Kaip įdiegti GRR Ubuntu 18?

Sužinokite, kaip įdiegti GRR („Google Rapid Response“) serverį ir klientą Ubuntu, kad atliktumėte kurstymus.


Įvadas

GRR („Google Rapid Response“) yra „Python“ pagrindu sukurta reagavimo į įvykius sistema, kuri gali būti naudojama gyvai kriminalistikai ir tyrimams. Tai leidžia ištirti ir užpulti bei atlikti analizę nuotoliniu būdu.

GRR gali būti įdiegtas serverio-kliento architektūroje. Kartu pateikiama internetinė vartotojo sąsaja, leidžianti analizuoti iš klientų surinktus duomenis. Tai teikia palaikymą „Linux“, „Mac OS X“ ir „Windows“ OS.

Reikalavimai

  • Serveris, kuriame veikia „Ubuntu 18.xx“
  • Pagrindinis serverio slaptažodis yra nustatytas

Darbo pradžia

Prieš pradėdami, turėsite atnaujinti savo sistemą naujausia versija. Tai galite padaryti paleisdami šią komandą:

apt-get update -y

Kai jūsų sistema bus atnaujinta, paleiskite sistemą iš naujo, kad pritaikytumėte visus pakeitimus.

Įdiekite ir sukonfigūruokite duomenų bazę

Pirmiausia turėsite įdiegti „MariaDB“ duomenų bazės serverį į savo sistemą. Galite įdiegti naudodami šią komandą:

apt-get įdiegti mariadb-server -y

Baigę diegti, užtikrinkite „MariaDB“ diegimą vykdydami šią komandą:

„mysql_secure_installation“

Atsakykite į visus klausimus, kaip parodyta žemiau:

Įveskite dabartinį „root“ slaptažodį (įveskite, jei jo nėra):
Nustatyti pagrindinį slaptažodį? [Taip / Ne]: N
Pašalinti anoniminius vartotojus? [Taip / Ne]: Taip
Neleisti prisijungti prie šaknies nuotoliniu būdu? [Taip / Ne]: Taip
Pašalinti bandymų duomenų bazę ir prieigą prie jos? [Taip / Ne]: Taip
Iš naujo įkelti privilegijų lenteles dabar? [Taip / Ne]: Taip

Kai „MariaDB“ bus apsaugotas, prisijunkite prie „MariaDB“ apvalkalo naudodami šią komandą:

mysql -u šaknis -p

Įveskite pagrindinį slaptažodį. Tada sukurkite duomenų bazę ir GRR vartotoją naudodami šią komandą:

MariaDB [(nėra)]> CREATE DATABASE grr;
MariaDB [(nėra)]> SUTEIKTI VISAS PRIVILEGIJAS GRR. * Į ‘grr’ @ ‘localhost’, IDENTIFIKUOTAMI ‘slaptažodžiu’, SU GRANT DUOMENIS;

Tada praleiskite privilegijas ir išeikite iš „MariaDB“ apvalkalo, naudodami šią komandą:

MariaDB [(nėra)]> PLAUSTIES PRIVILEGIJOS;
MariaDB [(nėra)]> IŠVESTI;

Tada paleiskite „MariaDB“ paslaugą iš naujo naudodami šią komandą:

iš naujo paleisti „mariadb“

„MariaDB“ paslaugos būseną galite patikrinti naudodami šią komandą:

„systemctl“ statuso mariadb

Turėtumėte pamatyti tokią išvestį:

mariadb.service – „MariaDB 10.1.38“ duomenų bazės serveris
Įkelta: įkelta (/lib/systemd/system/mariadb.service; įgalinta; pardavėjo iš anksto nustatyta: įgalinta)
Aktyvus: aktyvus (veikia) nuo 2019-04-12 15:11:14 UTC; Prieš 54min
Dokumentai: vyras: mysqld (8)
https://mariadb.com/kb/en/library/systemd/
Pagrindinis PID: 1050 („MySQL“)
Būsena: "Dabar imamės SQL užklausų…"
Uždaviniai: 46 (riba: 1113)
„CGroup“: /system.slice/mariadb.service
1050 / usr / sbin / mysqld
Balandžio 12 d. 15:10:53 „ubuntu1804 systemd“ [1]: „MariaDB 10.1.38“ duomenų bazės serverio paleidimas…
Balandžio 12 d. 15:11:07 ubuntu1804 mysqld [1050]: 2019-04-12 15:11:07 140152311749760 [Pastaba] / usr / sbin / mysqld (mysqld 10.1.38-MariaDB-0ubuntu0.18.04.1)
Balandžio 12 d. 15:11:14 „ubuntu1804 systemd“ [1]: paleistas „MariaDB 10.1.38“ duomenų bazės serveris.
Balandžio 12 d. 15:11:14 ubuntu1804 / etc / mysql / debian-start [1251]: Jei reikia, atnaujinkite „MySQL“ lenteles.
Balandžio 12 d. 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: / usr / bin / mysql_upgrade: parinktis „–basedir“ visada ignoruojama.
Balandžio 12 d. 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Ieškote ‘mysql’ kaip: / usr / bin / mysql
Balandžio 12 d. 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Ieškote ‘mysqlcheck’ kaip: / usr / bin / mysqlcheck
Balandžio 12 d. 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Šis „MySQL“ diegimas jau atnaujintas iki 10.1.38-MariaDB, naudokite –force, jei
Balandžio 12 d. 15:11:15 ubuntu1804 / etc / mysql / debian-start [1306]: Patikrinama, ar nesaugios šakninės paskyros.
Balandžio 12 d. 15:11:15 ubuntu1804 / etc / mysql / debian-start [1311]: „Myisam“ atkūrimas visoms „MyISAM“ lentelėms ir „Aria“ atkūrimas visoms „Aria“ lentelėms.
1-21 / 21 eilutės (END)

Kai tai padarysite, galite pereiti prie kito veiksmo.

Įdiekite „GRR Server“

Pirmiausia turėsite atsisiųsti GRR paketą iš jų oficiali „GitHub“ saugykla.

Galite atsisiųsti naudodami šią komandą, norėdami atsisiųsti GRR 3.2.4.6 versiją.

programėlė https://storage.googleapis.com/releases.grr-response.com/grr-server_3.2.4-6_amd64.deb

Baigę atsisiųsti, atsisiųstą failą galite įdiegti naudodami šią komandą:

dpkg -i grr-server_3.2.4-6_amd64.deb

Tada įdiekite reikiamas priklausomybes naudodami šią komandą:

apt-get install -f

Diegdami turėsite pateikti tokią informaciją, kaip duomenų bazės priegloba, vartotojo vardas, slaptažodis, GRR URL ir administratoriaus slaptažodis, kaip parodyta žemiau:

Veikia „grr_config_updater“ paleidimas
Norėdami išvengti šio raginimo, nustatykite DEBIAN_FRONTEND = neinteraktyvų
##################################################### ###############
Tikrinimo prieigos tikrinimas naudojant „config /etc/grr//server.local.yaml“
0 veiksmas: konfigūracijos importavimas iš ankstesnio diegimo.
Senas konfigūracijos failas nerastas.
1 veiksmas: nustatykite pagrindinius konfigūracijos parametrus
Dabar mes sukonfigūruosime serverį naudodami daugybę klausimų .- = GRR duomenų kaupiklis = -Norėdami GRR dirbti, kiekvienas GRR serveris turi sugebėti susisiekti su duomenų saugykla. Norėdami tai padaryti, turime sukonfigūruoti datastore.GRR kaip duomenų bazės pagrindą naudos „MySQL“. Įveskite išsamią ryšio informaciją: „MySQL Host“ [localhost]: „MySQL Port“ (0 – vietiniam lizdui) [0]: „MySQL“ duomenų bazė [grr]: „MySQL“ vartotojo vardas [šaknis]: grr Prašome įvesti slaptažodį duomenų bazės vartotojui grr: Sėkmingai prisijungta prie „MySQL“ su pateikta informacija .- = GRR URL = -Norėdami GRR dirbti, kiekvienas klientas turi sugebėti susisiekti su serveriu. Norėdami tai padaryti, mums paprastai reikia viešo DNS vardo arba IP adreso, su kuriuo galime susisiekti. Įprastoje konfigūracijoje tai bus naudojama tiek klientui skirtam serveriui, tiek administratoriaus vartotojo sąsajai talpinti. Įveskite pagrindinio kompiuterio vardą, pvz. grr.example.com [ubuntu1804]: 192.168.0.104- = Serverio URL = – Serverio URL nurodo URL, kurį klientai prisijungs norėdami susisiekti su serveriu. Norint gauti geriausius rezultatus, tai turėtų būti prieinama viešai. Pagal numatytuosius nustatymus tai bus 8080 prievadas, kurio URL pabaiga yra /control.Frontend URL [http://192.168.0.104:8080/←:-=AdminUI URL = -:: UI URL nurodo, kur galima rasti administracinę interneto sąsają. „AdminUI“ URL [http://192.168.0.104:8000 ]:-=GRR el. Pašto adresai = -GRR turi turėti galimybę siųsti el. Laiškus įvairioms registravimo ir pranešimo funkcijoms. El. Pašto domenas bus pridėtas prie „GRRusernames“, kai siunčiami el. Laiškai vartotojams .- = Stebėjimo / el. Pašto domenas = – El. Laiškai, susiję su perspėjimais ar atnaujinimais, turi būti siunčiami į šį domeną. El. Pašto domenas, pvz., Example.com [localhost]: – = Įspėjimo el. Pašto adresas = -Adresas ten, kur siunčiami stebėjimo įvykiai, pvz sudužę klientai, sugadintas serveris ir kt.[apsaugotas el. paštu]]: – = Avarinis el. Pašto adresas = –Adresas, kur siunčiami svarbiausio įvykio įvykiai, tokie kaip avarinis ACL aplinkkelis. Avarinės prieigos el. Pašto adresas [[apsaugotas el. paštu]]: „Rekall“ nebepalaikomas. Vis tiek įgalinti? [yN]: [N]: 2 veiksmas: Raktų generavimasVisų raktų bitų ilgis bus 2048. Vykdomojo pasirašymo rakto generavimasA CA raktų generavimasServerio raktų generavimasSkelbto CSRF rakto generavimas. /grr_3.2.4.6_amd64.debGRR Inicializacija baigta! Naująją konfigūraciją galite redaguoti aplanke /etc/grr//server.local.yaml.Paleiskite paslaugą iš naujo, kad nauja konfigūracija įsigaliotų. #################### ################################################ Install install.

Dabar paleiskite GRR paslaugą, kad pritaikytumėte visus pakeitimus:

„systemctl“ iš naujo paleiskite „grr-server“

Dabar galite patikrinti GRR būseną naudodami šią komandą:

„systemctl“ būsena „grr-server“

Turėtumėte pamatyti tokią išvestį:

grr-server.service – GRR tarnyba
Įkelta: įkelta (/lib/systemd/system/grr-server.service; įgalinta; pardavėjo iš anksto nustatyta: įgalinta)
Aktyvus: aktyvus (išeina) nuo 2019-04-12 15:57:09 UTC; Prieš 6s
Dokumentai: https://github.com/google/grr
Procesas: 7178 ExecStop = / šiukšliadėžė / systemctl – neblokuoti stotelės [apsaugotas el. paštu]_ui.paslauga [apsaugotas el. paštu] [apsaugotas el. paštu] grr-s
Procesas: 7215 ExecStart = / bin / systemctl – neblokuoti pradžios [apsaugotas el. paštu]_ui.paslauga [apsaugotas el. paštu] [apsaugotas el. paštu] grr
Pagrindinis PID: 7215 (kodas = baigta, būsena = 0 / SĖKMĖ)
Balandžio 12 d. 15:57:09 „ubuntu1804 systemd“ [1]: GRR tarnybos pradžia…
Balandžio 12 d. 15:57:09 „ubuntu1804 systemd“ [1]: Pradėta GRR tarnyba.

Prieiga prie GRR žiniatinklio sąsajos

Dabar GRR įdiegta ir klausosi 8000 („Administratorius“) ir 8080 („Frontend“) prievaduose..

Norėdami pasiekti GRR Admin sąsają, atidarykite savo interneto naršyklę ir įveskite URL adresą http://192.168.0.104:8000.

Jūsų bus paprašyta pateikti administratoriaus vartotojo vardą ir slaptažodį, naudoti administratorių kaip vartotoją ir slaptažodį, kurį nustatėte diegdami. Tada spustelėkite mygtuką Gerai. Būsite nukreipti į šį puslapį:

Įdiekite „GRR Client“

Pirmiausia prisijunkite prie savo GRR serverio žiniatinklio sąsajos ir eikite į skirtuką Tvarkyti dvejetainius failus kairiojoje srityje. Šiame puslapyje turėtumėte pamatyti įvairias klientų versijas, pvz., RHEL, Debian ir BSD:

Dabar jūsų distro yra Ubuntu 18.04. Taigi, spustelėkite grr_3.2.4.6_amd64.deb atsisiųsti GRR klientą „Ubuntu“.

Baigę atsisiųsti, įdiekite atsisiųstą failą naudodami šią komandą:

dpkg -i grr_3.2.4.6_amd64.deb

Aukščiau pateikta komanda įdiegs GRR klientą jūsų sistemoje ir automatiškai užsiregistruos GRR serveryje.

Taip pat galite patikrinti GRR būseną naudodami šią komandą:

„systemctl“ būsenos grr

Turėtumėte pamatyti tokią išvestį:

grr.service – grr linux amd64Pakrautas: įkeltas (/lib/systemd/system/grr.service; įgalintas; pardavėjo išankstinis nustatymas: įjungtas) Aktyvus: aktyvus (veikia) nuo 2019-04-12 16:24:39 UTC; 16 s agoPagrindinis PID: 3305 (grrd) Uždaviniai: 6 (riba: 847) CGroup: /system.slice/grr.service├─3305 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4. 6_amd64 / grrd.yaml└─3306 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4.6_amd64 / grrd.yamlApr 12 16:24:39 ubuntu1804 systemd [1]: Pradėjo grr linux amd64.

Atlikti tyrimą

Dabar eikite į GRR serverio žiniatinklio sąsają, spustelėkite Paieškos laukelis ir paspauskite Enter. Jūs turėtumėte pamatyti savo klientą šiame puslapyje:

Dabar spustelėkite savo klientą, kad pamatytumėte daugiau informacijos, kaip parodyta kitame puslapyje:

Toliau išvardinsime procesus, kurie veikia kliente.

Norėdami tai padaryti, spustelėkite Pradėkite naujus srautus > Procesai > „ListProcesses“, Dalyje Ryšio būsena pasirinkite Įkurta ir spustelėkite Paleisti paleisti srautą. Turėtumėte pamatyti šį puslapį:

Tada spustelėkite Tvarkykite pradėtus srautus > „ListProcesses“ > Rezultatai Norėdami pamatyti „ListProcesses“ srauto rezultatus šiame puslapyje:

Sveikiname! Sėkmingai įdiegėte GRR serverį ir klientą. Eik į priekį ir pažaisk su įrankiu.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map