Bagaimana cara Menginstal GRR di Ubuntu 18?

Pelajari cara menginstal server dan klien GRR (Google Rapid Response) di Ubuntu untuk melakukan penghasutan.


pengantar

GRR (Google Rapid Response) adalah kerangka kerja respons insiden berdasarkan Python yang dapat digunakan untuk forensik dan investigasi langsung. Ini memungkinkan Anda untuk memeriksa dan menyerang serta melakukan analisis dari jarak jauh.

GRR dapat digunakan dalam arsitektur server-klien. Itu datang dengan antarmuka pengguna berbasis web yang memungkinkan Anda untuk menganalisis data yang dikumpulkan dari klien. Ini memberikan dukungan untuk Linux, Mac OS X, dan OS Windows.

Persyaratan

  • Server yang menjalankan Ubuntu 18.xx
  • Kata sandi root diatur di server Anda

Mulai

Sebelum memulai, Anda perlu memperbarui sistem Anda dengan versi terbaru. Anda dapat melakukannya dengan menjalankan perintah berikut:

apt-get update -y

Setelah sistem Anda diperbarui, mulai ulang sistem untuk menerapkan semua perubahan.

Instal dan Konfigurasi Database

Pertama, Anda harus menginstal server database MariaDB ke sistem Anda. Anda dapat menginstalnya dengan perintah berikut:

apt-get install mariadb-server -y

Setelah instalasi selesai, amankan instalasi MariaDB dengan menjalankan perintah berikut:

instalasi mysql_secure_installation

Jawab semua pertanyaan seperti yang ditunjukkan di bawah ini:

Masukkan kata sandi saat ini untuk root (masukkan untuk tidak ada):
Setel kata sandi root? [Y / n]: N
Hapus pengguna anonim? [Y / n]: Y
Larang login root dari jarak jauh? [Y / n]: Y
Hapus database pengujian dan akses ke sana? [Y / n]: Y
Muat ulang tabel privilege sekarang? [Y / n]: Y

Setelah MariaDB diamankan, masuk ke shell MariaDB dengan perintah berikut:

mysql -u root -p

Masukkan kata sandi root Anda. Kemudian, buat database dan pengguna untuk GRR dengan perintah berikut:

MariaDB [(tidak ada)]> BUAT DATABASE GRR;
MariaDB [(tidak ada)]> PEMBERI SEMUA HAK ISTIMEWA PADA GRR. * UNTUK ‘grr’ @ ‘localhost’ DIIDENTIFIKASI OLEH ‘password’ DENGAN GRANT OPTION;

Selanjutnya, siram privilege dan keluar dari shell MariaDB dengan perintah berikut:

MariaDB [(tidak ada)]> PRIVILEGUS FLUSH;
MariaDB [(tidak ada)]> KELUAR;

Selanjutnya, restart layanan MariaDB dengan perintah berikut:

systemctl restart mariadb

Anda dapat memeriksa status layanan MariaDB dengan perintah berikut:

status sistemctl mariadb

Anda akan melihat output berikut:

mariadb.service – MariaDB 10.1.38 server database
Dimuat: dimuat (/lib/systemd/system/mariadb.service; diaktifkan; preset vendor: diaktifkan)
Aktif: aktif (berjalan) sejak Jumat 2019-04-12 15:11:14 UTC; 54 menit yang lalu
Documents: man: mysqld (8)
https://mariadb.com/kb/en/library/systemd/
PID Utama: 1050 (mysqld)
Status: "Menerima permintaan SQL Anda sekarang…"
Tugas: 46 (batas: 1113)
CGroup: /system.slice/mariadb.service
└─1050 / usr / sbin / mysqld
12 Apr 15:10:53 ubuntu1804 systemd [1]: Memulai server database MariaDB 10.1.38…
12 Apr 15:11:07 ubuntu1804 mysqld [1050]: 2019-04-12 15:11:07 140152311749760 [Catatan] / usr / sbin / mysqld (mysqld 10.1.38-MariaDB-0ubuntu0.18.04.1)
12 Apr 15:11:14 ubuntu1804 systemd [1]: Memulai server database MariaDB 10.1.38.
12 Apr 15:11:14 ubuntu1804 / etc / mysql / debian-start [1251]: Memutakhirkan tabel MySQL jika perlu.
12 Apr 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: / usr / bin / mysql_upgrade: opsi ‘–basedir’ selalu diabaikan
12 Apr 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Mencari ‘mysql’ sebagai: / usr / bin / mysql
12 Apr 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Mencari ‘mysqlcheck’ sebagai: / usr / bin / mysqlcheck
12 Apr 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Instalasi MySQL ini telah ditingkatkan menjadi 10.1.38-MariaDB, gunakan –force jika Anda
12 Apr 15:11:15 ubuntu1804 / etc / mysql / debian-start [1306]: Memeriksa akun root yang tidak aman.
12 Apr 15:11:15 ubuntu1804 / etc / mysql / debian-start [1311]: Memicu myisam-recover untuk semua tabel MyISAM dan aria-recover untuk semua tabel Aria
baris 1-21 / 21 (SELESAI)

