จะติดตั้ง GRR บน Ubuntu 18 ได้อย่างไร

เรียนรู้วิธีติดตั้งเซิร์ฟเวอร์และไคลเอนต์ GRR (Google Rapid Response) บน Ubuntu เพื่อดำเนินการตามสัญชาตญาณ.


บทนำ

GRR (Google Rapid Response) เป็นกรอบการตอบสนองเหตุการณ์ตาม Python ที่สามารถใช้สำหรับนิติเวชและการสืบสวนสด ช่วยให้คุณสามารถตรวจสอบและโจมตีและทำการวิเคราะห์จากระยะไกล.

GRR สามารถปรับใช้ในสถาปัตยกรรมเซิร์ฟเวอร์ – ไคลเอนต์ มันมาพร้อมกับส่วนต่อประสานกับผู้ใช้บนเว็บที่ให้คุณวิเคราะห์ข้อมูลที่รวบรวมจากลูกค้า มันให้การสนับสนุนสำหรับ Linux, Mac OS X และ Windows OS.

ความต้องการ

  • เซิร์ฟเวอร์ที่ใช้งาน Ubuntu 18.xx
  • ตั้งค่ารหัสผ่านรูทบนเซิร์ฟเวอร์ของคุณ

เริ่มต้นใช้งาน

ก่อนที่จะเริ่มคุณจะต้องอัปเดตระบบของคุณด้วยเวอร์ชันล่าสุด คุณสามารถทำได้โดยใช้คำสั่งต่อไปนี้:

apt-get update -y

เมื่อระบบของคุณอัปเดตแล้วให้รีสตาร์ทระบบเพื่อใช้การเปลี่ยนแปลงทั้งหมด.

ติดตั้งและกำหนดค่าฐานข้อมูล

ก่อนอื่นคุณจะต้องติดตั้งเซิร์ฟเวอร์ฐานข้อมูล MariaDB ในระบบของคุณ คุณสามารถติดตั้งได้ด้วยคำสั่งต่อไปนี้:

apt-get install mariadb-server -y

เมื่อการติดตั้งเสร็จสิ้นให้รักษาความปลอดภัยการติดตั้ง MariaDB โดยการรันคำสั่งต่อไปนี้:

mysql_secure_installation

ตอบคำถามทั้งหมดตามที่แสดงด้านล่าง:

ป้อนรหัสผ่านปัจจุบันสำหรับรูท (ไม่ใส่เลย):
ตั้งรหัสผ่านรูท? [Y / n]: N
ลบผู้ใช้ที่ไม่ระบุชื่อหรือไม่ [Y / n]: Y
ไม่อนุญาตให้ล็อกอินรูทจากระยะไกล [Y / n]: Y
ลบฐานข้อมูลทดสอบและเข้าถึงหรือไม่ [Y / n]: Y
โหลดตารางสิทธิ์เดี๋ยวนี้หรือไม่ [Y / n]: Y

เมื่อ MariaDB ปลอดภัยแล้วให้ล็อกอินเข้าสู่เชลล์ MariaDB ด้วยคำสั่งต่อไปนี้:

mysql -u root -p

ป้อนรหัสผ่านรูทของคุณ จากนั้นสร้างฐานข้อมูลและผู้ใช้สำหรับ GRR ด้วยคำสั่งต่อไปนี้:

MariaDB [(ไม่มี)]> สร้างฐานข้อมูล GRR;
MariaDB [(ไม่มี)]> ให้สิทธิ์ทั้งหมดบน grr. * เป็น ‘grr’ @ ‘localhost’ ที่ระบุด้วย ‘รหัสผ่าน’ ด้วยตัวเลือก GRANT

ถัดไปล้างสิทธิ์และออกจากเปลือก MariaDB ด้วยคำสั่งต่อไปนี้:

MariaDB [(ไม่มี)]> สิทธิในการชำระล้าง
MariaDB [(ไม่มี)]> EXIT;

