Как да инсталирате GRR на Ubuntu 18?

Научете как да инсталирате GRR (Google Rapid Response) сървър и клиент в Ubuntu, за да изпълнявате инициативи.


Въведение

GRR (Google Rapid Response) е рамка за реакция на инциденти, базирана на Python, която може да се използва за жива криминалистика и разследвания. Тя ви позволява да изследвате и атакувате и да извършвате анализ от разстояние.

GRR може да се разгърне в архитектура сървър-клиент. Той се предлага с уеб базиран потребителски интерфейс, който ви позволява да анализирате данни, събрани от клиентите. Той осигурява поддръжка за Linux, Mac OS X и Windows OS.

Изисквания

  • Сървър, работещ с Ubuntu 18.xx
  • На сървъра ви се задава корен парола

Приготвяме се да започнем

Преди да започнете, ще трябва да актуализирате системата си с най-новата версия. Можете да го направите, като изпълните следната команда:

apt-получи актуализация -y

След като системата ви се актуализира, рестартирайте системата, за да приложите всички промени.

Инсталиране и конфигуриране на база данни

Първо, ще трябва да инсталирате сървъра на базата данни MariaDB във вашата система. Можете да го инсталирате със следната команда:

apt – вземете инсталирайте mariadb-server -y

След като инсталацията приключи, осигурете инсталацията на MariaDB, като изпълните следната команда:

mysql_secure_installation

Отговорете на всички въпроси, както е показано по-долу:

Въведете текущата парола за root (въведете за няма):
Задаване на парола за корен? [Y / n]: N
Премахване на анонимни потребители? [Y / n]: Y
Да се ​​забрани дистанционното влизане в корен? [Y / n]: Y
Премахване на тестовата база данни и достъп до нея? [Y / n]: Y
Да се ​​зареди ли отново таблицата с привилегии? [Y / n]: Y

След като MariaDB е защитен, влезте в обвивката на MariaDB със следната команда:

mysql -u root -p

Въведете вашата корен парола. След това създайте база данни и потребител за GRR със следната команда:

MariaDB [(няма)]> СЪЗДАВАНЕ НА ДАТАБАЗА grr;
MariaDB [(няма)]> ПРЕДОСТАВЯТ ВСИЧКИ ПРИВИЛЕГИ НА гр. * ДО ‘grr’ @ ‘localhost’ ИДЕНТИФИЦИРАНИ чрез ‘парола’ С ОПЦИЯ НА ГРАНТА

След това измийте привилегиите и излезте от черупката на MariaDB със следната команда:

MariaDB [(няма)]> ПРИВИЛЕГИ НА ФЛУШ;
MariaDB [(няма)]> EXIT;

След това рестартирайте услугата MariaDB със следната команда:

systemctl рестартира mariadb

Можете да проверите състоянието на услугата MariaDB със следната команда:

systemctl статус mariadb

Трябва да видите следния изход:

mariadb.service – MariaDB 10.1.38 сървър на база данни
Заредено: заредено (/lib/systemd/system/mariadb.service; активирано; настройка на доставчика: активирана)
Активен: активен (работи) от пет 2019-04-12 15:11:14 UTC; Преди 54мин
Документи: мъж: mysqld (8)
https://mariadb.com/kb/en/library/systemd/
Основен PID: 1050 (mysqld)
Статус: "Вашите SQL заявки сега…"
Задачи: 46 (ограничение: 1113)
CGroup: /system.slice/mariadb.service
└─1050 / usr / sbin / mysqld
12 април 15:10:53 ubuntu1804 systemd [1]: Стартиране на сървър на база данни на MariaDB 10.1.38…
12 април 15:11:07 ubuntu1804 mysqld [1050]: 2019-04-12 15:11:07 140152311749760 [Забележка] / usr / sbin / mysqld (mysqld 10.1.38-MariaDB-0ubuntu0.18.04.1)
12 април 15:11:14 ubuntu1804 systemd [1]: Стартиран сървър на база данни на MariaDB 10.1.38.
12 април 15:11:14 ubuntu1804 / etc / mysql / debian-start [1251]: Надстройване на MySQL таблици, ако е необходимо.
12 април 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: / usr / bin / mysql_upgrade: опцията ‘–basedir’ винаги се игнорира
12 април 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Търси ‘mysql’ като: / usr / bin / mysql
12 април 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Търси ‘mysqlcheck’ като: / usr / bin / mysqlcheck
12 април 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Тази инсталация на MySQL вече е надстроена до 10.1.38-MariaDB, използвайте –force, ако искате
12 април 15:11:15 ubuntu1804 / etc / mysql / debian-start [1306]: Проверка за несигурни root акаунти.
12 април 15:11:15 ubuntu1804 / etc / mysql / debian-start [1311]: Задействане на възстановяване на myisam за всички таблици на MyISAM и възстановяване на aria за всички таблици на Aria
редове 1-21 / 21 (КРАЙ)

