-v + Tab 


 cut -f2 -d' ' 

方法二:-d$'\t'


cut -f2 -d$'\t'

2014/01/04

2014 的新目標與2013 回首

回頭來看2013 的目標:程式設計的功力向上提升研究所考試
雖然,我違背了自已定的計劃、在休息時好好提升coding 的能力。但是現在在工作上coding 的機會大幅提高、而我也好好的把握每一次coding 的機會,讓coding 的觀念與能力、程式架構與對Python 的熟悉度…等目標都有明顯的成長。 所以,為什麼會有人coding 了N 十年、卻還是停留在原地呢?
一者為心,另一者就是主管們的問題了;是否工作量逼迫下面的人只求解決問題而非更好、更長遠的方法?

另外一個目標是研究所考試,九月吧,好好看看自已。
沒錢、沒時間又有多個目標,所以我決定把目標先鎖定在存錢和工作上。

2014 的目標:
1. 是CISSP。
今年一定要考到並且是盡快考到、同時盡早完成20學分。

2016,預計的修數第二年,ISSAP和ISSMP 都要拿到,做好準備。

2. 補足技術面的不足,在這間公司不知能待多久、所以還是提早彌補起來的好。
目標CEH,預計在考取CISSP 之後進行,這也是為什麼CISSP 要盡快的主因。
我需要時間來充實技術面的不足。

3. 存錢:盡量吧…還是以那二張證照為主要目標、該花的省不了。
但是像品質工程師這種課就算了…以後再說吧。

加油,用心然後好好改革自已。

2013/05/19

我的iptables

今天上午想整理一下慣用的iptables 設定,所以來PO 一下也順便灌水~

我的主機目前是在防火牆後面的,並且環境上也相對單純,畢竟家裡除了它之外就只有我的小PC了。
它的用途是:
  1. 讓我有個Web 平台可用,以便不時之需與練功。
  2. 讓我有個練習寫C 的地方。
  3. 平時都是以ssh 連線存取該主機。
  4. 其他~~
為了方便與維護,主機對外只需使用DNS 與NTP 服務而已。
所以功能與提供的服務很簡單,如果有要提供或使用較多服務的話,請適時修改相關的port 設定。

下面是結果:
Chain INPUT (policy DROP)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT all -- 192.168.1.0/24 0.0.0.0/0 state NEW
3 ACCEPT tcp -- A.B.C.D       0.0.0.0/0 state NEW multiport dports 22,80

Chain FORWARD (policy DROP)
num target prot opt source destination

Chain OUTPUT (policy DROP)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 53,123 state NEW
4 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 53,123 state NEW

我習慣先設定完許可的部份,最後才是DEFAULT POLICY 的指定。
有一些網誌一開始就來個 iptables - P INPUT DROP.
真不知對一些透過SSH 下命令開始學習的新手而言,當發現自已莫名被block 之後會做何感想…
指令順序如下:

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -F INPUT

iptables -F FORWARD
iptables -F OUTPUT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -j ACCEPT
iptables -A INPUT -s A.B.C.D -p tcp -m state --state NEW -m multiport --dports 22,80 -j ACCEPT

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dports 53,123 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --dports 53,123 -m state --state NEW -j ACCEPT

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

其實我蠻想跳過了FORWARD 的設定,因為根本用不到,這邊會KEY 只是為了完整性...
(不要留下孤兒與特例,除非有明確的原因)

接下來開始說明:

首先是先修改DEFAULT POLICY 為許可接受全部。
為什麼呢? 因為我們的下一個步驟: iptables -F INPUT 將會清空目前所有的INPUT 規則
如果不先修改DEFAULT POLICY 的話,則當我們清除既有policy 之後會發生什麼事呢?
當網路連線的行為發生時,iptables 裡將因為沒有任何許可連線的規則,而採取預設行動:DROP
也就是將封包丟棄、置之不理。

如果是電腦裝完後直接在console 前設定的話可能無感。
但是如果裝好後是透過遠端做進一步設定,或是遠端支援的話…
就有人要哇哇叫了(或是有東西要飛過來也不一定…)

原則就是:修改policy 之前多小心、給自已留後路,不要發生管理員自已都連不進去的悲劇…
(話說我上星期才手殘…)


INPUT
第一條的部份是設定讓已建立的連線、與本機相關的連線,都能直接放行。
第二條則是許可來自內網的任何電腦都能對本機發起新連線。 這台電腦可是只用在我家裡而已哦! 在公司裡的主機我就會修改一下這個範圍,有的則會沒有這一條。
第三條是讓我可以從公司連回家裡,存取SSH (22) 與 Http (80) 服務。 A.B.C.D 就是我公司的對外IP 啦~ 針對公司內部的主機,我會針對可以使存本機服務的來源與服務內容做限制。
最後:如果所有rule 都沒有套用到的話,就會DROP 這次連線請求。

OUTPUT
第一條的部份與INPUT相同,有的地方會以dport 來建立一堆規則,其實只要一條這個就可以了。
第二條則是許可本機對外使用PING。
第三、四條則是許可本機對外使用的服務。其中UDP 的部份其實加不加NEW 都OK,其實只對TCP 有差而已 -- 那麼我為什麼還要加上NEW 呢?
其實只是為了閱讀和版面上的一致性而已 XDD
最後:如果所有rule 都沒有套用到的話,就會DROP 這次連線請求。

另外;有時我會手動開啟TCP 80 以便使用YUM. 但並不會設定固定規則

原本…在INPUT 的地方還有第四條,讓本機來源可以使用自身服務。
INPUT -A INPUT -i lo -j ACCEPT.
但是加了之後,我list 出來看到的結果永遠都是0.0.0.0 -> 0.0.0.0 ACCEPT.
總是覺得怪怪的…為什麼-i lo 的來源會是0.0.0.0 (任何地方)
所以現在先沒有使用這條規則~ 之後對這方面有更多了解了再來修訂與補充說明 ^_^

另外,有不少人對OUTPUT 做限制感到疑惑,認為限制本機對外連線是沒有意義的。
這方面我的技術深度不足,無法做有效講解。
只能說,從資訊安全的管理觀念來看,防禦不只是外人對內部難以下手、也要讓內部無法對外做不該做的事。
同時也讓我們能對主機預期的行為做完全的掌控。
就技術面而言,一個關鍵要點是:大部份的惡意程式本體、主程式是放在WEB 上的,在攻擊者努力的過程中、一個很主要的關鍵就是讓目標主機去特定的網站下載惡意程式碼。所以如果能阻止這個部份的話,即便無法讓攻擊方失敗、也能提升其得手的難度。

最後修改日期:2013/5/19
之後只會陸續維護這個頁面~ 隨著日後使用習慣的變更來更新它。

如果有什麼可以改進、想法或是錯誤的話,歡時隨時討論 ^_^

ECSA 考試之後

今天通過了ECSA 考試,順利拿到證書。 但是70% 及格的考試,我是70.67 過關。 特定幾個領域的問題全部都不會,沒概念也答不出來。 還有一題,從題目到所有選項、都有看不懂的單字,到最後只能猜。因為從題目到四個選項,我都不知道在講什麼東西。 所以過了又如何,離開...