Обновлено: 01.07.2024

У университета есть лицензия Red Hat на территорию кампуса. См. software.ncsu.edu для получения подробной информации о лицензии, правах и т. д.

Установочный носитель

Вы можете установить Red Hat Linux либо по сети, либо с помощью съемных носителей, таких как DVD. CSI предоставляет инфраструктуру для упрощения установки сети.

Все установочные носители доступны только по адресам в кампусе. Вам может понадобиться использовать NCSU vpn, если ваш сетевой адрес не виден как локальный.

RHEL 7 и более поздние версии

Сетевые установки

Для RHEL 7 и более поздних версий устройства в сети кампуса могут получить доступ к деревьям установки по URL-адресу

Здесь $major представляет основной номер версии (например, 7 ), $version представляет версию ОС (например, «7.4»), а $arch представляет архитектуру компьютера (например, x86_64 ).

Мы рекомендуем вам использовать нашу централизованно поддерживаемую систему сборки для сборки хостов Linux, но вы можете поддерживать свои собственные сетевые установки, используя путь, указанный выше.

Установить ISO

ISO-образы, подходящие для записи на DVD или использования в качестве виртуальных носителей, можно найти по адресу

Рабочая станция RH7 поддерживает только двоичные файлы

CSI предоставляет установочные образы и репозитории пакетов yum для версии Red Hat для рабочих станций в качестве любезности для определенных групп университетского городка.

Мы рекомендуем вам не использовать Workstation, если у вас нет собственной технической поддержки для ее поддержки.

RHEL 6 и более ранние версии устарели

Предупреждение. 10 мая 2017 г. RHEL 6 вышел из стадии жизненного цикла "Производство 2". Это означает, что Red Hat не будет добавлять никаких дополнительных усовершенствований программного обеспечения и только ограничит поддержку нового оборудования.

Сетевые установки

OIT не рекомендует устанавливать новые системы на RHEL 6. Мы продолжаем поддерживать существующие установочные ресурсы кампуса [Realm Linux].

Установить ISO

Образы ISO предоставляются не для всех предыдущих выпусков. OIT CSI поможет с версиями операционных систем Red Hat на этапах жизненного цикла Production 1 и Production 2. Мы не можем гарантировать какую-либо помощь с чем-либо ранее.

Сателлитная регистрация

Установочный носитель — это не все, что требуется для создания функциональной системы RedHat. Регистрация на Red Hat Satellite также необходима для лицензирования и обновлений процессов.

Инструмент Linux 802.11n CSI

Установите инструменты сборки, заголовки для разработки Linux и клиент Git. В Ubuntu запустите:

Совет. Чтобы обеспечить больший контроль над беспроводным интерфейсом во время ваших экспериментов, вы, вероятно, захотите настроить его с помощью утилит командной строки, таких как iw и iproute2. Если это так, вам сначала нужно отключить NetworkManager от управления беспроводным интерфейсом (если он установлен). В Ubuntu запустите:

Совет. Если вы хотите предотвратить автоматическую загрузку драйвера беспроводной сети во время загрузки (особенно если вы разрабатываете собственные модификации драйвера), выполните:

<Н3>2. Соберите и установите модифицированный драйвер беспроводной сети

Получите дерево исходных кодов CSI Tool Linux, которое включает модификации драйвера беспроводной сети, и проверьте соответствующий тег в репозитории для вашей версии ядра upstream:

Совет. Затем вы можете объединить эти модификации драйверов с исходным деревом Linux для вашей поставляемой дистрибутивом версии ядра, чтобы улучшить совместимость. В Ubuntu запустите:

Соберите модифицированный драйвер для существующего ядра:

Установите модифицированный драйвер в каталог обновлений модуля:

Совет. Если появляется сообщение "Не удается прочитать закрытый ключ", модуль не может быть подписан. Это не вызовет проблем, если ядро ​​не применяет проверку подписи модуля.