ถัดไปรีสตาร์ทเซอร์วิส MariaDB ด้วยคำสั่งต่อไปนี้:

systemctl รีสตาร์ท mariadb

คุณสามารถตรวจสอบสถานะของบริการ MariaDB ด้วยคำสั่งต่อไปนี้:

สถานะ systemctl mariadb

คุณควรเห็นผลลัพธ์ต่อไปนี้:

mariadb.service – เซิร์ฟเวอร์ฐานข้อมูล MariaDB 10.1.38
โหลดแล้ว: โหลดแล้ว (/lib/systemd/system/mariadb.service; เปิดใช้งาน; ค่าที่ตั้งไว้ล่วงหน้าของผู้ขาย: เปิดใช้งาน)
ใช้งานอยู่: แอคทีฟ (ทำงาน) ตั้งแต่ศุกร์ 2019-04-12 15:11:14 UTC; 54 นาทีที่แล้ว
เอกสาร: man: mysqld (8)
https://mariadb.com/kb/en/library/systemd/
PID หลัก: 1050 (mysqld)
สถานะ: "รับคำขอ SQL ของคุณตอนนี้…"
งาน: 46 (จำกัด : 1113)
CGroup: /system.slice/mariadb.service
└─1050 / usr / sbin / mysqld
12 เม.ย. 15:10:53 ubuntu1804 systemd [1]: เริ่มเซิร์ฟเวอร์ฐานข้อมูล MariaDB 10.1.38…
12 เมษายน 15:11:07 ubuntu1804 mysqld [1050]: 2019-04-12 15:11:07 140152311749760 [หมายเหตุ] / usr / sbin / mysqld (mysqld 10.1.38-MariaDB-0ubuntu0.18.04.1)
12 เม.ย. 15:11:14 ubuntu1804 systemd [1]: เริ่มเซิร์ฟเวอร์ฐานข้อมูล MariaDB 10.1.38.
12 เม.ย. 15:11:14 ubuntu1804 / etc / mysql / debian-start [1251]: การอัพเกรดตาราง MySQL ถ้าจำเป็น.
12 เม.ย. 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: / usr / bin / mysql_upgrade: ตัวเลือก ‘–basedir’ จะถูกละเว้นเสมอ
12 เม.ย. 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: ค้นหา ‘mysql’ เป็น: / usr / bin / mysql
12 เม.ย. 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: ค้นหา ‘mysqlcheck’ เป็น: / usr / bin / mysqlcheck
12 เม.ย. 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: การติดตั้ง MySQL นี้ได้อัพเกรดเป็น 10.1.38-MariaDB แล้วใช้ – บังคับถ้าคุณ
12 เม.ย. 15:11:15 ubuntu1804 / etc / mysql / debian-start [1306]: การตรวจสอบบัญชีรูทที่ไม่ปลอดภัย.
12 เม.ย. 15:11:15 ubuntu1804 / etc / mysql / debian-start [1311]: เรียกใช้ myisam-recovery สำหรับตาราง MyISAM ทั้งหมดและ aria-recovery สำหรับตาราง Aria ทั้งหมด
บรรทัด 1-21 / 21 (สิ้นสุด)

เมื่อคุณทำเสร็จแล้วคุณสามารถดำเนินการขั้นตอนต่อไป.

ติดตั้งเซิร์ฟเวอร์ GRR

ก่อนอื่นคุณจะต้องดาวน์โหลดแพ็คเกจ GRR จากพวกเขา พื้นที่เก็บข้อมูล GitHub อย่างเป็นทางการ.