Setelah selesai, Anda dapat melanjutkan ke langkah berikutnya.

Instal GRR Server

Pertama, Anda harus mengunduh paket GRR dari paket mereka repositori GitHub resmi.

Anda dapat mengunduhnya dengan perintah berikut untuk mengunduh versi GRR 3.2.4.6.

wget https://storage.googleapis.com/releases.grr-response.com/grr-server_3.2.4-6_amd64.deb

Setelah unduhan selesai, Anda dapat menginstal file yang diunduh dengan perintah berikut:

dpkg -i grr-server_3.2.4-6_amd64.deb

Selanjutnya, instal dependensi yang diperlukan dengan perintah berikut:

apt-get install -f

Selama instalasi, Anda harus memberikan beberapa detail seperti, host basis data, nama pengguna, kata sandi, URL GRR, dan kata sandi Admin seperti yang ditunjukkan di bawah ini:

Menjalankan grr_config_updater menginisialisasi
Untuk menghindari permintaan ini, setel DEBIAN_FRONTEND = tidak interaktif
############################################### ################
Memeriksa akses tulis pada config /etc/grr//server.local.yaml
Langkah 0: Mengimpor Konfigurasi dari instalasi sebelumnya.
Tidak ada file konfigurasi lama yang ditemukan.
Langkah 1: Mengatur Parameter Konfigurasi Dasar
Kita sekarang akan mengkonfigurasi server menggunakan banyak pertanyaan .- = GRR Datastore = -Untuk GRR bekerja setiap server GRR harus dapat berkomunikasi dengan datastore. Untuk melakukan ini kita perlu mengkonfigurasi datastore.GRR akan menggunakan MySQL sebagai backend databasenya. Masukkan detail koneksi: MySQL Host [localhost]: Port MySQL (0 untuk socket lokal) [0]: Database MySQL [grr]: MySQL Username [root]: grrSilakan masukkan kata sandi untuk pengguna database grr: Berhasil terhubung ke MySQL dengan detail yang disediakan .- = GRR URLs = -Untuk GRR bekerja setiap klien harus dapat berkomunikasi dengan pengguna. Untuk melakukan ini, kita biasanya memerlukan nama atau alamat IP publik untuk berkomunikasi. Dalam konfigurasi standar ini akan digunakan untuk meng-host server yang menghadap klien dan antarmuka pengguna admin. Silakan masukkan nama host Anda mis. grr.example.com [ubuntu1804]: 192.168.0.104- = Server URL = -Versi Server menentukan URL yang akan disambungkan oleh klien untuk berkomunikasi dengan server. Untuk hasil terbaik, ini harus dapat diakses publik. Secara default, ini akan menjadi port 8080 dengan URL yang diakhiri dengan /control.Frontend URL [http://192.168.0.104:8080/[:-=AdminUI URL = -: URL UI menentukan tempat Antarmuka Web Administratif dapat ditemukan. URL AdminUI [http://192.168.0.104:8000[:-=GRR Email = -GRR harus dapat mengirim email untuk berbagai fungsi logging dan peringatan. Domain email akan ditambahkan ke GRRusernames ketika mengirim email ke pengguna .- = Monitoring / Email Domain = -Email tentang peringatan atau pembaruan harus dikirim ke domain ini. Domain Email misalnya example.com [localhost]: – = Alert Alamat Email = – Alamat tempat pemantauan acara dapat dikirim, misalnya klien macet, server rusak, dll. Alamat Email Pemberitahuan [[dilindungi email]]: – = Alamat Email Darurat = -Address tempat acara prioritas tinggi seperti bypass ACL darurat dikirim. Akses Email Alamat Darurat [[dilindungi email]]: Rekall tidak lagi didukung secara aktif. Tetap bisa? [yN]: [N]: Langkah 2: Generasi KunciSemua kunci akan memiliki panjang 2048. Menghasilkan kunci penandatanganan yang dapat dieksekusi /grr_3.2.4.6_amd64.debGRR Inisialisasi selesai! Anda dapat mengedit konfigurasi baru di /etc/grr//server.local.yaml.Harap restart layanan agar konfigurasi baru berlaku. #################### ############################################ Instal lengkap.

