Как установить GRR на Ubuntu 18?

Узнайте, как установить сервер и клиент GRR (Google Rapid Response) в Ubuntu для выполнения подстрекательств.


Введение

GRR (Google Rapid Response) – это структура реагирования на инциденты, основанная на Python, которая может использоваться для оперативной криминалистики и расследований. Это позволяет вам исследовать и атаковать и выполнять анализ удаленно.

GRR может быть развернут в архитектуре сервер-клиент. Он поставляется с веб-интерфейсом пользователя, который позволяет анализировать данные, полученные от клиентов. Он обеспечивает поддержку для Linux, Mac OS X и Windows OS.

Требования

  • Сервер под управлением Ubuntu 18.xx
  • На вашем сервере установлен пароль root

Начиная

Перед началом необходимо обновить систему до последней версии. Вы можете сделать это, выполнив следующую команду:

apt-get update -y

После обновления системы перезагрузите систему, чтобы применить все изменения..

Установить и настроить базу данных

Сначала вам необходимо установить сервер базы данных MariaDB в вашей системе. Вы можете установить его с помощью следующей команды:

apt-get установить mariadb-server -y

После завершения установки защитите установку MariaDB, выполнив следующую команду:

mysql_secure_installation

Ответьте на все вопросы, как показано ниже:

Введите текущий пароль для root (введите no):
Установить пароль root? [Да / Нет]: N
Удалить анонимных пользователей? [Да / Нет]: Да
Запретить удаленный вход в систему? [Да / Нет]: Да
Удалить тестовую базу данных и получить к ней доступ? [Да / Нет]: Да
Перезагрузить таблицы привилегий сейчас? [Да / Нет]: Да

Как только MariaDB защищен, войдите в оболочку MariaDB с помощью следующей команды:

mysql -u root -p

Введите свой пароль root. Затем создайте базу данных и пользователя для GRR с помощью следующей команды:

MariaDB [(нет)]> CREATE DATABASE grr;
MariaDB [(нет)]> ПРЕДОСТАВЛЯЙТЕ ВСЕ ПРИВИЛЕГИИ на grr. * TO ‘grr’ @ ‘localhost’, ИДЕНТИФИЦИРОВАНЫМИ ‘password’ С ГРАНТОМ;

Затем очистите привилегии и выйдите из оболочки MariaDB с помощью следующей команды:

MariaDB [(нет)]> ПРИВИЛЕГИИ ПРОМЫВКИ;
MariaDB [(нет)]> ВЫХОД;

Затем перезапустите сервис MariaDB с помощью следующей команды:

systemctl перезапустить mariadb

Вы можете проверить состояние сервиса MariaDB с помощью следующей команды:

systemctl статус mariadb

Вы должны увидеть следующий вывод:

mariadb.service – сервер базы данных MariaDB 10.1.38
Загружен: загружен (/lib/systemd/system/mariadb.service; включен; предустановка поставщика: включена)
Активен: активен (работает) с пт 2019-04-12 15:11:14 UTC; 54мин назад
Документы: man: mysqld (8)
https://mariadb.com/kb/en/library/systemd/
Основной PID: 1050 (mysqld)
Положение дел: "Принимая ваши запросы SQL сейчас…"
Задачи: 46 (лимит: 1113)
CGroup: /system.slice/mariadb.service
10─1050 / usr / sbin / mysqld
12 апреля 15:10:53 ubuntu1804 systemd [1]: запуск сервера базы данных MariaDB 10.1.38…
12 апреля 15:11:07 ubuntu1804 mysqld [1050]: 2019-04-12 15:11:07 140152311749760 [Примечание] / usr / sbin / mysqld (mysqld 10.1.38-MariaDB-0ubuntu0.18.04.1)
12 апреля 15:11:14 ubuntu1804 systemd [1]: запущен сервер базы данных MariaDB 10.1.38.
12 апреля 15:11:14 ubuntu1804 / etc / mysql / debian-start [1251]: при необходимости обновлять таблицы MySQL.
12 апреля 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: / usr / bin / mysql_upgrade: опция –basedir всегда игнорируется
12 апреля 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: поиск «mysql» как: / usr / bin / mysql
12 апреля 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: поиск «mysqlcheck» как: / usr / bin / mysqlcheck
12 апреля 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: эта установка MySQL уже обновлена ​​до 10.1.38-MariaDB, используйте –force, если вы
12 апреля 15:11:15 ubuntu1804 / etc / mysql / debian-start [1306]: проверка незащищенных учетных записей root.
12 апреля 15:11:15 ubuntu1804 / etc / mysql / debian-start [1311]: запуск восстановления myisam для всех таблиц MyISAM и восстановления aria для всех таблиц Aria
строки 1-21 / 21 (КОНЕЦ)

Как только вы сделали, вы можете перейти к следующему шагу.

