Kako namestiti GRR na Ubuntu 18?

Preberite več o namestitvi GRR (Google Rapid Response) strežnika in odjemalca na Ubuntu za izvajanje spodbud.


Uvod

GRR (Google Rapid Response) je okvir odzivanja na nesreče, ki temelji na Pythonu in se lahko uporablja za forenzične preiskave v živo in za preiskave. Omogoča vam pregled in napade ter izvajanje analize na daljavo.

GRR je mogoče uporabiti v arhitekturi strežnika in odjemalca. Na voljo je s spletnim uporabniškim vmesnikom, ki omogoča analizo podatkov, zbranih od strank. Ponuja podporo za Linux, Mac OS X in Windows OS.

Zahteve

  • Strežnik, ki poganja Ubuntu 18.xx
  • Na vašem strežniku je nastavljeno korensko geslo

Uvod

Pred zagonom boste morali posodobiti sistem z najnovejšo različico. To lahko storite z naslednjim ukazom:

apt-get update -y

Ko je vaš sistem posodobljen, znova zaženite sistem, da uporabite vse spremembe.

Namestite in konfigurirajte bazo podatkov

Najprej boste morali namestiti strežnik baz podatkov MariaDB v vaš sistem. Lahko ga namestite z naslednjim ukazom:

apt-dobiti namestitev mariadb-server -y

Ko je namestitev končana, namestite MariaDB tako, da zaženete naslednji ukaz:

mysql_secure_installation

Odgovorite na vsa vprašanja, kot je prikazano spodaj:

Vnesite trenutno geslo za root (vnesite za nič):
Nastavite korensko geslo? [Y / n]: N
Odstrani anonimne uporabnike? [Y / n]: Y
Želite na daljavo onemogočiti prijavo v root? [Y / n]: Y
Odstranite testno bazo in dostop do nje? [Y / n]: Y
Ponovno naloži tabele privilegij? [Y / n]: Y

Ko je MariaDB zaščiten, se prijavite v lupino MariaDB z naslednjim ukazom:

mysql -u root -p

Vnesite svoje korensko geslo. Nato ustvarite bazo podatkov in uporabnika za GRR z naslednjim ukazom:

MariaDB [(nič)]> CREATE DATABASE grr;
MariaDB [(nič)]> PODELITE VSE PRIVILEGE NA GRR. * DO ‘grr’ @ ‘localhost’ IDENTIFIKIRANO s ‘geslom’ Z MOŽNOSTI GRANT;

Nato privijte privilegije in izstopite iz lupine MariaDB z naslednjim ukazom:

MariaDB [(nič)]> IZPOLNJENO PRIVILEGE;
MariaDB [(nič)]> IZHOD;

Nato znova zaženite storitev MariaDB z naslednjim ukazom:

systemctl znova zaženite mariadb

Stanje storitve MariaDB lahko preverite z naslednjim ukazom:

systemctl status mariadb

Morali bi videti naslednji izhod:

mariadb.service – strežnik baz podatkov MariaDB 10.1.38
Naloženo: naloženo (/lib/systemd/system/mariadb.service; omogočeno; prednastavitev ponudnika: omogočeno)
Aktivno: aktivno (deluje) od pet 2019-04-12 15:11:14 UTC; Pred 54min
Dokumenti: moški: mysqld (8)
https://mariadb.com/kb/sl/library/systemd/
Glavni PID: 1050 (mysqld)
Stanje: "Zdaj sprejemam zahteve SQL…"
Naloge: 46 (omejitev: 1113)
CGroup: /system.slice/mariadb.service
└─1050 / usr / sbin / mysqld
12. april 15:10:53 ubuntu1804 systemd [1]: Zagon strežnika baz podatkov MariaDB 10.1.38…
12. april 15:11:07 ubuntu1804 mysqld [1050]: 2019-04-12 15:11:07 140152311749760 [Opomba] / usr / sbin / mysqld (mysqld 10.1.38-MariaDB-0ubuntu0.18.04.1)
12. april 15:11:14 ubuntu1804 systemd [1]: Začel strežnik baz podatkov MariaDB 10.1.38.
12. april 15:11:14 ubuntu1804 / etc / mysql / debian-start [1251]: Po potrebi nadgradite MySQL tabele.
12. april 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: / usr / bin / mysql_upgrade: možnost ‘–basedir’ je vedno prezrta
12. april 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Iščete “mysql” kot: / usr / bin / mysql
12. april 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Iščete “mysqlcheck” kot: / usr / bin / mysqlcheck
12. april 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Ta namestitev MySQL je že nadgrajena na 10.1.38-MariaDB, če –
12. april 15:11:15 ubuntu1804 / etc / mysql / debian-start [1306]: Preverjanje nevarnih korenskih računov.
12. april 15:11:15 ubuntu1804 / etc / mysql / debian-start [1311]: Sprožitev obnovitve myisam za vse tabele MyISAM in obnovitev arije za vse tabele Aria
vrstice 1-21 / 21 (KRAJ)

Ko to storite, lahko nadaljujete na naslednji korak.