คุณสามารถดาวน์โหลดได้ด้วยคำสั่งต่อไปนี้เพื่อดาวน์โหลดเวอร์ชั่น GRR 3.2.4.6.

wget https://storage.googleapis.com/releases.grr-response.com/grr-server_3.2.4-6_amd64.deb

เมื่อการดาวน์โหลดเสร็จสิ้นคุณสามารถติดตั้งไฟล์ที่ดาวน์โหลดด้วยคำสั่งต่อไปนี้:

dpkg -i grr-server_3.2.4-6_amd64.deb

ถัดไปติดตั้งการพึ่งพาที่จำเป็นด้วยคำสั่งต่อไปนี้:

apt-get install -f

ในระหว่างการติดตั้งคุณจะต้องให้รายละเอียดบางอย่างเช่นโฮสต์ฐานข้อมูลชื่อผู้ใช้รหัสผ่าน GRR URLS และรหัสผ่านผู้ดูแลระบบดังแสดงด้านล่าง:

กำลังเรียกใช้ grr_config_updater
เพื่อหลีกเลี่ยงปัญหานี้ให้ตั้งค่า DEBIAN_FRONTEND = แบบไม่โต้ตอบ
################################################## ###############
การตรวจสอบสิทธิ์การเขียนบน config /etc/grr//server.local.yaml
ขั้นตอนที่ 0: การนำเข้าการกำหนดค่าจากการติดตั้งก่อนหน้า.
ไม่พบไฟล์กำหนดค่าเก่า.
ขั้นตอนที่ 1: การตั้งค่าพารามิเตอร์การกำหนดค่าพื้นฐาน
ตอนนี้เรากำลังจะกำหนดค่าเซิร์ฟเวอร์โดยใช้คำถามมากมาย – = GRR Datastore = – สำหรับ GRR ในการทำงานแต่ละเซิร์ฟเวอร์ GRR จะต้องสามารถสื่อสารกับดาต้าสโตร์ได้ ในการทำเช่นนี้เราจำเป็นต้องกำหนดค่า datastore.GRR จะใช้ MySQL เป็นฐานข้อมูลแบ็กเอนด์ ป้อนรายละเอียดการเชื่อมต่อ: โฮสต์ MySQL [localhost]: พอร์ต MySQL (0 สำหรับซ็อกเก็ตท้องถิ่น) [0]: ฐานข้อมูล MySQL [GRR]: ชื่อผู้ใช้ของ MySQL [root]: grr กรุณาใส่รหัสผ่านสำหรับผู้ใช้ฐานข้อมูล GRR: เชื่อมต่อกับ MySQL .- = GRR URL = – เพื่อให้ GRR ทำงานลูกค้าแต่ละรายจะต้องสามารถสื่อสารกับเซิร์ฟเวอร์ได้ ในการทำเช่นนี้เราจำเป็นต้องมีชื่อ DNS สาธารณะหรือที่อยู่ IP เพื่อสื่อสารกับ ในการกำหนดค่ามาตรฐานสิ่งนี้จะถูกใช้เพื่อโฮสต์ทั้งไคลเอ็นต์ที่หันหน้าไปทางเซิร์ฟเวอร์และส่วนติดต่อผู้ใช้ของผู้ดูแลระบบโปรดป้อนชื่อโฮสต์ของคุณเช่น grr.example.com [ubuntu1804]: 192.168.0.104- = เซิร์ฟเวอร์ URL = – URL เซิร์ฟเวอร์ระบุ URL ที่ไคลเอนต์จะเชื่อมต่อเพื่อสื่อสารกับเซิร์ฟเวอร์ เพื่อผลลัพธ์ที่ดีที่สุดควรเข้าถึงได้โดยสาธารณะ โดยค่าเริ่มต้นนี่จะเป็นพอร์ต 8080 โดยมี URL ที่ลงท้ายด้วย /control.Frontend URL [http://192.168.0.104:8080/EMA ::AdminUI URL = -: URL ของ UI จะระบุว่าสามารถหาส่วนติดต่อผู้ดูแลระบบได้จากที่ใด URL ผู้ดูแลระบบ [http://192.168.0.104:8000 เหมือนกัน :- = GRR อีเมล = -GRR จะต้องสามารถส่งอีเมลสำหรับฟังก์ชั่นการบันทึกและการทำธุรกรรมต่างๆ โดเมนอีเมลจะถูกผนวกเข้ากับ GRRusernames เมื่อส่งอีเมลไปยังผู้ใช้ – = การตรวจสอบ / โดเมนอีเมล = – อีเมลที่เกี่ยวข้องกับการแจ้งเตือนหรืออัปเดตจะต้องส่งไปยังโดเมนนี้โดเมนอีเมลเช่น example.com [localhost]: – = ที่อยู่อีเมลแจ้งเตือน = – ที่อยู่ที่ส่งกิจกรรมการตรวจสอบเช่น ไคลเอ็นต์ที่ล้มเหลวเซิร์ฟเวอร์ที่เสียหาย ฯลฯ แจ้งที่อยู่อีเมล [[email protected]]: – = ที่อยู่อีเมลฉุกเฉิน = – ที่อยู่ซึ่งมีกิจกรรมที่มีความสำคัญสูงเช่นการบายพาส ACL ฉุกเฉินจะถูกส่งไปที่อยู่อีเมลการเข้าถึงฉุกเฉิน [[email protected]]: Rekall ไม่ได้รับการสนับสนุนอย่างแข็งขันอีกต่อไป เปิดใช้งานหรือไม่ [yN]: [N]: ขั้นตอนที่ 2: คีย์การสร้างคีย์ทั้งหมดจะมีความยาวบิต 2048 การสร้างคีย์การลงนามที่ปฏิบัติการได้การสร้างคีย์ CA การสร้างคีย์เซิร์ฟเวอร์การสร้างคีย์ลับสำหรับการป้องกัน csrf บรรจุใน / usr / share / grr-server / executables /grr_3.2.4.6_amd64.debGRR การเริ่มต้นเสร็จสมบูรณ์! คุณสามารถแก้ไขการกำหนดค่าใหม่ใน /etc/grr//server.local.yaml กรุณารีสตาร์ทบริการเพื่อให้การกำหนดค่าใหม่มีผล ############################################################## ########################################################################################## โรงแรม.

