Como instalar o GRR no Ubuntu 18?

Aprenda a instalar o servidor e o cliente GRR (Google Rapid Response) no Ubuntu para executar instigações.


Introdução

GRR (Google Rapid Response) é uma estrutura de resposta a incidentes baseada em Python que pode ser usada para investigações e análises forenses ao vivo. Permite examinar, atacar e executar análises remotamente.

O GRR pode ser implantado em uma arquitetura servidor-cliente. Ele vem com uma interface de usuário baseada na Web que permite analisar dados coletados dos clientes. Ele fornece suporte para Linux, Mac OS X e Windows OS.

Exigências

  • Um servidor executando o Ubuntu 18.xx
  • Uma senha root é configurada no seu servidor

Começando

Antes de iniciar, você precisará atualizar seu sistema com a versão mais recente. Você pode fazer isso executando o seguinte comando:

apt-get update -y

Depois que seu sistema for atualizado, reinicie o sistema para aplicar todas as alterações.

Instalar e configurar o banco de dados

Primeiro, você precisará instalar o servidor de banco de dados MariaDB no seu sistema. Você pode instalá-lo com o seguinte comando:

apt-get install mariadb-server -y

Depois que a instalação estiver concluída, proteja a instalação do MariaDB executando o seguinte comando:

mysql_secure_installation

Responda a todas as perguntas, como mostrado abaixo:

Digite a senha atual para raiz (digite para nenhum):
Definir senha root? [S / n]: N
Remover usuários anônimos? [S / n]: S
Proibir o login root remotamente? [S / n]: S
Remover banco de dados de teste e acessar a ele? [S / n]: S
Recarregar tabelas de privilégios agora? [S / n]: S

Depois que o MariaDB estiver protegido, efetue login no shell do MariaDB com o seguinte comando:

mysql -u raiz -p

Digite sua senha root. Em seguida, crie um banco de dados e um usuário para GRR com o seguinte comando:

MariaDB [(nenhum)]> CREATE DATABASE grr;
MariaDB [(nenhum)]> CONCEDE TODOS OS PRIVILEGIOS NO GRR. * PARA ‘GRR’ @ ‘localhost’ IDENTIFICADO POR ‘SENHA’ COM OPÇÃO DE CONCESSÃO;

Em seguida, limpe os privilégios e saia do shell MariaDB com o seguinte comando:

MariaDB [(nenhum)]> PRIVILÉGIOS DE LAVAGEM;
MariaDB [(nenhum)]> SAÍDA;

Em seguida, reinicie o serviço MariaDB com o seguinte comando:

systemctl restart mariadb

Você pode verificar o status do serviço MariaDB com o seguinte comando:

systemctl status mariadb

Você deve ver a seguinte saída:

mariadb.service – servidor de banco de dados MariaDB 10.1.38
Carregado: carregado (/lib/systemd/system/mariadb.service; ativado; predefinição de fornecedor: ativado)
Ativo: ativo (em execução) desde Sex 2019-04-12 15:11:14 UTC; 54min atrás
Documentos: man: mysqld (8)
https://mariadb.com/kb/en/library/systemd/
PID principal: 1050 (mysqld)
Estado: "Tomando suas solicitações SQL agora…"
Tarefas: 46 (limite: 1113)
CGroup: /system.slice/mariadb.service
10─1050 / usr / sbin / mysqld
12 de abril 15:10:53 ubuntu1804 systemd [1]: Iniciando o servidor de banco de dados MariaDB 10.1.38…
12 de abril 15:11:07 ubuntu1804 mysqld [1050]: 2019-04-12 15:11:07 140152311749760 [Note] / usr / sbin / mysqld (mysqld 10.1.38-MariaDB-0ubuntu0.18.04.1)
12 de abril 15:11:14 ubuntu1804 systemd [1]: Iniciado o servidor de banco de dados MariaDB 10.1.38.
12 de abril 15:11:14 ubuntu1804 / etc / mysql / debian-start [1251]: Atualizando tabelas do MySQL, se necessário.
12 de abril 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: / usr / bin / mysql_upgrade: a opção ‘–basedir’ é sempre ignorada
12 de abril 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Procurando por ‘mysql’ como: / usr / bin / mysql
12 de abril 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Procurando por ‘mysqlcheck’ como: / usr / bin / mysqlcheck
12 de abril 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Esta instalação do MySQL já foi atualizada para 10.1.38-MariaDB, use –force se você
12 de abril 15:11:15 ubuntu1804 / etc / mysql / debian-start [1306]: Verificando contas raiz inseguras.
12 de abril 15:11:15 ubuntu1804 / etc / mysql / debian-start [1311]: Acionando o myisam-recover para todas as tabelas MyISAM e aria-recover para todas as tabelas Aria
linhas 1-21 / 21 (END)

Depois de concluir, você pode prosseguir para a próxima etapa.

Instale o servidor GRR

Primeiro, você precisará baixar um pacote GRR de seus repositório oficial do GitHub.

