Hogyan telepítsük a GRR-t az Ubuntu 18-ra?

Tanulja meg, hogyan telepítheti a GRR (Google Rapid Response) szervert és klienst az Ubuntun az indítások elvégzéséhez.


Bevezetés

GRR (Google Rapid Response) egy Pythonon alapuló eseménykezelő keret, amelyet élő kriminalisztikához és nyomozásokhoz lehet felhasználni. Ez lehetővé teszi a távoli vizsgálatokat, támadásokat és elemzéseket.

A GRR kiszolgáló-kliens architektúrában telepíthető. Webes felhasználói felülettel rendelkezik, amely lehetővé teszi az ügyfelek által gyűjtött adatok elemzését. Támogatást nyújt a Linux, a Mac OS X és a Windows operációs rendszerhez.

követelmények

  • Az Ubuntu 18.xx futtató szerver
  • A gyökérjelszó be van állítva a szerveren

Elkezdeni

Indítás előtt frissítenie kell a rendszert a legújabb verzióval. Megteheti a következő parancs futtatásával:

apt-get update -y

Miután a rendszert frissítette, indítsa újra a rendszert az összes változás alkalmazásához.

Telepítse és konfigurálja az adatbázist

Először telepítenie kell a MariaDB adatbázis-kiszolgálót a rendszerére. Telepítheti a következő paranccsal:

apt-get install mariadb-server -y

A telepítés befejezése után a következő parancs futtatásával biztosítsa a MariaDB telepítést:

mysql_secure_installation

Válaszoljon az összes kérdésre az alábbiak szerint:

Írja be a root jelszavát (ha nincs, írja be):
Állítsa be a root jelszót? [I / N]: N
Eltávolít névtelen felhasználókat? [I / N]: I
Tilos távoli alapon bejelentkezni a root felhasználóba? [I / N]: I
Távolítsa el a teszt adatbázist és hozzáférjen ehhez? [I / N]: I
Töltse le most újra a privilégiumtáblákat? [I / N]: I

Miután a MariaDB biztonságban van, jelentkezzen be a MariaDB shellbe a következő paranccsal:

mysql -u root -p

Írja be a root jelszót. Ezután hozzon létre egy adatbázist és egy felhasználót a GRR számára a következő paranccsal:

MariaDB [(nincs)]> CREATE DATABASE grr;
MariaDB [(nincs)]> MINDEN PRIVILÉGIÁT MEGADJA a grr-n. * A ‘grr’ @ ” localhost ‘-re’ JELZÉS ‘jelszóval azonosítva, GRANT-opcióval;

Ezután öblítse át a jogosultságokat és lépjen ki a MariaDB parancsértelmezőből a következő paranccsal:

MariaDB [(nincs)]> SZENNYEZETT ELJÁRÁSOK;
MariaDB [(nincs)]> KIJÁRAT;

Ezután indítsa újra a MariaDB szolgáltatást a következő paranccsal:

A systemctl újraindítja a mariadb szoftvert

A MariaDB szolgáltatás állapotát a következő paranccsal ellenőrizheti:

systemctl status mariadb

A következő kimenetet kell látnia:

mariadb.service – MariaDB 10.1.38 adatbázis-kiszolgáló
Betöltve: betöltve (/lib/systemd/system/mariadb.service; engedélyezve; eladó preset: engedélyezve)
Aktív: aktív (fut) 2019-04-12 15:11:14 UTC óta; 54 perccel ezelőtt
Dokumentumok: ember: mysqld (8)
https://mariadb.com/kb/en/library/systemd/
Fő PID: 1050 (mysqld)
Állapot: "Most átveszi az SQL kéréseit…"
Feladatok: 46 (határ: 1113)
CGroup: /system.slice/mariadb.service
└─1050 / usr / sbin / mysqld
Április 12. 15:10:53 ubuntu1804 systemd [1]: A MariaDB 10.1.38 adatbázis szerver indítása…
Április 12. 15:11:07 ubuntu1804 mysqld [1050]: 2019-04-12 15:11:07 140152311749760 [Megjegyzés] / usr / sbin / mysqld (mysqld 10.1.38-MariaDB-0ubuntu0.18.04.1)
Április 12. 15:11:14 ubuntu1804 systemd [1]: Elindította a MariaDB 10.1.38 adatbázis szervert.
Április 12. 15:11:14 ubuntu1804 / etc / mysql / debian-start [1251]: A MySQL táblák frissítése, ha szükséges.
Április 12. 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: / usr / bin / mysql_upgrade: A ‘–basedir’ opciót mindig figyelmen kívül hagyjuk.
Április 12. 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: A ‘mysql’ keresése a következőként: / usr / bin / mysql
Április 12. 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: A ‘mysqlcheck’ keresése: / usr / bin / mysqlcheck néven:
Április 12. 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: A MySQL telepítése már frissítve van a 10.1.38-MariaDB verzióra, használja –force, ha
Április 12. 15:11:15 ubuntu1804 / etc / mysql / debian-start [1306]: Nem biztonságos gyökérfiókok ellenőrzése.
Április 12. 15:11:15 ubuntu1804 / etc / mysql / debian-start [1311]: A Myisam helyreállítása az összes MyISAM táblához és az aria helyreállítás az összes Aria asztalhoz.
1-21 / 21. sor (END)

Miután megtette, folytathatja a következő lépéssel.