ตอนนี้เริ่มบริการ GRR ใหม่เพื่อใช้การเปลี่ยนแปลงทั้งหมด:

systemctl รีสตาร์ท grr-server

ตอนนี้คุณสามารถตรวจสอบสถานะของ GRR ด้วยคำสั่งต่อไปนี้:

สถานะ systemctl grr-server

คุณควรเห็นผลลัพธ์ต่อไปนี้:

grr-server.service – บริการ GRR
โหลดแล้ว: โหลดแล้ว (/lib/systemd/system/grr-server.service; เปิดใช้งาน; ตั้งค่าล่วงหน้าของผู้จัดจำหน่าย: เปิดใช้งาน)
ใช้งานอยู่: ใช้งานได้ (ออก) ตั้งแต่วันศุกร์ที่ 2019-04-12 15:57:09 UTC; 6s ที่ผ่านมา
เอกสาร: https://github.com/google/grr
กระบวนการ: 7178 ExecStop = / bin / systemctl – ไม่มีการหยุดบล็อก [email protected]_ui.service [email protected] [email protected] GRR-S
กระบวนการ: 7215 ExecStart = / bin / systemctl – ไม่มีการเริ่มต้นบล็อก [email protected]_ui.service [email protected] [email protected] GRR
PID หลัก: 7215 (รหัส = ออกจากสถานะ = 0 / สำเร็จ)
12 เม.ย. 15:57:09 น. ubuntu1804 systemd [1]: เริ่มบริการ GRR…
12 เม.ย. 15:57:09 น. ubuntu1804 systemd [1]: เริ่มบริการ GRR.

เข้าถึงเว็บอินเตอร์เฟส GRR

ตอนนี้ GRR ได้รับการติดตั้งและฟังบนพอร์ต 8000 (Admin) และ 8080 (Frontend).

