Hoe GRR op Ubuntu 18 te installeren?

Leer hoe u de GRR (Google Rapid Response) -server en -client op Ubuntu installeert om instructies uit te voeren.


Invoering

GRR (Google Rapid Response) is een framework voor incidentrespons op basis van Python dat kan worden gebruikt voor live forensisch onderzoek en onderzoeken. Hiermee kunt u op afstand onderzoeken en aanvallen en analyses uitvoeren.

GRR kan worden ingezet in een server-client-architectuur. Het wordt geleverd met een webgebaseerde gebruikersinterface waarmee u gegevens van de klanten kunt analyseren. Het biedt ondersteuning voor Linux, Mac OS X en Windows OS.

Vereisten

  • Een server met Ubuntu 18.xx
  • Er is een root-wachtwoord ingesteld op uw server

Ermee beginnen

Voordat u begint, moet u uw systeem bijwerken met de nieuwste versie. U kunt dit doen door de volgende opdracht uit te voeren:

apt-get update -y

Zodra uw systeem is bijgewerkt, start u het systeem opnieuw op om alle wijzigingen toe te passen.

Database installeren en configureren

Eerst moet u de MariaDB-databaseserver op uw systeem installeren. Je kunt het installeren met de volgende opdracht:

apt-get installeer mariadb-server -y

Nadat de installatie is voltooid, beveiligt u de MariaDB-installatie door de volgende opdracht uit te voeren:

mysql_secure_installation

Beantwoord alle vragen zoals hieronder weergegeven:

Voer het huidige wachtwoord in voor root (voer in voor geen):
Root-wachtwoord instellen? [J / n]: N
Anonieme gebruikers verwijderen? [J / n]: Y
Root-login op afstand niet toestaan? [J / n]: Y
Testdatabase verwijderen en er toegang toe hebben? [J / n]: Y
Privilettabellen nu opnieuw laden? [J / n]: Y

Zodra de MariaDB is beveiligd, meldt u zich aan bij de MariaDB-shell met de volgende opdracht:

mysql -u root -p

Voer uw root-wachtwoord in. Maak vervolgens een database en gebruiker voor GRR met de volgende opdracht:

MariaDB [(geen)]> DATABASE MAKEN grr;
MariaDB [(geen)]> VERLENEN ALLE VOORRECHTEN OP grr. * AAN ‘grr’ @ ‘localhost’ GEÏDENTIFICEERD MET ‘wachtwoord’ MET SUBSIDIEOPTIE;

Spoel vervolgens de rechten en verlaat de MariaDB-shell met de volgende opdracht:

MariaDB [(geen)]> SPOELPRIVILEGES;
MariaDB [(geen)]> UITGANG;

Start vervolgens de MariaDB-service opnieuw op met de volgende opdracht:

systemctl herstart mariadb

U kunt de status van de MariaDB-service controleren met de volgende opdracht:

systemctl status mariadb

Je zou de volgende output moeten zien:

mariadb.service – MariaDB 10.1.38 databaseserver
Loaded: loaded (/lib/systemd/system/mariadb.service; enabled; vendor preset: ingeschakeld)
Actief: actief (actief) sinds vr 2019-04-12 15:11:14 UTC; 54min geleden
Documenten: man: mysqld (8)
https://mariadb.com/kb/en/library/systemd/
Hoofd-PID: 1050 (mysqld)
Toestand: "Neem nu uw SQL-verzoeken…"
Taken: 46 (limiet: 1113)
CGroup: /system.slice/mariadb.service
└─1050 / usr / sbin / mysqld
12 april 15:10:53 ubuntu1804 systemd [1]: MariaDB 10.1.38-databaseserver starten…
12 april 15:11:07 ubuntu1804 mysqld [1050]: 2019-04-12 15:11:07 140152311749760 [Note] / usr / sbin / mysqld (mysqld 10.1.38-MariaDB-0ubuntu0.18.04.1)
12 april 15:11:14 ubuntu1804 systemd [1]: MariaDB 10.1.38 databaseserver gestart.
12 april 15:11:14 ubuntu1804 / etc / mysql / debian-start [1251]: MySQL-tabellen indien nodig upgraden.
12 april 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: / usr / bin / mysql_upgrade: de ‘–basedir’-optie wordt altijd genegeerd
12 april 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Op zoek naar ‘mysql’ als: / usr / bin / mysql
12 april 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Op zoek naar ‘mysqlcheck’ als: / usr / bin / mysqlcheck
12 april 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Deze installatie van MySQL is al geüpgraded naar 10.1.38-MariaDB, gebruik –force als je
12 april 15:11:15 ubuntu1804 / etc / mysql / debian-start [1306]: Controleren op onveilige root-accounts.
12 april 15:11:15 ubuntu1804 / etc / mysql / debian-start [1311]: Myisam-herstel activeren voor alle MyISAM-tabellen en aria-herstel voor alle Aria-tabellen
lijnen 1-21 / 21 (END)

Als je klaar bent, kun je doorgaan naar de volgende stap.

