Hoe kan u GRR op Ubuntu 18 installeer?

Leer hoe om GRR (Google Rapid Response) -bediener en -klient op Ubuntu te installeer om instellings uit te voer.


inleiding

GRR (Google Rapid Response) is ‘n raamwerk vir insidentrespons gebaseer op Python wat gebruik kan word vir regstreekse forensiese ondersoeke en ondersoeke. Dit stel u in staat om ondersoeke aan te val en aan te val en analise op afstand uit te voer.

GRR kan ontplooi word in ‘n bediener-kliënt-argitektuur. Dit kom met ‘n web-gebaseerde gebruikerskoppelvlak wat u toelaat om data wat u van die kliënte versamel het, te ontleed. Dit bied ondersteuning vir Linux, Mac OS X en Windows OS.

vereistes

  • ‘N Bediener met Ubuntu 18.xx
  • ‘N Rootwagwoord word op u bediener opgestel

Aan die gang kom

Voordat u begin, moet u u stelsel met die nuutste weergawe opdateer. U kan dit doen deur die volgende opdrag uit te voer:

geskik om opdatering te kry -y

Sodra u stelsel opgedateer is, moet u die stelsel herbegin om al die veranderinge toe te pas.

Installeer en konfigureer databasis

Eerstens moet u die MariaDB-databasisbediener op u stelsel installeer. U kan dit installeer met die volgende opdrag:

apt-get installeer mariadb-server -y

Sodra die installasie voltooi is, moet u die MariaDB-installasie beveilig deur die volgende opdrag uit te voer:

mysql_secure_installation

Beantwoord al die vrae soos hieronder getoon:

Tik die huidige wagwoord vir root (voer geen in nie):
Stel wortelwagwoord? [J / n]: N
Verwyder anonieme gebruikers? [J / n]: Y
Weier wortelaanmelding op afstand? [J / n]: Y
Verwyder die toetsdatabasis en toegang daartoe? [J / n]: Y
Herlaai-voorregstabelle nou herlaai? [J / n]: Y

Sodra die MariaDB beveilig is, meld u aan by die MariaDB-dop met die volgende opdrag:

mysql -u wortel -p

Voer u stamwagwoord in. Skep dan ‘n databasis en gebruiker vir GRR met die volgende opdrag:

MariaDB [(geen)]> SKEP DATABASIS grr;
MariaDB [(geen)]> TOE ALLE PRIVILEGES OP GRR. * AAN ‘grr’ @ ‘localhost’ GEÏDENTIFISEER MET ‘wagwoord’ MET TOEKENNING OPSIE;

Spoel vervolgens die voorregte uit en verlaat die MariaDB-dop met die volgende opdrag:

MariaDB [(geen)]> FLUSH PRIVILEGES;
MariaDB [(geen)]> EXIT;

Herbegin die MariaDB-diens met die volgende opdrag:

systemctl herbegin mariadb

U kan die status van MariaDB-diens met die volgende opdrag nagaan:

systemctl status mariadb

U moet die volgende afvoer sien:

mariadb.service – MariaDB 10.1.38 databasisbediener
Gelaai: gelaai (/lib/systemd/system/mariadb.service; geaktiveer; verskaffer vooraf ingesteld: ingeskakel)
Aktief: aktief (hardloop) sedert Vr 2019-04-12 15:11:14 UTC; 54min gelede
Dokumente: man: mysqld (8)
https://mariadb.com/kb/en/library/systemd/
Hoof-PID: 1050 (mysqld)
status: "Neem nou jou SQL-versoeke…"
Take: 46 (limiet: 1113)
CGroup: /system.slice/mariadb.service
└─1050 / usr / sbin / mysqld
12 Apr 15:10:53 ubuntu1804 systemd [1]: MariaDB 10.1.38 databasisbediener begin…
12 Apr 15:11:07 ubuntu1804 mysqld [1050]: 2019-04-12 15:11:07 140152311749760 [Opmerking] / usr / sbin / mysqld (mysqld 10.1.38-MariaDB-0ubuntu0.18.04.1)
12 April 15:11:14 ubuntu1804 systemd [1]: MariaDB 10.1.38 databasisbediener is begin.
12 Apr 15:11:14 ubuntu1804 / etc / mysql / debian-start [1251]: Opgradering van MySQL-tabelle indien nodig.
12 Apr 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: / usr / bin / mysql_upgrade: die ‘–basedir’ opsie word altyd geïgnoreer
12 Apr 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Op soek na ‘mysql’ as: / usr / bin / mysql
12 Apr 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Op soek na ‘mysqlcheck’ as: / usr / bin / mysqlcheck
12 April 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Hierdie installasie van MySQL is reeds opgegradeer na 10.1.38-MariaDB, gebruik – force as u
12 Apr 15:11:15 ubuntu1804 / etc / mysql / debian-start [1306]: Kyk na onveilige wortelrekeninge.
12 Apr 15:11:15 ubuntu1804 / etc / mysql / debian-start [1311]: Myisam-herstel vir alle MyISAM-tafels en Aria-herstel vir alle Aria-tafels aanloklik
reël 1-21 / 21 (END)