Telepítse a GRR Server alkalmazást

Először le kell töltenie egy GRR csomagot a saját magukról hivatalos GitHub tárház.

Töltse le a következő paranccsal a GRR 3.2.4.6 verzió letöltéséhez.

wget https://storage.googleapis.com/releases.grr-response.com/grr-server_3.2.4-6_amd64.deb

A letöltés befejezése után a következő paranccsal telepítheti a letöltött fájlt:

dpkg -i grr-server_3.2.4-6_amd64.deb

Ezután telepítse a szükséges függőségeket a következő paranccsal:

apt-get install -f

A telepítés során megadnia kell néhány részletet, például az adatbázis gazdagépét, felhasználónevét, jelszavát, GRR URL-eket és rendszergazdai jelszavakat, az alább látható módon:

A grr_config_updater futtatása inicializálja
A kérés elkerülése érdekében állítsa be a DEBIAN_FRONTEND = noninteractive beállítást
################################################## ###############
Az írási hozzáférés ellenőrzése a config /etc/grr//server.local.yaml webhelyen
0. lépés: Konfiguráció importálása az előző telepítésből.
Nem található régi konfigurációs fájl.
1. lépés: Az alapvető konfigurációs paraméterek beállítása
Most egy csomó kérdést használunk a kiszolgáló konfigurálására .- = GRR adattár = = A GRR működéséhez minden GRR kiszolgálónak képesnek kell lennie kommunikálni az adat-tárolóval. Ehhez be kell állítanunk egy datastore.GRR-t a MySQL-t fog használni adatbázis-háttérként. Adja meg a kapcsolat adatait: MySQL Host [localhost]: MySQL Port (0 a helyi aljzathoz) [0]: MySQL adatbázis [grr]: MySQL felhasználónév [gyökér]: grrKérjük, írja be az adatbázis felhasználói jelszavát grr: Sikeresen csatlakozik a MySQL-hez a megadott adatokkal .- = GRR URL = = A GRR működéséhez minden kliensnek képesnek kell lennie kommunikálni a kiszolgálóval. Ehhez általában egy nyilvános dns névre vagy IP-címre van szükségünk, amellyel kommunikálni tudunk. A szokásos konfigurációban ezt mind az ügyféllel szembeni kiszolgáló, mind az admin felhasználói felületének fogadására használják. Kérjük, adja meg a gazdagép nevét, pl. grr.example.com [ubuntu1804]: 192.168.0.104- = Kiszolgáló URL = -A kiszolgáló URL megadja azt az URL-t, amelyet az ügyfelek csatlakozni fognak a kiszolgálóval való kommunikációhoz. A legjobb eredmények elérése érdekében ennek nyilvánosan elérhetőnek kell lennie. Alapértelmezés szerint ez a 8080-as port lesz, amelynek URL-je végén a /control.Frontend URL [http://192.168.0.104:8080/←:-=AdminUI URL = -:: Az UI URL meghatározza, hogy hol található az adminisztrációs webes felület. AdminUI URL [http://192.168.0.104:8000]::=GRR e-mailek = -GRR-nek képesnek kell lennie e-mailek küldésére a különféle naplózási és üzenetküldési funkciókról. Az e-mail tartomány hozzá lesz adva a GRRusernameshez, amikor e-maileket küld a felhasználóknak .- = Figyelési / e-mail tartomány = -A riasztásokkal vagy frissítésekkel kapcsolatos e-maileket erre a domainre kell küldeni. E-mail tartomány pl. Példa.com [localhost]: – = Figyelmeztető e-mail cím = -Cím, ahol a megfigyelési eseményeket elküldik, pl összeomlott kliensek, meghibásodott szerver stb.[Email protected]]: – = Sürgősségi e-mail cím = -cím, ahova olyan prioritást élvező eseményeket küldünk, mint például a vészhelyzeti ACL bypass. Sürgősségi hozzáférési e-mail cím [[Email protected]]: A Rekall már nem aktívan támogatott. Egyébként engedélyezni? [yN]: [N]: 2. lépés: A kulcsok generálásaAz összes kulcs 2048 bit hosszú lesz. Végrehajtható aláírási kulcs létrehozásaA CA kulcsok létrehozásaKiszolgáló kulcsok generálásaTitkos kulcs létrehozása a csrf védelemhez. /grr_3.2.4.6_amd64.debGRR Az inicializálás kész! Az új konfigurációt az /etc/grr//server.local.yaml. mappában szerkesztheti. Kérjük, indítsa újra a szolgáltatást, hogy az új konfiguráció érvénybe lépjen. #################### ################################################ telepítése kész.