Installeer GRR Server

Eerst moet je een GRR-pakket downloaden van hun officiële GitHub-opslagplaats.

Je kunt het downloaden met de volgende opdracht om de GRR 3.2.4.6-versie te downloaden.

wget https://storage.googleapis.com/releases.grr-response.com/grr-server_3.2.4-6_amd64.deb

Zodra de download is voltooid, kunt u het gedownloade bestand installeren met de volgende opdracht:

dpkg -i grr-server_3.2.4-6_amd64.deb

Installeer vervolgens de vereiste afhankelijkheden met de volgende opdracht:

apt-get install -f

Tijdens de installatie moet u enkele details opgeven, zoals databasehost, gebruikersnaam, wachtwoord, GRR-URL’s en beheerderswachtwoord, zoals hieronder weergegeven:

Het uitvoeren van grr_config_updater initialiseren
Stel DEBIAN_FRONTEND = niet-interactief in om deze prompt te vermijden
################################################## ###############
Schrijftoegang op config /etc/grr//server.local.yaml controleren
Stap 0: Configuratie importeren uit vorige installatie.
Geen oud configuratiebestand gevonden.
Stap 1: Basisconfiguratieparameters instellen
We gaan nu de server configureren met behulp van een aantal vragen. – = GRR Datastore = -Om GRR te laten werken, moet elke GRR-server met de datastore kunnen communiceren. Om dit te doen, moeten we een datastore configureren. GRR zal MySQL gebruiken als database-backend. Voer verbindingsdetails in: MySQL-host [localhost]: MySQL-poort (0 voor lokale socket) [0]: MySQL-database [grr]: MySQL-gebruikersnaam [root]: grr Voer het wachtwoord in voor de databasegebruiker grr: is succesvol verbonden met MySQL met de verstrekte details .- = GRR URL’s = -Om GRR te laten werken, moet elke client kunnen communiceren met de server. Hiervoor hebben we normaal gesproken een openbare DNS-naam of IP-adres nodig om mee te communiceren. In de standaardconfiguratie wordt dit gebruikt om zowel de clientgerichte server als de admin-gebruikersinterface te hosten Voer uw hostnaam in, bijv. grr.example.com [ubuntu1804]: 192.168.0.104- = Server-URL = -De server-URL specificeert de URL die de clients zullen verbinden om met de server te communiceren. Voor de beste resultaten moet dit openbaar toegankelijk zijn. Standaard is dit poort 8080 met de URL die eindigt op /control.Frontend-URL [http://192.168.0.104:8080/ourse:-=AdminUI URL = -: de UI-URL geeft aan waar de administratieve webinterface kan worden gevonden. AdminUI-URL [http://192.168.0.104:8000pan:-=GRR E-mails = -GRR moet e-mails kunnen verzenden voor verschillende logging- en alarmfuncties. Het e-maildomein wordt toegevoegd aan GRRusernames wanneer e-mails naar gebruikers worden verzonden .- = Monitoring / e-maildomein = -E-mails met betrekking tot waarschuwingen of updates moeten naar dit domein worden gestuurd. E-maildomein bijv. Example.com [localhost]: – = Alert e-mailadres = -Adres waar bewakingsgebeurtenissen worden verzonden, bijv gecrashte clients, kapotte server, etc.Alert e-mailadres [[email beveiligd]]: – = E-mailadres voor noodgevallen = -Adres waar gebeurtenissen met hoge prioriteit zoals een ACL-bypass voor noodgevallen worden verzonden. E-mailadres voor noodtoegang [[email beveiligd]]: Rekall wordt niet langer actief ondersteund. Toch inschakelen? [yN]: [N]: Stap 2: Sleutelgeneratie Alle sleutels hebben een bitlengte van 2048. Genereren van uitvoerbare ondertekeningssleutel Genereren van CA-sleutels Genereren van serversleutels Genereren van geheime sleutel voor csrf-bescherming. Opnieuw ingepakt in / usr / share / grr-server / executables / installers /grr_3.2.4.6_amd64.debGRR Initialisatie voltooid! U kunt de nieuwe configuratie bewerken in /etc/grr//server.local.yaml. Start de service opnieuw om de nieuwe configuratie van kracht te laten worden. #################### ############################################## Installatie voltooid.

