应急响应中的高级bash脚本技巧
如果对 Bash 脚本编程有所了解,那就再好不过了。这篇内容将深入掌握 Bash 脚本的进阶知识,特别是在应急事件处理中的实际应用。
阅读更多rsync+tls 实现远程数据同步加密传输
rsync是一个高效的数据同步工具,但是使用rsync本身只支持ssh和rsync这两种传输协议。我最近遇到了一种场景是从境外的服务器上同步到国内的NAS上。直接传输很容易被GFW阻断掉,但是rsync本身不支持tls加密。
最终通过 trojan + rsync 实现伪装tls流量远程同步文件。
阅读更多开发ko内核模块,无依赖实现监控DNS请求进程
监控Linux主机发起DNS请求的进程是应急响应中经常遇到的一个问题。虽然可以通过systemtap或者ebpf的方式实现,但是在实战场景下两者的安装都非常麻烦。
- ebpf不支持低版本的内核,升级内核又需要重启,真实场景下不太可能实现。并且大部分内核只支持源码编译安装ebpf,过程非常繁琐。
- systemtap必须安装当前指定内核版本的debuginfo,依赖多个包,动则几百M上G。镜像源都是国外的,在客户现场下载非常耗时。
监控发起DNS请求原本只是非常小的需求,用ebpf和systemtap简直是大材小用。我一直在思考有没有更轻量通用的解决方案。
阅读更多