<Н3>3. Установите модифицированную прошивку

Получите дополнительные материалы CSI Tool:

Переместите любую существующую прошивку для адаптеров Intel Wi-Fi Link серии 5000:

<Н3>4. Создайте инструмент ведения журнала пользовательского пространства

Создайте log_to_file, инструмент командной строки, который записывает CSI, полученный через драйвер, в файл:

<Н3>5. Включить ведение журнала и тестирование

Выгрузить драйвер:

Совет. Сообщение "FATAL: Module iwlwifi is in use." может появиться, если модуль iwldvm необходимо сначала явно выгрузить. (в дистрибутивах, отличных от Ubuntu). Если это так, используйте вместо этого:

После выгрузки драйвера перезагрузите его с включенным ведением журнала CSI:

Подключитесь к точке доступа 802.11n, используя (например) утилиты iw и iproute2 (или если NetworkManager включен для беспроводной интерфейс с помощью nm-cli или графического апплета). Кроме того, вы можете позволить своей системе функционировать как точка доступа 802.11n, установив и настроив hostapd (см. дополнительные материалы для примеров настройки); в этом случае запустите hostapd в этой системе, а затем подключитесь к другому 802.11n станция к нему.

В любом случае после подключения начните записывать CSI в файл:

На другом терминале запустите команду ping с IP-адресом подключенной точки доступа (или подключенной станции). Если ответы отправляются обратно с высокой пропускной способностью (802.11n), log_to_file будет записывать CSI для каждого полученного пакета в файл, а также распечатывать сообщение на терминал. Обратите внимание, что в зависимости от алгоритма выбора скорости первые несколько пакетов обычно отправляются с битрейтами Legacy (802.11a/b/g), а не с битрейтами высокой пропускной способности; они не будут предоставлять CSI.

Отказ от ответственности: это не спонсируемый пост. Все, что относится к этому сообщению, если не указано иное, не предоставлено CSI Linux, ее сотрудниками или аффилированными лицами.

CSI Linux — это еще один дистрибутив Linux для DFIR и киберрасследований, наряду с CAINE, Tsurugi и SIFT Workstation. Он был разработан в течение последних нескольких лет командой Центра информационных войн, которая также ведет канал Cyber ​​Secrets на YouTube.

Кроме того, проводится обучение по обзору CSI Linux с двумя бесплатными курсами:

• Начало работы с CSI Linux
• Общее администрирование Linux

Они также предлагают несколько платных курсов по разведке с открытым исходным кодом (OSINT), исследованию социальных сетей (SOCMINT) и исследованию Darkweb.

Если вы хотите пропустить курсы, вы можете просмотреть учебные материалы CSI на канале Cyber ​​Secrets YouTube в предоставленном плейлисте CSI Linux.

Недавно я прошел курс "Начало работы с CSI Linux", и он охватывает следующие темы:

• Что такое CSI Linux?
• Загрузка и установка CSI Linux
• Обновление CSI Linux
• Системные настройки
• Система управления делами
• Шаблон отчета о ведении дела
• Важность анонимности
• Средства связи
• Подключение к Tor
• Онлайн-коллекция видео
• Сторонние коммерческие приложения

Обзор тем специально адаптирован для основного использования CSI Linux и напрямую связан с решением конкретных типов задач.

Основной интерфейс CSI Linux

Давайте сначала разберемся с хорошим и плохим. Я буду обновлять этот список по мере обновления курса. Я заявляю, что никакие Плохие вещи не должны мешать вам пройти этот курс, но имейте в виду несколько вещей, связанных с курсом.

• Лучшая функция — управление делами CSI.
• Видео (со звуковым сопровождением) и общая информация хорошо продуманы.
• Связь с Tor и изменение фона великолепны и хорошо интегрируются с платформой.

• OVA можно установить только в VirtualBox
• Навигация по курсу временами ужасна. Это становится очевидным после завершения теста или прочтения защищенной документации.
• Некоторая документация отображается в формате PDF, а не в формате HTML, из-за чего некоторый текст трудно читать, а встроенные скриншоты почти невозможно понять.

Управление делами

CSI Linux 2021.2: управление делами и запуск дела

Одной из функций, которую я раньше не видел в других дистрибутивах DFIR, является функция управления делами. Эта функция не связана с чем-то вроде Autopsy или другим пакетом DFIR, но создана специально для CSI Linux.

< /p>

Папка с делами CSI

Создавать обращения довольно просто, используя ссылку "Начать обращение" на рабочем столе. После ввода информации о вашем деле (которая хранится в «caseinfo.txt») вы получаете структуру папок, как показано выше. Следователь может запускать инструменты непосредственно с экрана CSI Case Management, а результаты работы инструментов сохраняются в соответствующих папках.

Идея иметь эту заранее созданную структуру дела великолепна. Если вы придерживаетесь системы управления делами, все запущенные вами инструменты будут сохраняться в этих папках.

Если вы используете CSI Linux, проверьте и протестируйте эту область дистрибутива. Это может изменить способ обращения с файлами дел.