Установить GRR Server

Во-первых, вам нужно будет скачать пакет GRR с их официальный репозиторий GitHub.

Вы можете скачать его с помощью следующей команды, чтобы загрузить версию GRR 3.2.4.6.

wget https://storage.googleapis.com/releases.grr-response.com/grr-server_3.2.4-6_amd64.deb

После завершения загрузки вы можете установить загруженный файл с помощью следующей команды:

dpkg -i grr-server_3.2.4-6_amd64.deb

Затем установите необходимые зависимости с помощью следующей команды:

apt-get install -f

Во время установки вам нужно будет предоставить некоторые данные, такие как хост базы данных, имя пользователя, пароль, GRR URLS и пароль администратора, как показано ниже:

Запуск grr_config_updater initialize
Чтобы избежать этого запроса, установите DEBIAN_FRONTEND = неинтерактивный
################################################## ###############
Проверка прав записи в конфиге /etc/grr//server.local.yaml
Шаг 0: Импорт конфигурации из предыдущей установки.
Старый конфигурационный файл не найден.
Шаг 1: Установка основных параметров конфигурации
Теперь мы собираемся настроить сервер, используя несколько вопросов .- = GRR Datastore = -Чтобы GRR работала, каждый GRR-сервер должен иметь возможность взаимодействовать с хранилищем данных. Для этого нам нужно настроить хранилище данных. GRR будет использовать MySQL в качестве своей базы данных. Введите сведения о соединении: MySQL Host [localhost]: MySQL Port (0 для локального сокета) [0]: MySQL Database [grr]: MySQL Username [root]: grrПожалуйста, введите пароль для пользователя базы данных grr: Успешно подключен к MySQL с предоставленными данными .- = GRR URLs–Чтобы GRR работал, каждый клиент должен иметь возможность общаться с сервером. Для этого нам обычно требуется общедоступное DNS-имя или IP-адрес для связи. В стандартной конфигурации это будет использоваться для размещения как клиентского сервера, так и пользовательского интерфейса администратора. Пожалуйста, введите ваше имя хоста, например. grr.example.com [ubuntu1804]: 192.168.0.104- = URL-адрес сервера =-URL-адрес сервера указывает URL-адрес, к которому клиенты будут подключаться для связи с сервером. Для достижения наилучших результатов это должно быть общедоступным. По умолчанию это будет порт 8080 с URL-адресом, оканчивающимся на /control.Frontend URL [http://192.168.0.104:8080/]:-=AdminUI URL = -: URL-адрес пользовательского интерфейса указывает, где можно найти административный веб-интерфейс. URL-адрес AdminUI [http://192.168.0.104:8000]:-=GRR Emails = -GRR должен иметь возможность отправлять электронные письма для различных функций регистрации и отправки сообщений. Почтовый домен будет добавлен к GRRusernames при отправке электронных писем пользователям .- = Monitoring / Email Domain = -Электронные сообщения, касающиеся предупреждений или обновлений, должны отправляться на этот домен. Домен электронной почты, например, example.com [localhost]: – = Alert Email Address = -Адрес, куда отправляются события мониторинга, например сбой клиентов, сломанный сервер и т. д.[Электронная почта защищена]]: – = Адрес экстренной электронной почты = -адрес, на который отправляются события с высоким приоритетом, такие как экстренный обход ACL.[Электронная почта защищена]]: Rekall больше не поддерживается активно. Включить в любом случае? [yN]: [N]: Шаг 2. Генерация ключейВсе ключи будут иметь длину 2048 бит. Создание ключа подписи исполняемого файла. Создание ключей CA. Создание ключей сервера. Создание секретного ключа для защиты csrf. Перезаписано в / usr / share / grr-server / исполняемые файлы / установщики /grr_3.2.4.6_amd64.debGRR Инициализация завершена! Вы можете редактировать новую конфигурацию в /etc/grr//server.local.yaml. Пожалуйста, перезапустите службу, чтобы новая конфигурация вступила в силу. ################### ############################################## Установка завершена.