Namestite GRR Server

Najprej boste morali prenesti GRR paket iz njihovega uradno GitHub repozitorij.

Lahko ga prenesete z naslednjim ukazom za prenos različice GRR 3.2.4.6.

wget https://storage.googleapis.com/releases.grr-response.com/grr-server_3.2.4-6_amd64.deb

Ko je prenos končan, lahko prenesete preneseno datoteko z naslednjim ukazom:

dpkg -i grr-server_3.2.4-6_amd64.deb

Nato namestite zahtevane odvisnosti z naslednjim ukazom:

apt-dobiti namestitev -f

Med namestitvijo boste morali navesti nekaj podrobnosti, kot so gostitelj baze podatkov, uporabniško ime, geslo, URL-ji GRR in skrbniško geslo, kot je prikazano spodaj:

Zaženi grr_config_updater inicializirati
Če se želite izogniti temu pozivu, nastavite DEBIAN_FRONTEND = neinteraktivno
#################################################################### ################
Preverjanje dostopa do pisanja v config /etc/grr//server.local.yaml
Korak 0: Uvoz konfiguracije iz prejšnje namestitve.
Stare konfiguracijske datoteke ni bilo mogoče najti.
1. korak: Nastavitev osnovnih parametrov konfiguracije
Zdaj bomo konfigurirali strežnik s kopico vprašanj .- = GRR Datastore = -Za GRR deluje, da mora vsak GRR strežnik komunicirati s shrambo podatkov. Če želite to narediti, moramo konfigurirati podatkovno shrambo.GRR bo MySQL uporabil kot podporno zbirko podatkov. Vnesite podatke o povezavi: Host MySQL [localhost]: Port MySQL (0 za lokalno vtičnico) [0]: Baza podatkov MySQL [grr]: Uporabniško ime MySQL [root]: grrPripišite geslo za uporabnika baze podatkov grr: Uspešno povezan z MySQL s priloženimi podrobnostmi .- = URL-ji GRR = -Za GRR, da deluje vsaka stranka, mora imeti možnost komunikacije s poslužiteljem. Za to običajno potrebujemo javno dns ime ali IP naslov, s katerim komuniciramo. V standardni konfiguraciji bo to uporabljeno za gostitelj strežnika, ki je obrnjen proti odjemalcu, in skrbniškega uporabniškega vmesnika. Vnesite ime gostitelja, npr. grr.example.com [ubuntu1804]: 192.168.0.104- = URL strežnika = -Srednik strežnika določa URL, ki ga bodo stranke povezale, da bodo komunicirale s strežnikom. Za najboljše rezultate mora biti to javno dostopno. To bo privzeto vrata 8080 z URL-jem, ki se konča v /control.Frontend URL [http://192.168.0.104:8080/Sense:-=AdminUI URL = -: URL uporabniškega vmesnika določa, kje je mogoče najti skrbniški spletni vmesnik. AdminUI URL [http://192.168.0.104:8000Sense:-=GRR E-poštni naslovi = -GRR morajo imeti možnost pošiljanja e-poštnih sporočil za različne funkcije beleženja in opozarjanja. E-poštna domena bo pri pošiljanju e-poštnih sporočil uporabnikom dodana GRRusername .- = Spremljanje / E-poštna domena = -Emaili v zvezi z opozorili ali posodobitvami morajo biti poslani na to domeno. E-pošta: npr. -Nasledite, kje se pošiljajo spremljanje dogodkov, npr zrušeni odjemalci, zlomljen strežnik itd.Alert Email Address [[zaščitena e-pošta]]: – = e-poštni naslov za nujne primere = -naloži naslov, kjer so poslani dogodki visokih prioritet, kot je zasilni izhod ACL. E-poštni naslov za dostop v sili [[zaščitena e-pošta]]: Rekall ni več aktivno podprt. Ali vseeno omogoči? [yN]: [N]: 2. korak: Generacija tipkVse tipke bodo imele nekaj dolžine 2048.Generiranje izvršljivega ključa za podpisovanjeGeneriranje tipk CAGeneriranje tipk strežnikaGeneriranje skrivnega ključa za zaščito csrf. /grr_3.2.4.6_amd64.debGRR Inicializacija je končana! Novo konfiguracijo lahko uredite v /etc/grr//server.local.yaml.Znova zaženite storitev, da nova konfiguracija začne veljati. #################### ################################################ Namestitev dokončana.