Start nu de GRR-service opnieuw om alle wijzigingen toe te passen:

systemctl herstart grr-server

U kunt nu de status van GRR controleren met de volgende opdracht:

systemctl status grr-server

Je zou de volgende output moeten zien:

grr-server.service – GRR-service
Loaded: loaded (/lib/systemd/system/grr-server.service; enabled; vendor preset: ingeschakeld)
Actief: actief (afgesloten) sinds vr 2019-04-12 15:57:09 UTC; 6s geleden
Documenten: https://github.com/google/grr
Proces: 7178 ExecStop = / bin / systemctl – no-block stop [email beveiligd]_ui.service [email beveiligd] [email beveiligd] grr-s
Proces: 7215 ExecStart = / bin / systemctl –no-block start [email beveiligd]_ui.service [email beveiligd] [email beveiligd] grr
Hoofd-PID: 7215 (code = afgesloten, status = 0 / SUCCES)
12 april 15:57:09 ubuntu1804 systemd [1]: GRR-service starten…
12 april 15:57:09 ubuntu1804 systemd [1]: GRR-service gestart.

Toegang tot GRR-webinterface

GRR is nu geïnstalleerd en luistert op poort 8000 (Admin) en 8080 (Frontend).

Om toegang te krijgen tot de GRR Admin-interface, open je je webbrowser en typ je de URL http://192.168.0.104:8000.

U wordt gevraagd om de gebruikersnaam en het wachtwoord van de beheerder op te geven, gebruik admin als de gebruiker en het wachtwoord dat u tijdens de installatie hebt ingesteld. Klik vervolgens op de knop OK. U wordt doorgestuurd naar de volgende pagina:

Installeer GRR Client

Log eerst in op de webinterface van uw GRR-server en ga naar het tabblad Binaries beheren in het linkerdeelvenster. U zou de verschillende clientversies zoals RHEL, Debian en BSD op de volgende pagina moeten zien:

Nu is je distro Ubuntu 18.04. Klik dus op de grr_3.2.4.6_amd64.deb om de GRR-client voor Ubuntu te downloaden.

Nadat de download is voltooid, installeert u het gedownloade bestand met de volgende opdracht:

dpkg -i grr_3.2.4.6_amd64.deb

De bovenstaande opdracht installeert de GRR-client op uw systeem en registreert zichzelf automatisch bij de GRR-server.

Je kunt de status van GRR ook controleren met de volgende opdracht:

systemctl status grr

Je zou de volgende output moeten zien:

grr.service – grr linux amd64Loaded: loaded (/lib/systemd/system/grr.service; enabled; vendor preset: enabled) Active: active (running) sinds vr 2019-04-12 16:24:39 UTC; Belangrijkste PID: 3305 (grrd) Taken: 6 (limiet: 847) C Groep: /system.slice/grr.service├─3305 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4. 6_amd64 / grrd.yaml└─3306 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4.6_amd64 / grrd.yamlApr 12 16:24:39 ubuntu1804 systemd [1]: Gestart grr linux amd64.

Onderzoek uitvoeren

Ga nu naar de webinterface van de GRR-server en klik op Zoekvak en druk op Enter. U zou uw klant op de volgende pagina moeten zien:

Klik nu op uw klant om meer details te zien, zoals weergegeven op de volgende pagina:

Vervolgens vermelden we de processen die op de client worden uitgevoerd.

Klik hiervoor op Start nieuwe stromen > Processen > Lijstprocessen, Selecteer onder Verbindingsstatus Gevestigd en klik op de Lancering om de stroom te lanceren. U zou de volgende pagina moeten zien:

Klik vervolgens op de Beheer gelanceerde stromen > Lijstprocessen > Resultaten om de resultaten van de ListProcesses-stroom op de volgende pagina te zien:

Gefeliciteerd! U heeft de GRR-server en -client succesvol geïnstalleerd. Ga je gang en speel met de tool.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map