Sodra u dit gedoen het, kan u voortgaan met die volgende stap.

Installeer GRR Server

Eerstens moet u ‘n GRR-pakket van hulle aflaai amptelike GitHub-bewaarplek.

U kan dit aflaai met die volgende opdrag om die GRR 3.2.4.6-weergawe af te laai.

wget https://storage.googleapis.com/releases.grr-response.com/grr-server_3.2.4-6_amd64.deb

Sodra die aflaai afgelaai is, kan u die afgelaaide lêer installeer met die volgende opdrag:

dpkg -i grr-server_3.2.4-6_amd64.deb

Installeer vervolgens die vereiste afhanklikhede met die volgende opdrag:

apt-get install -f

Tydens die installasie moet u ‘n paar besonderhede soos databasisgasheer, gebruikersnaam, wagwoord, GRR URL’s en beheerderswagwoord verstrek soos hieronder getoon:

Begin initialiseer grr_config_updater
Stel DEBIAN_FRONTEND = nie-interaktief om hierdie versoeking te vermy
################################################## ###############
Kontroleer skryftoegang op config /etc/grr//server.local.yaml
Stap 0: die invoer van konfigurasie vanaf die vorige installasie.
Geen ou config lêer gevind nie.
Stap 1: Stel basiese konfigurasieparameters in
Ons gaan nou die bediener opstel met behulp van ‘n klomp vrae .- = GRR Datastore = -Vir GRR om te werk, moet elke GRR-bediener met die datastore kan kommunikeer. Hiervoor moet ons ‘n datastore opstel .GRR sal MySQL as databasisondersteuning gebruik. Voer verbindingsdetails in: MySQL gasheer [localhost]: MySQL-poort (0 vir plaaslike aansluiting) [0]: MySQL-databasis [grr]: MySQL-gebruikersnaam [wortel]: grr Voer asb. Wagwoord in vir databasisgebruiker grr: is suksesvol gekoppel aan MySQL met die gegewe besonderhede .- = GRR URL’s = -Van GRR om te werk moet elke kliënt met die bediener kan kommunikeer. Om dit te kan doen, benodig ons gewoonlik ‘n openbare dns-naam of ‘n IP-adres wat ons moet kommunikeer. In die standaardkonfigurasie sal dit gebruik word om die bediener sowel as die admin-gebruikerskoppelvlak aan te bied. Voer u gasheernaam in, bv. grr.example.com [ubuntu1804]: 192.168.0.104- = Server-URL = -Die bediener-URL spesifiseer die URL wat die kliënte sal koppel om met die bediener te kommunikeer. Vir die beste resultate moet dit in die openbaar toeganklik wees. Standaard sal dit poort 8080 wees met die URL wat eindig op /control.Frendend URL [http://192.168.0.104:8080/??:-=AdminUI URL = -: Die UI URL spesifiseer waar die administratiewe webinterface gevind kan word. AdminUI URL [http://192.168.0.104:8000achte:-=GRR E-pos = -GRR moet e-posse kan stuur vir verskillende log- en alarmfunksies. Die e-posdomein sal by GRR-name gevoeg word wanneer e-pos aan gebruikers gestuur word .- = Monitoring / e-posdomein = -E-posse oor waarskuwings of opdaterings moet na hierdie domein gestuur word. E-posdomein bv. Voorbeeld.com [localhost]: – = Alert e-posadres = -Adres waar monitering van gebeure gestuur word, bv gekraakte kliënte, gebroke bediener, ens. E-posadres [[Email protected]]: – = E-posadres vir noodgevalle = -adres waar gebeurtenisse met ‘n hoë prioriteit soos ‘n noodweë-ACL-omseil gestuur word. E-posadres vir noodtoestande [[Email protected]]: Rekall word nie meer aktief ondersteun nie. In elk geval aangeskakel? [yN]: [N]: Stap 2: SleutelgenereringAlle sleutels het ‘n bietjie lengte van 2048. Genereerbare uitvoerbare onderteken-sleutel Genereer CA-sleutels Genereer bedienersleutelsGenereer geheime sleutel vir csrf-beskerming. Herpak in / usr / share / grr-server / executables / installers /grr_3.2.4.6_amd64.debGRR Inisialisering voltooi! U kan die nuwe konfigurasie in /etc/grr//server.local.yaml wysig. Herbegin die diens vir die nuwe konfigurasie om in werking te tree. ################### ############################################# Install installation complete.