След като направите това, можете да преминете към следващата стъпка.

Инсталиране на GRR сървър

Първо, ще трябва да изтеглите пакет GRR от техния официално хранилище на GitHub.

Можете да го изтеглите със следната команда, за да изтеглите версия GRR 3.2.4.6.

wget https://storage.googleapis.com/releases.grr-response.com/grr-server_3.2.4-6_amd64.deb

След като изтеглянето приключи, можете да инсталирате изтегления файл със следната команда:

dpkg -i grr-server_3.2.4-6_amd64.deb

След това инсталирайте необходимите зависимости със следната команда:

apt-get install -f

По време на инсталацията ще трябва да предоставите някои подробности като хост на базата данни, потребителско име, парола, GRR URLS и администраторска парола, както е показано по-долу:

Изпълняването на grr_config_updater се инициализира
За да избегнете това подкачване, задайте DEBIAN_FRONTEND = неинтерактивен
################################################## ###############
Проверка на достъпа за запис в config /etc/grr//server.local.yaml
Стъпка 0: Импортиране на конфигурация от предишна инсталация.
Не е намерен стар конфигурационен файл.
Стъпка 1: Настройка на основни параметри на конфигурацията
Сега ще конфигурираме сървъра с помощта на куп въпроси .- = GRR Datastore = -За да работи GRR, всеки GRR сървър трябва да може да комуникира с хранилището на данни. За да направим това, трябва да конфигурираме datastore.GRR ще използва MySQL като негов базис данни. Въведете подробности за връзката: MySQL Host [localhost]: MySQL Port (0 за локален сокет) [0]: База данни на MySQL [grr]: MySQL Потребителско име [root]: grrМоля, въведете парола за потребителя на базата данни grr: Успешно свързан с MySQL с предоставените подробности .- = URL адреси на GRR = -За да работи GRR, всеки клиент трябва да може да комуникира със сървъра. За да направите това, обикновено се нуждаем от обществено име на dns или IP адрес, за да общуваме. В стандартната конфигурация това ще бъде използвано за хост както на сървъра към клиента, така и на потребителския интерфейс на администратора. Моля, въведете името на хоста си, напр. grr.example.com [ubuntu1804]: 192.168.0.104- = URL адрес на сървъра = -Сървърът URL указва URL адреса, който клиентите ще се свържат, за да комуникират със сървъра. За най-добри резултати това трябва да е обществено достъпно. По подразбиране това ще бъде порт 8080 с URL, завършващ на /control.Frontend URL [http://192.168.0.104:8080/Sense:-=AdminUI URL = -: URL адресът на потребителския интерфейс указва къде може да бъде намерен административния уеб интерфейс. URL на AdminUI [http://192.168.0.104:8000Sense:-=GRR Имейли = -GRR трябва да може да изпраща имейли за различни функции за записване и задействане. Домейнът за електронна поща ще бъде добавен към GRRusernames при изпращане на имейли до потребителите .- = Мониторинг / Домейн за имейл = -Емейли относно сигнали или актуализации трябва да бъдат изпращани на този домейн. Домейн за имейл, например example.com [localhost]: – = Сигнал за имейл адрес = – Адрес, където се изпращат мониторингови събития, напр катастрофирали клиенти, счупен сървър и т.н.Alert имейл адрес [[Имейл защитен]]: – = Спешен имейл адрес = -Адрес, където се изпращат събития с висок приоритет като авариен байпас ACL.Имейл адрес за достъп по спешност [[Имейл защитен]]: Rekall вече не се поддържа активно. Да се ​​разреши ли все пак? [yN]: [N]: Стъпка 2: Генериране на ключовеВсичките ключове ще имат малка дължина 2048. Генериране на изпълним клавиш за подписване Генериране на клавиши от CA Генерация на клавиши на сървъра Генериране на секретен ключ за защита на csrf. Презареждане в / usr / share / grr-сървър / изпълними файлове / инсталатори /grr_3.2.4.6_amd64.debGRR Инициализацията е завършена! Можете да редактирате новата конфигурация в /etc/grr//server.local.yaml. Моля, рестартирайте услугата, за да влезе в сила новата конфигурация. #################### ################################################ Инсталиране завършено.