Sekarang, restart layanan GRR untuk menerapkan semua perubahan:

systemctl restart grr-server

Anda sekarang dapat memeriksa status GRR dengan perintah berikut:

status systemctl grr-server

Anda akan melihat output berikut:

grr-server.service – Layanan GRR
Dimuat: dimuat (/lib/systemd/system/grr-server.service; diaktifkan; preset vendor: diaktifkan)
Aktif: aktif (keluar) sejak Jumat 2019-04-12 15:57:09 UTC; 6s lalu
Documents: https://github.com/google/grr
Proses: 7178 ExecStop = / bin / systemctl –no-block stop [dilindungi email]layanan _ui. [dilindungi email] [dilindungi email] grr-s
Proses: 7215 ExecStart = / bin / systemctl –tidak ada blok start [dilindungi email]layanan _ui. [dilindungi email] [dilindungi email] Grr
PID Utama: 7215 (kode = keluar, status = 0 / SUKSES)
12 Apr 15:57:09 ubuntu1804 systemd [1]: Memulai Layanan GRR…
12 Apr 15:57:09 ubuntu1804 systemd [1]: Memulai Layanan GRR.

Akses Antarmuka Web GRR

GRR sekarang diinstal dan mendengarkan pada port 8000 (Admin) dan 8080 (Frontend).

Untuk mengakses antarmuka Admin GRR, buka browser web Anda dan ketik URL http://192.168.0.104:8000.

Anda akan diminta untuk memberikan nama pengguna dan kata sandi Admin, menggunakan admin sebagai pengguna dan kata sandi yang Anda tetapkan selama instalasi. Kemudian, klik tombol OK. Anda akan diarahkan ke halaman berikut:

Instal Klien GRR

Pertama, masuk ke antarmuka web server GRR Anda dan navigasikan ke tab Manage Binaries di panel kiri. Anda harus melihat berbagai versi klien seperti, RHEL, Debian, dan BSD di halaman berikut:

Sekarang, distro Anda adalah Ubuntu 18.04. Jadi, klik pada grr_3.2.4.6_amd64.deb untuk mengunduh klien GRR untuk Ubuntu.

Setelah unduhan selesai, instal file yang diunduh dengan perintah berikut:

dpkg -i grr_3.2.4.6_amd64.deb

Perintah di atas akan menginstal klien GRR ke sistem Anda dan secara otomatis mendaftarkan dirinya ke server GRR.

Anda juga dapat memeriksa status GRR dengan perintah berikut:

status sistemctl gr

Anda akan melihat output berikut:

grr.service – grr linux amd64Loaded: loaded (/lib/systemd/system/grr.service; diaktifkan; preset vendor: diaktifkan) Aktif: aktif (aktif) sejak Jumat 2019-04-12 16:24:39 UTC; 16s laluMain PID: 3305 (grrd) Tugas: 6 (batas: 847) CGroup: /system.slice/grr.service├─3305 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4. 6_amd64 / grrd.yaml└─3306 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4.6_amd64 / grrd.yamlApr 12 16:24:39 ubuntu1804 systemd [1]: Memulai grr linux amd64.

Lakukan Investigasi

Sekarang, pergi ke antarmuka web server GRR, klik pada Kotak pencarian dan tekan Enter. Anda harus melihat Klien Anda di halaman berikut:

Sekarang, klik pada Klien Anda untuk melihat detail lebih lanjut seperti yang ditunjukkan pada halaman berikut:

Selanjutnya, kami akan mencantumkan proses yang berjalan pada Klien.

Untuk melakukannya, klik Mulai aliran baru > Proses > Daftar Proses, Di bawah Status Koneksi, pilih Mapan dan klik pada Meluncurkan untuk meluncurkan aliran. Anda akan melihat halaman berikut:

Selanjutnya, klik pada Kelola aliran yang diluncurkan > Daftar Proses > Hasil untuk melihat hasil dari aliran ListProcesses di halaman berikut:

Selamat! Anda telah berhasil menginstal server dan klien GRR. Silakan bermain-main dengan alat ini.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map