如何在Ubuntu 18上安装GRR?

了解如何在Ubuntu上安装GRR(Google快速响应)服务器和客户端以执行煽动.


介绍

GRR (Google快速响应)是基于Python的事件响应框架,可用于实时取证和调查。它使您可以远程检查和攻击并执行分析.

GRR可以部署在服务器-客户端体系结构中。它带有基于Web的用户界面,可让您分析从客户端收集的数据。它支持Linux,Mac OS X和Windows OS.

要求

  • 运行Ubuntu 18.xx的服务器
  • 在您的服务器上设置了root密码

入门

开始之前,您需要使用最新版本更新系统。您可以通过运行以下命令来做到这一点:

apt-get更新-y

系统更新后,请重新启动系统以应用所有更改.

安装和配置数据库

首先,您需要将MariaDB数据库服务器安装到系统中。您可以使用以下命令进行安装:

apt-get安装mariadb-server -y

安装完成后,通过运行以下命令来保护MariaDB安装:

mysql_secure_installation

回答所有问题,如下所示:

输入root用户当前密码(不输入密码):
设置root密码? [是/否]:N
删除匿名用户? [是/否]:是
禁止远程root登录? [是/否]:是
删除测试数据库并访问它? [是/否]:是
现在重新加载特权表? [是/否]:是

一旦MariaDB安全,请使用以下命令登录MariaDB shell:

mysql -u root -p

输入您的根密码。然后,使用以下命令为GRR创建数据库和用户:

MariaDB [(无)]> 创建数据库grr;
MariaDB [(无)]> 将所有特权授予grr。*,并以GRANT选项将’passr’标识为’grr’@’localhost’;

接下来,刷新特权并使用以下命令从MariaDB shell退出:

MariaDB [(无)]> 冲洗特权;
MariaDB [(无)]> 出口;

接下来,使用以下命令重新启动MariaDB服务:

systemctl重新启动mariadb

您可以使用以下命令检查MariaDB服务的状态:

systemctl状态mariadb

您应该看到以下输出:

mariadb.service-MariaDB 10.1.38数据库服务器
已加载:已加载(/lib/systemd/system/mariadb.service;已启用;供应商预设:已启用)
活动时间:自UTC星期五2019-04-12 15:11:14起活动(运行); 54分钟前
文件:man:mysqld(8)
https://mariadb.com/kb/zh/library/systemd/
主PID:1050(mysqld)
状态: "立即处理您的SQL请求…"
任务:46(限制:1113)
CGroup:/system.slice/mariadb.service
└─1050/ usr / sbin / mysqld
4月12日15:10:53 ubuntu1804 systemd [1]:启动MariaDB 10.1.38数据库服务器…
4月12日15:11:07 ubuntu1804 mysqld [1050]:2019-04-12 15:11:07 140152311749760 [Note] / usr / sbin / mysqld(mysqld 10.1.38-MariaDB-0ubuntu0.18.04.1)
4月12日15:11:14 ubuntu1804 systemd [1]:启动了MariaDB 10.1.38数据库服务器.
4月12日15:11:14 ubuntu1804 / etc / mysql / debian-start [1251]:如有必要,升级MySQL表.
4月12日15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]:/ usr / bin / mysql_upgrade:始终忽略’–basedir’选项
4月12日15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]:寻找“ mysql”为:/ usr / bin / mysql
4月12日15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]:寻找“ mysqlcheck”为:/ usr / bin / mysqlcheck
4月12日15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]:此MySQL安装已升级到10.1.38-MariaDB,如果您要使用–force
4月12日15:11:15 ubuntu1804 / etc / mysql / debian-start [1306]:检查不安全的root帐户.
4月12日15:11:15 ubuntu1804 / etc / mysql / debian-start [1311]:触发所有MyISAM表的myisam-recover和所有Aria表的aria-recover
1-21 / 21行(END)

完成后,您可以继续下一步.

安装GRR服务器

首先,您需要从他们的网站下载GRR软件包 官方GitHub存储库.

您可以使用以下命令下载它,以下载GRR 3.2.4.6版本.

wget https://storage.googleapis.com/releases.grr-response.com/grr-server_3.2.4-6_amd64.deb

下载完成后,可以使用以下命令安装下载的文件:

dpkg -i grr-server_3.2.4-6_amd64.deb

接下来,使用以下命令安装所需的依赖项:

apt-get install -f

在安装过程中,您将需要提供一些详细信息,例如数据库主机,用户名,密码,GRR URL和管理员密码,如下所示:

运行grr_config_updater初始化
为避免出现此提示,请设置DEBIAN_FRONTEND = noninteractive
################################################ ###############
检查config /etc/grr//server.local.yaml上的写访问权限
步骤0:从先前的安装导入配置.
找不到旧的配置文件.
步骤1:设置基本配置参数
现在,我们将使用一系列问题来配置服务器。-= GRR数据存储=-为了使GRR正常工作,每个GRR服务器必须能够与数据存储进行通信。为此,我们需要配置一个数据存储.GRR将使用MySQL作为其数据库后端。输入连接详细信息:MySQL主机[localhost]:MySQL端口(本地套接字为0)[0]:MySQL数据库[grr]:MySQL用户名[root]:grr请输入数据库用户grr的密码:已成功连接到MySQL,并提供了详细信息.- = GRR URL =-要使GRR正常工作,每个客户端必须能够与服务器通信。为此,我们通常需要一个公共的DNS名称或IP地址进行通信。在标准配置中,这将用于托管面向客户端的服务器和admin用户界面。请输入您的主机名,例如grr.example.com [ubuntu1804]:192.168.0.104- =服务器URL =-服务器URL指定客户端将连接以与服务器通信的URL。为了获得最佳效果,应公开访问。默认情况下,它将是端口8080,URL以/ control结尾。前端URL [http://192.168.0.104:8080/]:-=AdminUI URL =-:UI URL指定可以在何处找到管理Web界面。 AdminUI URL [http://192.168.0.104:8000]:-=GRR电子邮件= -GRR需要能够发送电子邮件以用于各种日志记录和警报功能。向用户发送电子邮件时,电子邮件域将附加到GRRusernames。-=监视/电子邮件域=-必须将与警报或更新有关的电子邮件发送到该域。电子邮件域,例如example.com [localhost]:-=警报电子邮件地址= -发送监视事件的地址,例如客户端崩溃,服务器损坏等。警报电子邮件地址[[受电子邮件保护]]:-=紧急电子邮件地址=-发送诸如紧急ACL旁路之类的高优先级事件的地址。紧急访问电子邮件地址[[受电子邮件保护]]:不再积极支持Rekall。仍然启用吗? [yN]:[N]:第2步:密钥生成所有密钥的位长为2048。生成可执行的签名密钥生成CA密钥生成服务器密钥生成用于csrf保护的秘密密钥。重新打包到/ usr / share / grr-server / executables / installers /grr_3.2.4.6_amd64.debGRR初始化完成!您可以在/etc/grr//server.local.yaml中编辑新配置。请重新启动服务以使新配置生效。#################### ##############################################完成安装.

现在,重新启动GRR服务以应用所有更改:

systemctl重新启动grr-server

现在,您可以使用以下命令检查GRR的状态:

systemctl状态grr-server

您应该看到以下输出:

grr-server.service-GRR服务
已加载:已加载(/lib/systemd/system/grr-server.service;已启用;供应商预设:已启用)
活跃:活跃(退出)自UTC 2019-04-12 15:57:09 6s前
文件:https://github.com/google/grr
进程:7178 ExecStop = / bin / systemctl-无阻塞停止 [受电子邮件保护]_ui.service [受电子邮件保护] [受电子邮件保护] grr-s
进程:7215 ExecStart = / bin / systemctl-无块启动 [受电子邮件保护]_ui.service [受电子邮件保护] [受电子邮件保护] r
主PID:7215(代码=已退出,状态= 0 /成功)
4月12日15:57:09 ubuntu1804 systemd [1]:启动GRR服务…
4月12日15:57:09 ubuntu1804 systemd [1]:已启动GRR服务.

访问GRR Web界面

现在已安装GRR,并在端口8000(Admin)和8080(Frontend)上侦听.

要访问GRR管理员界面,请打开Web浏览器,然后输入URL http://192.168.0.104:8000.

系统将要求您提供管理员用户名和密码,使用admin作为用户以及在安装过程中设置的密码。然后,单击确定按钮。您将被重定向到以下页面:

安装GRR客户端

首先,登录到GRR服务器Web界面,然后导航到左窗格上的“管理二进制文件”选项卡。您应该在以下页面中看到各种客户端版本,例如RHEL,Debian和BSD:

现在,您的发行版是Ubuntu 18.04。因此,请点击 grr_3.2.4.6_amd64.deb 为Ubuntu下载GRR客户端.

下载完成后,请使用以下命令安装下载的文件:

dpkg -i grr_3.2.4.6_amd64.deb

上面的命令会将GRR客户端安装到您的系统,并自动将其注册到GRR服务器.

您还可以使用以下命令检查GRR的状态:

systemctl状态grr

您应该看到以下输出:

grr.service-grr linux amd64已加载:已加载(/lib/systemd/system/grr.service;已启用;供应商预设:已启用)活动:自周五2019-04-12 16:24:39 UTC起处于活动状态(运行); 16 s前主PID:3305(grrd)任务:6(限制:847)CGroup:/system.slice/grr.service├─3305/ usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4。 6_amd64 /grrd.yaml└─3306/ usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4.6_amd64 / grrd.yamlApr 12 16:24:39 ubuntu1804 systemd [1]:启动grr linux amd64.

进行调查

现在,转到GRR服务器Web界面,单击 搜索框 然后按Enter。您应该在以下页面中看到您的客户:

现在,单击您的客户端以查看更多详细信息,如下页所示:

接下来,我们将列出客户端上运行的进程.

为此,请单击 开始新的流程 > 工艺流程 > 列表处理, 在“连接状态”下,选择 成立时间 然后点击 发射 启动流程。您应该看到以下页面:

接下来,点击 管理启动的流程 > 列表处理 > 结果 在下一页中查看ListProcesses流的结果:

恭喜你!您已经成功安装了GRR服务器和客户端。继续使用该工具.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map