Begin nou weer met die GRR-diens om al die veranderinge toe te pas:

systemctl herbegin grr-server

U kan nou die status van GRR met die volgende opdrag nagaan:

systemctl status grr-bediener

U moet die volgende afvoer sien:

grr-server.service – GRR Diens
Gelaai: gelaai (/lib/systemd/system/grr-server.service; geaktiveer; verskaffer vooraf ingesteld: ingeskakel)
Aktief: aktief (uitgegaan) sedert Vrydag 2019-04-12 15:57:09 UTC; 6s gelede
Dokumente: https://github.com/google/grr
Proses: 7178 ExecStop = / bin / systemctl – geen blok stop nie [Email protected]_ui.service [Email protected] [Email protected] grr-s
Proses: 7215 ExecStart = / bin / systemctl – geen blok-start nie [Email protected]_ui.service [Email protected] [Email protected] GrR
Hoof-PID: 7215 (kode = verlaat, status = 0 / SUKSES)
12 Apr 15:57:09 ubuntu1804 systemd [1]: Begin GRR Service…
12 Apr 15:57:09 ubuntu1804 systemd [1]: GRR Service begin.

Toegang tot GRR-webvlak

GRR is nou geïnstalleer en luister op poort 8000 (Admin) en 8080 (Frontend).

Om toegang tot die GRR Admin-koppelvlak te verkry, open u webblaaier en tik die URL http://192.168.0.104:8000.

U sal gevra word om Admin-gebruikersnaam en -wagwoord te verstrek, gebruik admin as die gebruiker en die wagwoord wat u tydens die installasie gestel het. Klik dan op die OK-knoppie. U sal na die volgende bladsy herlei word:

Installeer GRR-kliënt

Meld eers aan by u GRR-bediener-koppelvlak en navigeer na die blad Binaire bestuur op die linkerruit. U moet die verskillende weergawes van kliënte soos RHEL, Debian en BSD op die volgende bladsy sien:

Nou, u distro is Ubuntu 18.04. Klik dus op die grr_3.2.4.6_amd64.deb om die GRR-kliënt vir Ubuntu af te laai.

Sodra die aflaai afgelê is, installeer die afgelaaide lêer met die volgende opdrag:

dpkg -i grr_3.2.4.6_amd64.deb

Bogenoemde opdrag installeer die GRR-kliënt op u stelsel en registreer homself outomaties op die GRR-bediener.

U kan ook die status van GRR met die volgende opdrag nagaan:

stelsel status grr

U moet die volgende afvoer sien:

grr.service – grr linux amd64Loaded: gelaai (/lib/systemd/system/grr.service; ingeskakeld; verskaffer vooraf ingesteld: ingeskakel) Aktief: aktief (loop) sedert Vrydag 2019-04-12 16:24:39 UTC; 16s agoMain PID: 3305 (grrd) Take: 6 (limiet: 847) CGroup: /system.slice/grr.service├─3305 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4. 6_amd64 / grrd.yaml└─3306 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4.6_amd64 / grrd.yamlApr 12 16:24:39 ubuntu1804 systemd [1]: Begin grr linux amd64.

Doen ondersoek

Gaan nou na die GRR-bediener-koppelvlak, klik op die Soekkassie en druk Enter. U moet u kliënt op die volgende bladsy sien:

Klik nou op u kliënt om meer besonderhede te sien soos op die volgende bladsy aangedui:

Vervolgens sal ons ‘n lys gee van die prosesse wat op die kliënt uitgevoer word.

Klik hierop Begin nuwe strome > prosesse > ListProcesses, Kies onder Verbindingsstaat gestig en klik op die Begin om die stroom te begin. U moet die volgende bladsy sien:

Klik dan op die Bestuur gestroomde vloei > ListProcesses > Resultate om die resultate van die ListProcesses-vloei op die volgende bladsy te sien:

Baie geluk! U het die GRR-bediener en kliënt suksesvol geïnstalleer. Gaan speel gerus met die instrument.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map