Most indítsa újra a GRR szolgáltatást az összes módosítás végrehajtásához:

a systemctl újraindítja a grr-szervert

Most ellenőrizheti a GRR állapotát a következő paranccsal:

systemctl status grr-server

A következő kimenetet kell látnia:

grr-server.service – GRR szolgáltatás
Betöltve: betöltve (/lib/systemd/system/grr-server.service; engedélyezve; eladó preset: engedélyezett)
Aktív: aktív (kilépett) 2019-04-12 15:57:09 UTC óta; 6s ezelőtt
Dokumentumok: https://github.com/google/grr
Folyamat: 7178 ExecStop = / bin / systemctl – no-block stop [Email protected]_ui.service [Email protected] [Email protected] GRR-s
Folyamat: 7215 ExecStart = / bin / systemctl – nem blokkos indítás [Email protected]_ui.service [Email protected] [Email protected] grr
Fő PID: 7215 (kód = kilépett, állapot = 0 / SIKER)
Április 12. 15:57:09 ubuntu1804 systemd [1]: A GRR szolgáltatás indítása…
Április 12. 15:57:09 ubuntu1804 systemd [1]: A GRR szolgáltatás indítása.

Hozzáférés a GRR webes felületéhez

A GRR már telepítve van és figyel a 8000 (Admin) és 8080 (Frontend) portokra..

A GRR Admin felület eléréséhez nyissa meg a böngészőt, és írja be az URL-t: http://192.168.0.104:8000.

A rendszer felkéri a rendszergazda felhasználónevét és jelszavát, az adminot használja felhasználóként és a telepítés során beállított jelszót. Ezután kattintson az OK gombra. A következő oldalra kerülnek átirányításra:

Telepítse a GRR klienst

Először jelentkezzen be a GRR szerver webes felületére, és keresse meg a bal oldali ablaktáblát a Bináris fájlok kezelése fülre. A következő oldalon látnia kell a különféle kliens verziókat, mint például az RHEL, a Debian és a BSD:

Most az ön diszkója Ubuntu 18.04. Tehát kattintson a grr_3.2.4.6_amd64.deb letölthető a GRR kliens az Ubuntu számára.

A letöltés befejezése után telepítse a letöltött fájlt a következő paranccsal:

dpkg -i grr_3.2.4.6_amd64.deb

A fenti parancs telepíti a GRR klienst a rendszerére, és automatikusan regisztrálja magát a GRR szerverre.

A GRR állapotát a következő paranccsal is ellenőrizheti:

systemctl status grr

A következő kimenetet kell látnia:

grr.service – grr linux amd64Loaded: betöltve (/lib/systemd/system/grr.service; engedélyezve; eladó preset: engedélyezve) Aktív: aktív (fut) 2019-04-12 16:24:39 UTC óta működik; 16s agoMain PID: 3305 (grrd) Feladatok: 6 (limit: 847) CGroup: /system.slice/grr.service├─3305 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4. 6_amd64 / grrd.yaml└─3306 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4.6_amd64 / grrd.yamlApr 12 16:24:39 ubuntu1804 systemd [1]: grr linux amd64 indítva.

Vizsgálat elvégzése

Most lépjen a GRR szerver webes felületére, kattintson a Keresőmező és nyomja meg az Enter billentyűt. A következő oldalon látnia kell ügyfelét:

Most kattintson az Ügyfélre, hogy további részleteket jelenítsen meg, ahogy az a következő oldalon látható:

Ezután felsoroljuk az ügyfélen futó folyamatokat.

Ehhez kattintson a gombra Új áramlások indítása > Eljárások > ListProcesses, A Csatlakozás állapota alatt válassza a lehetőséget Alapított és kattintson a Dob az áramlás elindításához. A következő oldalt kell látnia:

Ezután kattintson a Kezelje az indított folyamatokat > ListProcesses > Eredmények hogy megnézze a ListaProcesses folyamata eredményeit a következő oldalon:

Gratulálunk! Sikeresen telepítette a GRR szervert és az ügyfelet. Menj előre és játssz körül a szerszámmal.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map