Введение

После прохождения описанного выше курса «Начало работы» я сразу же приступил к курсу OSINT, используя бета-код. Он охватывает следующие темы:

• Основной процесс расследования
• Сохранение онлайн-доказательств
• Номера телефонов и информация
• IP-адреса, прокси и VPN
• DNS, домены и субдомены
• Важность анонимности
• Субъекты онлайн-расследований
• Настройка веб-персоны в сети — Sock Puppet
• Использование вашей личности для расследования
• Коллекция веб-сайтов
• Сторонние коммерческие приложения
• Структуры OSINT (инструменты)
• Отслеживание изменений и получение оповещений
• Поиск в общедоступных записях
• Геолокация
• Интернет-расследование с изображениями
• Сайты социальных сетей
• Сбор видеодоказательств
• Рынки
• Криптовалюта
• Составление отчета [о расследовании]
• Примеры использования
• Практика OSINT и ресурсы

• Видео (со звуковым сопровождением) и общая информация хорошо продуманы. Это распространяется почти на все видео. В одном месте собран отличный контент со всего YouTube.

• Навигация по курсу временами ужасна. Это становится очевидным после завершения теста или прочтения защищенной документации.
• Некоторая документация отображается в формате PDF, а не в формате HTML, из-за чего некоторый текст трудно читать, а встроенные скриншоты почти невозможно понять.

Видеоресурсы

Как и прежде, позвольте мне рассказать об одной вещи, которая действительно дополняет информацию в курсе, — о видеороликах, прикрепленных к каждой области. Видео есть на YouTube в плейлисте CSI Linux. Однако есть и видео от других:

Подписывайтесь на каждый из этих каналов (и других в курсе) на YouTube, Twitter или в других социальных сетях.

Исследования и информация в области безопасности — это работа сообщества, и иногда существуют ресурсы, которые следует освещать. Ресурсы, такие как использование определенного инструмента или продукта, предоставленного разработчиками, например, в случае Hunchly и Maltego. Я нахожу унизительным, что эти ресурсы добавлены в курс вместе с дополнительной информацией, чтобы было легко следовать и понимать.

Отработка навыков OSINT

Есть два места, где вы можете свободно практиковать свои навыки:

Во-первых, TraceLabs предлагает игровой способ попрактиковаться в поиске пропавших без вести, используя ТОЛЬКО пассивный сбор разведданных.

Вы можете быть либо судьей, либо участником CTF. Вы можете прочитать мое мнение об этом некоторое время назад: «Судья CTF Trace Labs против члена». У них есть текущие операции и другие способы поддержки и практики OSINT.

С другой стороны, аккаунт @quiztime в Твиттере публикует изображения и видео (иногда другие вещи), которые люди могут решить. У некоторых людей есть отличные решения, и вы можете прочитать их в блоге quiztime. Вы также можете найти информацию о том, как улучшить свои навыки (пример).

Для кого эти занятия? Во-первых, курс «Начало работы» (бесплатный) действительно показывает примеры дистрибутива и то, что он может и чего не может делать. Если вам интересно, начните здесь. Если вы понятия не имеете или хотите узнать от основ до некоторой информации промежуточного уровня по OSINT, пройдите курс OSINT. Есть проблемы с некоторыми проблемами, описанными выше, но разработчики работают над их устранением.

Я не нашел ни одной из проблем, полностью останавливающих показ, но временами просто раздражающих (например, навигация).

Куда идти дальше?

Если вы хотите перейти к цифровой криминалистике, попробуйте Cyber5W. Отказ от ответственности: я сотрудничаю с ними как технический рецензент. Вы хотите проверить сайт DFIR Diva, который также содержит множество ресурсов.

Что касается информации OSINT, у участников курса (и частично перечисленных выше) есть хорошие ресурсы. Существует более продвинутый курс OSINT от The OSINTion, один курс которого вы можете получить бесплатно, если участвуете в качестве судьи TraceLabs. Предлагаемое обучение предназначено в основном для OSINT на людях.

Эта фиксация не принадлежит ни к одной из веток в этом репозитории и может принадлежать ответвлению за пределами репозитория.

• Открыть с рабочего стола
• Просмотреть в необработанном виде
• Копировать исходное содержимое Копировать необработанное содержимое

Копировать необработанное содержимое

Копировать необработанное содержимое

Эти правила сборки и тестирования можно использовать в разных проектах Go без изменений. Настройка для различных проектов выполняется в файле Makefile верхнего уровня.