ในการเข้าถึงอินเทอร์เฟซผู้ดูแลระบบ GRR ให้เปิดเว็บเบราว์เซอร์ของคุณแล้วพิมพ์ URL http://192.168.0.104:8000.

คุณจะถูกขอให้ระบุชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบใช้ผู้ดูแลระบบในฐานะผู้ใช้และรหัสผ่านที่คุณตั้งไว้ในระหว่างการติดตั้ง จากนั้นคลิกที่ปุ่มตกลง คุณจะถูกนำไปยังหน้าต่อไปนี้:

ติดตั้งไคลเอนต์ GRR

ขั้นแรกลงชื่อเข้าใช้เว็บอินเตอร์เฟสเซิร์ฟเวอร์ GRR ของคุณและไปที่แท็บจัดการไบนารีในบานหน้าต่างด้านซ้าย คุณควรเห็นไคลเอนต์รุ่นต่าง ๆ เช่น RHEL, Debian และ BSD ในหน้าต่อไปนี้:

ตอนนี้ distro ของคุณคือ Ubuntu 18.04 ดังนั้นคลิกที่ grr_3.2.4.6_amd64.deb เพื่อดาวน์โหลดไคลเอนต์ GRR สำหรับ Ubuntu.

เมื่อการดาวน์โหลดเสร็จสิ้นให้ติดตั้งไฟล์ที่ดาวน์โหลดมาด้วยคำสั่งต่อไปนี้:

dpkg -i grr_3.2.4.6_amd64.deb

คำสั่งดังกล่าวจะติดตั้งไคลเอนต์ GRR ไปยังระบบของคุณและลงทะเบียนตัวเองไปยังเซิร์ฟเวอร์ GRR โดยอัตโนมัติ.

คุณสามารถตรวจสอบสถานะของ GRR ด้วยคำสั่งต่อไปนี้:

สถานะของระบบ systemctl

คุณควรเห็นผลลัพธ์ต่อไปนี้:

grr.service – grr linux amd64Loaded: โหลด (/lib/systemd/system/grr.service; เปิดใช้งาน; ที่ตั้งไว้ล่วงหน้าของผู้ขาย: เปิดใช้งาน) ใช้งาน: ใช้งาน (กำลังทำงาน) ตั้งแต่ศุกร์ 2019-04-12 16:24:39 UTC; 16s agoMain PID: 3305 (grrd) งาน: 6 (จำกัด : 847) CGroup: /system.slice/grr.service├─3305 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4 6_amd64 / grrd.yaml└─3306 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4.6_amd64 / grrd.yamlApr 12 16:24:39 ubuntu1804 systemd [1]: เริ่มใช้งาน linux amd64.

ทำการสอบสวน

ตอนนี้ไปที่เว็บอินเตอร์เฟสเซิร์ฟเวอร์ GRR คลิกที่ กล่องค้นหา และกด Enter คุณควรเห็นลูกค้าของคุณในหน้าต่อไปนี้:

ตอนนี้คลิกที่ลูกค้าของคุณเพื่อดูรายละเอียดเพิ่มเติมดังที่แสดงในหน้าต่อไปนี้:

ต่อไปเราจะแสดงรายการกระบวนการทำงานบนไคลเอนต์.

โดยคลิกที่ เริ่มกระแสใหม่ > กระบวนการ > ListProcesses, ภายใต้สถานะการเชื่อมต่อเลือก ที่จัดตั้งขึ้น และคลิกที่ เปิด เพื่อเปิดโฟลว์ คุณควรเห็นหน้าต่อไปนี้:

ถัดไปคลิกที่ จัดการกระแสที่เปิดตัว > ListProcesses > ผล เพื่อดูผลลัพธ์ของการไหลของ ListProcesses ในหน้าต่อไปนี้:

ขอแสดงความยินดี! คุณได้ติดตั้งเซิร์ฟเวอร์และไคลเอนต์ GRR สำเร็จแล้ว ไปข้างหน้าและเล่นกับเครื่องมือ.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map