Làm cách nào để cài đặt GRR trên Ubuntu 18?

Tìm hiểu cách cài đặt máy chủ và máy khách GRR (Phản hồi nhanh của Google) trên Ubuntu để thực hiện các bản năng.


Giới thiệu

GRR (Phản hồi nhanh của Google) là khung phản hồi sự cố dựa trên Python có thể được sử dụng cho các cuộc điều tra và pháp y trực tiếp. Nó cho phép bạn kiểm tra và tấn công và thực hiện phân tích từ xa.

GRR có thể được triển khai trong kiến ​​trúc máy chủ-máy khách. Nó đi kèm với giao diện người dùng dựa trên web cho phép bạn phân tích dữ liệu được thu thập từ các máy khách. Nó cung cấp hỗ trợ cho Linux, Mac OS X và Windows OS.

Yêu cầu

  • Một máy chủ chạy Ubuntu 18.xx
  • Mật khẩu gốc được thiết lập trên máy chủ của bạn

Bắt đầu

Trước khi bắt đầu, bạn sẽ cần cập nhật hệ thống của mình với phiên bản mới nhất. Bạn có thể làm điều đó bằng cách chạy lệnh sau:

cập nhật apt-get

Khi hệ thống của bạn được cập nhật, hãy khởi động lại hệ thống để áp dụng tất cả các thay đổi.

Cài đặt và cấu hình cơ sở dữ liệu

Trước tiên, bạn sẽ cần cài đặt máy chủ cơ sở dữ liệu MariaDB vào hệ thống của bạn. Bạn có thể cài đặt nó bằng lệnh sau:

apt-get cài đặt mariadb-server -y

Khi quá trình cài đặt đã hoàn tất, hãy bảo mật cài đặt MariaDB bằng cách chạy lệnh sau:

mysql_secure_installation

Trả lời tất cả các câu hỏi như hình dưới đây:

Nhập mật khẩu hiện tại cho root (nhập cho không):
Đặt mật khẩu root? [Y / n]: N
Xóa người dùng ẩn danh? [Y / n]: Y
Không cho phép đăng nhập root từ xa? [Y / n]: Y
Xóa cơ sở dữ liệu kiểm tra và truy cập vào nó? [Y / n]: Y
Tải lại bảng đặc quyền bây giờ? [Y / n]: Y

Khi MariaDB được bảo mật, đăng nhập vào vỏ MariaDB bằng lệnh sau:

gốc mys -u -p

Nhập mật khẩu gốc của bạn. Sau đó, tạo cơ sở dữ liệu và người dùng cho GRR bằng lệnh sau:

MariaDB [(không có)]> TẠO cơ sở dữ liệu grr;
MariaDB [(không có)]> CẤP TẤT CẢ CÁC ƯU ĐÃI TRÊN grr. * ĐẾN ‘grr’ @ ‘localhost’ được xác định bởi ‘mật khẩu’ VỚI TÙY CHỌN TỐT;

Tiếp theo, xóa các đặc quyền và thoát khỏi trình vỏ MariaDB bằng lệnh sau:

MariaDB [(không có)]> QUYỀN RIÊNG TƯ;
MariaDB [(không có)]> LỐI RA;

Tiếp theo, khởi động lại dịch vụ MariaDB bằng lệnh sau:

khởi động lại hệ thống mariadb

Bạn có thể kiểm tra trạng thái dịch vụ MariaDB bằng lệnh sau:

trạng thái hệ thống mariadb

Bạn sẽ thấy đầu ra sau:

mariadb.service – Máy chủ cơ sở dữ liệu MariaDB 10.1,38
Đã tải: đã tải (/lib/systemd/system/mariadb.service; enable; nhà cung cấp cài sẵn: đã bật)
Hoạt động: hoạt động (đang chạy) kể từ Thứ Sáu 2019-04-12 15:11:14 UTC; 54 phút trước
Tài liệu: người đàn ông: mysqld (8)
https://mariadb.com/kb/en/l Library / systemd /
Bộ lọc chính: 1050 (mysqld)
Trạng thái: "Nhận yêu cầu SQL của bạn ngay bây giờ…"
Nhiệm vụ: 46 (giới hạn: 1113)
Cgroup: /system.slice/mariadb.service
└─1050 / usr / sbin / mysqld
Ngày 12 tháng 4 15:10:53 ubfox1804 systemd [1]: Khởi động máy chủ cơ sở dữ liệu MariaDB 10.1,38…
Ngày 12 tháng 4 15:11:07
Ngày 12 tháng 4 15:11:14 ubfox1804 systemd [1]: Bắt đầu máy chủ cơ sở dữ liệu MariaDB 10.1,38.
Ngày 12 tháng 4 15:11:14 ubfox1804 / etc / mysql / debian-start [1251]: Nâng cấp các bảng MySQL nếu cần thiết.
Ngày 12 tháng 4 15:11:15 ubfox1804 / etc / mysql / debian-start [1265]: / usr / bin / mysql_upTHER: tùy chọn ‘–basingir’ luôn bị bỏ qua
Ngày 12 tháng 4 15:11:15 ubfox1804 / etc / mysql / debian-start [1265]: Tìm kiếm ‘mysql’ là: / usr / bin / mysql
Ngày 12 tháng 4 15:11:15 ubfox1804 / etc / mysql / debian-start [1265]: Tìm kiếm ‘mysqlcheck’ là: / usr / bin / mysqlcheck
Ngày 12 tháng 4 15:11:15 ubfox1804 / etc / mysql / debian-start [1265]: Bản cài đặt này của MySQL đã được nâng cấp lên 10.1,38-MariaDB, hãy sử dụng – Force nếu bạn
Ngày 12 tháng 4 15:11:15 ubfox1804 / etc / mysql / debian-start [1306]: Kiểm tra tài khoản root không an toàn.
Ngày 12 tháng 4 15:11:15 ubfox1804 / etc / mysql / debian-start [1311]: Kích hoạt myisam-recovery cho tất cả các bảng MyISAM và phục hồi aria cho tất cả các bảng Aria
dòng 1-21 / 21 (HẾT)

Khi bạn đã hoàn thành, bạn có thể tiến hành bước tiếp theo.

Cài đặt máy chủ GRR

Trước tiên, bạn sẽ cần tải xuống gói GRR từ họ kho GitHub chính thức.

Bạn có thể tải xuống bằng lệnh sau để tải xuống phiên bản GRR 3.2.4.6.

wget https: // st Storage.googleapis.com/release.grr-response.com/grr-server_3.2.4-6_amd64.deb

Sau khi quá trình tải xuống hoàn tất, bạn có thể cài đặt tệp đã tải xuống bằng lệnh sau:

dpkg -i grr-server_3.2.4-6_amd64.deb

Tiếp theo, cài đặt các phụ thuộc cần thiết bằng lệnh sau:

cài đặt apt-get

Trong quá trình cài đặt, bạn sẽ cần cung cấp một số chi tiết như, máy chủ cơ sở dữ liệu, tên người dùng, mật khẩu, URL GRR và mật khẩu Quản trị viên như dưới đây:

Chạy grr_config_updater khởi tạo
Để tránh điều này, hãy đặt DEBIAN_FRONTEND = không tương tác
###################################################### ###############
Kiểm tra quyền truy cập ghi trên config /etc/grr//server.local.yaml
Bước 0: Nhập cấu hình từ cài đặt trước.
Không tìm thấy tập tin cấu hình cũ.
Bước 1: Đặt tham số cấu hình cơ bản
Bây giờ chúng ta sẽ định cấu hình máy chủ bằng một loạt câu hỏi .- = GRR Datastore = -Để GRR hoạt động, mỗi máy chủ GRR phải có khả năng giao tiếp với kho dữ liệu. Để làm điều này, chúng ta cần cấu hình một kho dữ liệu.GRR sẽ sử dụng MySQL làm phụ trợ cơ sở dữ liệu của nó. Nhập chi tiết kết nối: Máy chủ MySQL [localhost]: Cổng MySQL (0 cho ổ cắm cục bộ) [0]: Cơ sở dữ liệu MySQL [grr]: Tên người dùng MySQL [root]: grr Vui lòng nhập mật khẩu cho người dùng cơ sở dữ liệu grr: Kết nối thành công với MySQL với các chi tiết được cung cấp .- = URL GRR = -Để GRR hoạt động, mỗi khách hàng phải có khả năng giao tiếp với máy chủ. Để làm điều này, thông thường chúng ta cần một tên dns công khai hoặc địa chỉ IP liên lạc với. Trong cấu hình tiêu chuẩn, điều này sẽ được sử dụng để lưu trữ cả máy chủ đối diện máy khách và giao diện người dùng quản trị viên. Vui lòng nhập tên máy chủ của bạn, ví dụ: grr.example.com [ubfox1804]: 192.168.0.104- = URL máy chủ =-URL máy chủ chỉ định URL mà khách hàng sẽ kết nối để giao tiếp với máy chủ. Để có kết quả tốt nhất, điều này nên được công khai. Theo mặc định, đây sẽ là cổng 8080 với URL kết thúc bằng /control.Frontend URL [http://192.168.0.104:8080/[:-=AdminUI URL = -: URL UI chỉ định nơi có thể tìm thấy Giao diện web quản trị. URL AdminUI [http://192.168.0.104:8000THER:-=GRR Email = -GRR cần có thể gửi email cho các chức năng ghi nhật ký và xác nhận khác nhau. Tên miền email sẽ được thêm vào GRRusernames khi gửi email cho người dùng .- = Giám sát / Tên miền email = -Mẫu liên quan đến cảnh báo hoặc cập nhật phải được gửi đến tên miền này. Tên miền ví dụ.com.com [localhost]: – = Địa chỉ email cảnh báo = -Địa chỉ nơi các sự kiện giám sát được gửi, vd máy khách bị sập, máy chủ bị hỏng, vv Địa chỉ email Alert [[email được bảo vệ]]: – = Địa chỉ email khẩn cấp = -Địa chỉ nơi các sự kiện ưu tiên cao như bỏ qua ACL khẩn cấp được gửi. Địa chỉ email truy cập khẩn cấp [[email được bảo vệ]]: Rekall không còn được hỗ trợ tích cực. Cho phép nào? [yN]: [N]: Bước 2: Khóa thế hệ khóa Tất cả các khóa sẽ có độ dài bit là 2048. Tạo khóa ký thực thi Mã khóa tạo mã khóa Tạo mã khóa bí mật để bảo vệ csrf. Nhập vào / usr / share / grr-server / thực thi / cài đặt /grr_3.2.4.6_amd64.debGRR Khởi tạo hoàn tất! Bạn có thể chỉnh sửa cấu hình mới trong /etc/grr//server.local.yaml. Vui lòng khởi động lại dịch vụ để cấu hình mới có hiệu lực. #################### ############################################## Cài đặt hoàn tất.

Bây giờ, khởi động lại dịch vụ GRR để áp dụng tất cả các thay đổi:

systemctl khởi động lại máy chủ grr

Bây giờ bạn có thể kiểm tra trạng thái của GRR bằng lệnh sau:

trạng thái hệ thống grr-server

Bạn sẽ thấy đầu ra sau:

grr-server.service – Dịch vụ GRR
Đã tải: đã tải (/lib/systemd/system/grr-server.service; enable; nhà cung cấp cài sẵn: đã bật)
Hoạt động: hoạt động (đã thoát) kể từ Thứ Sáu 2019-04-12 15:57:09 UTC; 6 giây trước
Tài liệu: https://github.com/google/grr
Quá trình: 7178 ExecStop = / bin / systemctl – dừng khối [email được bảo vệ]dịch vụ [email được bảo vệ] [email được bảo vệ] grr-s
Quá trình: 7215 ExecStart = / bin / systemctl – no-block start [email được bảo vệ]dịch vụ [email được bảo vệ] [email được bảo vệ] grr
PID chính: 7215 (mã = thoát, trạng thái = 0 / THÀNH CÔNG)
Ngày 12 tháng 4 15:57:09 ubfox1804 systemd [1]: Bắt đầu dịch vụ GRR…
Ngày 12 tháng 4 15:57:09 ubfox1804 systemd [1]: Bắt đầu dịch vụ GRR.

Truy cập giao diện web GRR

GRR hiện đã được cài đặt và nghe trên cổng 8000 (Quản trị viên) và 8080 (Frontend).

Để truy cập giao diện Quản trị GRR, hãy mở trình duyệt web của bạn và nhập URL http://192.168.0.104:8000.

Bạn sẽ được yêu cầu cung cấp tên người dùng và mật khẩu của Quản trị viên, sử dụng quản trị viên làm người dùng và mật khẩu bạn đã đặt trong khi cài đặt. Sau đó, bấm vào nút OK. Bạn sẽ được chuyển hướng đến trang sau:

Cài đặt GRR Client

Đầu tiên, đăng nhập vào giao diện web của máy chủ GRR của bạn và điều hướng đến tab Quản lý Binaries ở khung bên trái. Bạn sẽ thấy các phiên bản máy khách khác nhau như, RHEL, Debian và BSD trong trang sau:

Bây giờ, bản phân phối của bạn là Ubuntu 18.04. Vì vậy, nhấp vào grr_3.2.4.6_amd64.deb để tải xuống ứng dụng GRR cho Ubuntu.

Khi quá trình tải xuống hoàn tất, hãy cài đặt tệp đã tải xuống bằng lệnh sau:

dpkg -i grr_3.2.4.6_amd64.deb

Lệnh trên sẽ cài đặt máy khách GRR vào hệ thống của bạn và tự động đăng ký chính nó với máy chủ GRR.

Bạn cũng có thể kiểm tra trạng thái của GRR bằng lệnh sau:

trạng thái systemctl grr

Bạn sẽ thấy đầu ra sau:

grr.service – grr linux amd64Loaded: oad (/lib/systemd/system/grr.service; enable; nhà cung cấp cài sẵn: đã bật) Hoạt động: kích hoạt (đang chạy) kể từ Thứ Sáu 2019-04-12 16:24:39 UTC; 16s trướcMain PID: 3305 (grrd) Nhiệm vụ: 6 (giới hạn: 847) Cgroup: /system.slice/grr.service├─3305 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4. 6_amd64 / grrd.yaml└─3306 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4__dd.

Thực hiện điều tra

Bây giờ, đi đến giao diện web của máy chủ GRR, nhấp vào Hộp tìm kiếm và nhấn Enter. Bạn sẽ thấy Khách hàng của mình trong trang sau:

Bây giờ, nhấp vào Khách hàng của bạn để xem thêm chi tiết như được hiển thị trong trang sau:

Tiếp theo, chúng tôi sẽ liệt kê các quy trình đang chạy trên Máy khách.

Để làm như vậy, nhấp vào Bắt đầu dòng chảy mới > Quy trình > ListProcesses, Trong Trạng thái kết nối, chọn Thành lập và bấm vào Phóng để khởi động dòng chảy. Bạn sẽ thấy trang sau:

Tiếp theo, nhấp vào Quản lý luồng phát hành > ListProcesses > Các kết quả để xem kết quả của luồng ListProcesses trong trang sau:

Xin chúc mừng! Bạn đã cài đặt thành công máy chủ GRR và máy khách. Đi trước và chơi xung quanh với công cụ.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map