Правила включают поддержку создания и отправки образов Docker со следующими функциями:

• одна или несколько команд и изображений на проект
• push canary и/или помеченные релизные изображения
• автоматически извлекать тег(и) изображения из тегов репозитория
• редакция исходного кода хранится в метке изображения "редакция"
• никогда не перезаписывает существующее изображение выпуска

Предполагаемый макет репозитория:

• cmd/*/*.go — исходный код для каждой команды
• cmd/*/Dockerfile – файл Docker для каждой команды или файл Dockerfile в корне при создании только одной команды.
• Makefile — содержит файл release-tools/build.make и устанавливает переменные конфигурации.
• .prow.sh, который импортирует release-tools/prow.sh и может содержать дополнительные настройки
• .cloudbuild.sh и cloudbuild.yaml как символические ссылки на соответствующие файлы в инструментах выпуска или (при необходимости) как пользовательские файлы

Чтобы создать выпуск, пометьте определенную версию с именем, начинающимся с v , например, v1.0.0 , а затем нажмите кнопку, пока эта фиксация извлечена.

Не имеет значения, на какой ветке существует эта ревизия, т.е. можно создавать релизы прямо из мастера. При необходимости ветку выпуска можно создать для отладочных выпусков позже.

Ожидается, что ветки выпусков будут называться release-x.y для выпусков x.y.z . Сборка из такой ветки создает образы x.y-canary. Сборка из master создает основной образ canary.

Обмен и обновление

Поддерево git — это рекомендуемый способ хранения копии правил внутри каталога release-tools проекта. Таким образом, можно также вносить изменения локально, тестировать их, а затем отправлять обратно в общий репозиторий позже.

Сценарий verify-shellcheck.sh в этом репозитории представляет собой урезанную копию соответствующего скрипта в репозитории Kubernetes. Его можно использовать для проверки сценариев оболочки на наличие определенных ошибок, таких как отсутствующие кавычки. Цель test-shellcheck по умолчанию в build.make проверяет только сценарии в этом каталоге. Компоненты могут добавлять дополнительные каталоги в TEST_SHELLCHECK_DIRS для проверки других скриптов.

Репозиторий, который хочет участвовать в тестировании через Prow, должен настроить .prow.sh верхнего уровня. Обычно это исходный файл prow.sh, а затем передача ему управления:

Можно воспроизвести тестирование Prow локально на подходящей машине:

• Хост Linux
• Докер установлен
• код, который нужно протестировать, оформить заказ в $GOPATH/src/
• cd $GOPATH/src/ && ./.prow.sh

Остерегайтесь того, что скрипт намеренно не выполняет очистку после себя и не изменяет содержимое $GOPATH , в частности репозитории kubernetes и kind. Лучше запустить его в пустой одноразовой $GOPATH .

После завершения можно использовать следующую команду для получения доступа к кластеру Kubernetes, который был запущен для тестирования (при условии, что этот шаг выполнен успешно):

Выполнение можно контролировать с помощью переменных среды. Подробности см. в prow.sh. Особенно полезно тестировать разные версии Kubernetes:

Зависимости и поставщики

Большинство проектов (в конечном счете) будут использовать go mod для управления зависимостями. dep также по-прежнему поддерживается csi-release-tools , но не задокументирован здесь, потому что это больше не рекомендуется.

Применяются обычные инструкции по использованию модулей go. Вот шпаргалка по некоторым соответствующим командам:

• список доступных обновлений: GO111MODULE=on go list -u -m all
• обновить или добавить одну зависимость: GO111MODULE=on go get

GO111MODULE=on можно не указывать при использовании Go >= 1.13 или когда источник извлекается вне $GOPATH .

go mod tidy необходимо использовать, чтобы убедиться, что перечисленные зависимости действительно нужны. Изменение операторов импорта или предварительный переход могут привести к устаревшим зависимостям.

Поставщик теста проверяет, использовался ли он при локальном запуске или в задании CI перед слиянием. Если каталог поставщика присутствует, он также проверит актуальность его содержимого.

Каталог поставщика указывать необязательно. Он по-прежнему присутствует в проектах, поскольку позволяет избежать загрузки исходных кодов во время сборки CI. Если в этом больше нет необходимости, проект также может удалить каталог.

Читайте также:

  
• Необходима защита учетной записи Windows 10
  
• Как отключить неотключенные службы в Windows 10
  
• Как подключить Bluetooth-наушники к компьютеру с Windows 10
  
• Как инвертировать колесо мыши в Windows 10
  
• Windows 10 не обновляется