Zdaj znova zaženite storitev GRR in uveljavite vse spremembe:

systemctl znova zaženite grr-server

Zdaj lahko preverite stanje GRR z naslednjim ukazom:

sistemctl status grr-strežnik

Morali bi videti naslednji izhod:

grr-server.service – GRR Service
Naloženo: naloženo (/lib/systemd/system/grr-server.service; omogočeno; prednastavitev ponudnika: omogočeno)
Aktivno: aktivno (izstopilo) od pet 2019-04-12 15:57:09 UTC; Pred 6 leti
Dokumenti: https://github.com/google/grr
Postopek: 7178 ExecStop = / bin / systemctl – zaustavitev brez blokade [zaščitena e-pošta]_ui.service [zaščitena e-pošta] [zaščitena e-pošta] grr-s
Postopek: 7215 ExecStart = / bin / systemctl – začetek brez bloka [zaščitena e-pošta]_ui.service [zaščitena e-pošta] [zaščitena e-pošta] grr
Glavni PID: 7215 (koda = izšel, status = 0 / USPEH)
12. april 15:57:09 ubuntu1804 systemd [1]: Zagon storitve GRR…
12. april 15:57:09 ubuntu1804 systemd [1]: Začela storitev GRR.

Dostop do spletnega vmesnika GRR

GRR je zdaj nameščen in posluša na vratih 8000 (Admin) in 8080 (Frontend).

Za dostop do skrbniškega vmesnika GRR odprite spletni brskalnik in vnesite URL http://192.168.0.104:8000.

Od vas se zahteva, da navedete uporabniško ime in geslo za Admin, uporabite skrbnika kot uporabnika in geslo, ki ste ga nastavili med namestitvijo. Nato kliknite na gumb V redu. Preusmerjeni boste na naslednjo stran:

Namestite odjemalca GRR

Najprej se prijavite v spletni vmesnik vašega GRR strežnika in na levem podoknu odprite zavihek Manage Binaries. Na naslednji strani bi morali videti različne različice odjemalcev, kot so RHEL, Debian in BSD:

Zdaj je vaš distro Ubuntu 18.04. Torej, kliknite na grr_3.2.4.6_amd64.deb za prenos odjemalca GRR za Ubuntu.

Ko je prenos končan, namestite preneseno datoteko z naslednjim ukazom:

dpkg -i grr_3.2.4.6_amd64.deb

Zgornji ukaz bo namestil odjemalca GRR v vaš sistem in se samodejno registriral na GRR strežnik.

Stanje GRR lahko preverite tudi z naslednjim ukazom:

systemctl status grr

Morali bi videti naslednji izhod:

grr.service – grr linux amd64 Naloženo: naloženo (/lib/systemd/system/grr.service; omogočeno; prednastavitev ponudnika: omogočeno) Aktivno: aktivno (deluje) od pet 2019-04-12 16:24:39 UTC; 16s agoMain PID: 3305 (grrd) Naloge: 6 (omejitev: 847) CGroup: /system.slice/grr.service├─3305 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4. 6_amd64 / grrd.yaml└─3306 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4.6_amd64 / grrd.yaml 12. aprila 16:24:39 ubuntu1804 systemd [1]: Začetek grr linux amd64.

Opravite preiskavo

Zdaj pojdite na spletni vmesnik GRR strežnika in kliknite na Iskalno polje in pritisnite Enter. Stranko bi morali videti na naslednji strani:

Zdaj kliknite na vašo stranko, da vidite več podrobnosti, kot je prikazano na naslednji strani:

Nato bomo navedli procese, ki se izvajajo na odjemalcu.

Če želite to narediti, kliknite na Začeti nove tokove > Procesi > SeznamProcesi, V razdelku Stanje povezave izberite Ustanovljen in kliknite na Kosilo za zagon toka. Morali bi videti naslednjo stran:

Nato kliknite na Upravljajte sprožene tokove > SeznamProcesi > Rezultati za prikaz rezultatov toka ListProces na naslednji strani:

Čestitamo! Uspešno ste namestili GRR strežnik in odjemalca. Pojdi naprej in se poigraj z orodjem.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map