Сега рестартирайте услугата GRR, за да приложите всички промени:

systemctl рестартира grr-сървър

Сега можете да проверите състоянието на GRR със следната команда:

systemctl статус grr-сървър

Трябва да видите следния изход:

grr-server.service – GRR Service
Заредено: заредено (/lib/systemd/system/grr-server.service; активирано; настройка на доставчика: активирана)
Активен: активен (излязъл) от пет 2019-04-12 15:57:09 UTC; Преди 6s
Документи: https://github.com/google/grr
Процес: 7178 ExecStop = / bin / systemctl – стоп-блок [Имейл защитен]_ui.service [Имейл защитен] [Имейл защитен] GRR-S
Процес: 7215 ExecStart = / bin / systemctl – не-блок старт [Имейл защитен]_ui.service [Имейл защитен] [Имейл защитен] GRR
Основен PID: 7215 (код = излязъл, статус = 0 / УСПЕХ)
12 април 15:57:09 ubuntu1804 systemd [1]: Стартиране на GRR Service…
12 април 15:57:09 ubuntu1804 systemd [1]: Започна GRR услуга.

Достъп до GRR уеб интерфейс

GRR вече е инсталиран и слуша на порт 8000 (Администратор) и 8080 (Frontend).

За достъп до интерфейса на GRR Admin, отворете уеб браузъра си и напишете URL адреса http://192.168.0.104:8000.

Ще бъдете помолени да предоставите потребителско име и парола на администратора, да използвате администратора като потребител и паролата, която сте задали по време на инсталацията. След това кликнете върху бутона OK. Ще бъдете пренасочени към следната страница:

Инсталиране на GRR клиент

Първо, влезте в уеб интерфейса на вашия GRR сървър и отворете раздела Manage Binaries в левия прозорец. Трябва да видите различните клиентски версии като, RHEL, Debian и BSD на следната страница:

Сега, вашият дистрибутор е Ubuntu 18.04. Така че, кликнете върху grr_3.2.4.6_amd64.deb за да изтеглите GRR клиента за Ubuntu.

След като изтеглянето завърши, инсталирайте изтегления файл със следната команда:

dpkg -i grr_3.2.4.6_amd64.deb

Горната команда ще инсталира GRR клиента във вашата система и автоматично се регистрира на GRR сървъра.

Можете също да проверите състоянието на GRR със следната команда:

systemctl grr статус

Трябва да видите следния изход:

grr.service – grr linux amd64Зареден: зареден (/lib/systemd/system/grr.service; активиран; предварително зададена настройка на доставчика: активиран) Активен: активен (работи) от пет 2019-04-12 16:24:39 UTC; 16s agoMain PID: 3305 (grrd) Задачи: 6 (ограничение: 847) CGroup: /system.slice/grr.service├─3305 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4. 6_amd64 / grrd.yaml└─3306 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4.6_amd64 / grrd.yamlАприл 12 16:24:39 ubuntu1804 systemd [1]: Стартиран grr linux amd64.

Извършете разследване

Сега отидете на уеб интерфейса на GRR сървъра и кликнете върху Поле за търсене и натиснете Enter. Трябва да видите клиента си на следната страница:

Сега кликнете върху вашия клиент, за да видите повече подробности, както е показано на следната страница:

След това ще изброим процесите, които се изпълняват на клиента.

За целта кликнете върху Стартирайте нови потоци > процеси > ListProcesses, Под състояние на връзка изберете установен и кликнете върху хвърлям за стартиране на потока. Трябва да видите следната страница:

След това щракнете върху Управление на стартираните потоци > ListProcesses > Резултати за да видите резултатите от потока ListProcess на следната страница:

Честито! Успешно сте инсталирали GRR сървъра и клиента. Върви напред и си поиграй с инструмента.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map