Теперь перезапустите сервис GRR, чтобы применить все изменения:

systemctl перезапустить grr-сервер

Теперь вы можете проверить состояние GRR с помощью следующей команды:

systemctl статус grr-сервер

Вы должны увидеть следующий вывод:

grr-server.service – GRR Сервис
Загружен: загружен (/lib/systemd/system/grr-server.service; включен; предустановка поставщика: включена)
Активен: активен (выход) с пт 2019-04-12 15:57:09 UTC; 6 с. Назад
Документы: https://github.com/google/grr.
Процесс: 7178 ExecStop = / bin / systemctl –no-block stop [Электронная почта защищена]_ui.service [Электронная почта защищена] [Электронная почта защищена] GRR-ы
Процесс: 7215 ExecStart = / bin / systemctl –no-block start [Электронная почта защищена]_ui.service [Электронная почта защищена] [Электронная почта защищена] ГРР
Основной PID: 7215 (код = выход, статус = 0 / УСПЕХ)
12 апреля 15:57:09 ubuntu1804 systemd [1]: запуск службы GRR…
12 апреля 15:57:09 ubuntu1804 systemd [1]: запущен сервис GRR.

Доступ к веб-интерфейсу GRR

GRR теперь установлен и прослушивает порты 8000 (Admin) и 8080 (Frontend).

Чтобы получить доступ к интерфейсу администратора GRR, откройте веб-браузер и введите URL-адрес http://192.168.0.104:8000.

Вам будет предложено ввести имя пользователя и пароль администратора, использовать admin в качестве пользователя и пароль, который вы установили во время установки. Затем нажмите на кнопку ОК. Вы будете перенаправлены на следующую страницу:

Установите GRR Client

Сначала войдите в веб-интерфейс вашего GRR-сервера и перейдите на вкладку «Управление двоичными файлами» на левой панели. Вы должны увидеть различные версии клиентов, такие как, RHEL, Debian и BSD на следующей странице:

Теперь ваш дистрибутив Ubuntu 18.04. Итак, нажмите на grr_3.2.4.6_amd64.deb скачать GRR-клиент для Ubuntu.

После завершения загрузки установите загруженный файл с помощью следующей команды:

dpkg -i grr_3.2.4.6_amd64.deb

Приведенная выше команда установит клиент GRR в вашу систему и автоматически зарегистрируется на сервере GRR..

Вы также можете проверить состояние GRR с помощью следующей команды:

systemctl status grr

Вы должны увидеть следующий вывод:

grr.service – grr linux amd64Loaded: загружено (/lib/systemd/system/grr.service; включено; предустановка поставщика: включено) Активно: активно (работает) с пт 2019-04-12 16:24:39 UTC; 16s agoMain PID: 3305 (grrd) Задачи: 6 (ограничение: 847) CGroup: /system.slice/grr.service├─3305 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4. 6_amd64 / grrd.yaml└─3306 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4.6_amd64 / grrd.yamlApr 12 16:24:39 ubuntu1804 systemd [1]: запущен grr linux amd64.

Выполнить расследование

Теперь перейдите в веб-интерфейс сервера GRR, нажмите на Поисковая строка и нажмите Enter. Вы должны увидеть своего Клиента на следующей странице:

Теперь нажмите на своего Клиента, чтобы увидеть более подробную информацию, как показано на следующей странице:

Далее мы перечислим процессы, запущенные на клиенте.

Для этого нажмите на Начать новые потоки > Процессы > ListProcesses, В разделе «Состояние подключения» выберите установленный и нажмите на запуск запустить поток. Вы должны увидеть следующую страницу:

Далее нажмите на Управление запущенными потоками > ListProcesses > Результаты чтобы увидеть результаты потока ListProcesses на следующей странице:

Поздравляем! Вы успешно установили сервер и клиент GRR. Иди вперед и поиграйся с инструментом.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map