Você pode baixá-lo com o seguinte comando para baixar a versão do GRR 3.2.4.6.

wget https://storage.googleapis.com/releases.grr-response.com/grr-server_3.2.4-6_amd64.deb

Após a conclusão do download, você pode instalar o arquivo baixado com o seguinte comando:

dpkg -i grr-server_3.2.4-6_amd64.deb

Em seguida, instale as dependências necessárias com o seguinte comando:

apt-get install -f

Durante a instalação, você precisará fornecer alguns detalhes, como host do banco de dados, nome de usuário, senha, URLs GRR e senha de administrador, conforme mostrado abaixo:

Executando a inicialização do grr_config_updater
Para evitar essa solicitação, defina DEBIAN_FRONTEND = não interativo
###############################################? ###############
Verificando o acesso de gravação em config /etc/grr//server.local.yaml
Etapa 0: Importando a configuração da instalação anterior.
Nenhum arquivo de configuração antigo encontrado.
Etapa 1: Definindo parâmetros de configuração básica
Agora, vamos configurar o servidor usando várias perguntas .- = GRR Datastore = -Para que o GRR funcione, cada servidor GRR deve poder se comunicar com o armazenamento de dados. Para fazer isso, precisamos configurar um datastore.GRR usará o MySQL como back-end do banco de dados. Digite os detalhes da conexão: Host MySQL [host local]: Porta MySQL (0 para soquete local) [0]: Banco de dados MySQL [grr]: Nome de usuário do MySQL [root]: grrPor favor, digite a senha do usuário do banco de dados grr: Conectado com sucesso ao MySQL com os detalhes fornecidos .- = URLs de GRR = -Para que o GRR funcione, cada cliente deve poder se comunicar com o servidor. Para fazer isso, normalmente precisamos de um nome DNS ou endereço IP público para nos comunicar. Na configuração padrão, isso será usado para hospedar o servidor voltado para o cliente e a interface do usuário administrador. grr.example.com [ubuntu1804]: 192.168.0.104- = URL do servidor = -O URL do servidor especifica o URL ao qual os clientes se conectarão para se comunicar com o servidor. Para melhores resultados, isso deve ser acessível ao público. Por padrão, esta será a porta 8080 com a URL terminada em /control.Frontend URL [http://192.168.0.104:8080/{:-AdminUI URL = -: A URL da interface do usuário especifica onde a Interface da Web administrativa pode ser encontrada. URL do AdminUI [http://192.168.0.104:8000unette:-=GRR Emails = -GRR precisa poder enviar emails para várias funções de registro e alerta. O domínio do email será anexado ao GRRusernames ao enviar emails para os usuários .- = Domínio de Monitoramento / Email = -Os emails referentes a alertas ou atualizações devem ser enviados para esse domínio. Domínio de Email, por exemplo, example.com [localhost]: – = Endereço de Email de Alerta = -Endereço para onde os eventos de monitoramento são enviados, por exemplo clientes com falhas, servidor quebrado etc. Endereço de email de alerta [[protegido por email]]: – = Endereço de email de emergência = -Endereço para o qual são enviados eventos de alta prioridade, como um desvio de ACL de emergência.Email de acesso de emergência [[protegido por email]]: Rekall não é mais suportado ativamente. Ativar assim mesmo? [yN]: [N]: Etapa 2: Geração de chaveTodas as chaves terão um tamanho de bit de 2048.Geração de chave de assinatura executávelGeração de chaves CAGeração de chaves do servidorGeração de chave secreta para proteção csrf.Rackacked in / usr / share / grr-server / executables / installers /grr_3.2.4.6_amd64.debGRR Inicialização concluída! Você pode editar a nova configuração em /etc/grr//server.local.yaml. Reinicie o serviço para que a nova configuração entre em vigor. #################### ######################################################## Instalação concluída.

Agora, reinicie o serviço GRR para aplicar todas as alterações:

systemctl restart grr-server

Agora você pode verificar o status do GRR com o seguinte comando:

systemctl status grr-server

Você deve ver a seguinte saída:

grr-server.service – Serviço GRR
Carregado: carregado (/lib/systemd/system/grr-server.service; ativado; predefinição de fornecedor: ativado)
Ativo: ativo (encerrado) desde Sex 2019-04-12 15:57:09 UTC; 6s atrás
Documentos: https://github.com/google/grr
Processo: 7178 ExecStop = / bin / systemctl – sem bloqueio de bloco [protegido por email]_ui.service [protegido por email] [protegido por email] grr-s
Processo: 7215 ExecStart = / bin / systemctl – início sem bloco [protegido por email]_ui.service [protegido por email] [protegido por email] grr
PID principal: 7215 (código = encerrado, status = 0 / SUCESSO)
12 de abril 15:57:09 ubuntu1804 systemd [1]: Iniciando o serviço GRR…
12 de abril às 15:57:09 ubuntu1804 systemd [1]: Iniciou o serviço GRR.

Acesse a interface da Web GRR

O GRR agora está instalado e escutando na porta 8000 (Admin) e 8080 (Frontend).

Para acessar a interface de administração do GRR, abra seu navegador e digite o URL http://192.168.0.104:8000.

Você será solicitado a fornecer o nome de usuário e a senha do administrador, use admin como o usuário e a senha que você definiu durante a instalação. Depois, clique no botão OK. Você será redirecionado para a seguinte página:

Instalar o cliente GRR

Primeiro, efetue login na interface da web do servidor GRR e navegue até a guia Gerenciar binários, no painel esquerdo. Você deve ver as várias versões de clientes como RHEL, Debian e BSD na página a seguir:

Agora, sua distribuição é o Ubuntu 18.04. Então, clique no grr_3.2.4.6_amd64.deb baixar o cliente GRR para Ubuntu.

Após a conclusão do download, instale o arquivo baixado com o seguinte comando:

dpkg -i grr_3.2.4.6_amd64.deb

O comando acima instalará o cliente GRR no seu sistema e se registrará automaticamente no servidor GRR.

Você também pode verificar o status do GRR com o seguinte comando:

systemctl status grr

Você deve ver a seguinte saída:

O grr linux amd64 é um programa de recuperação de arquivos do sistema operacional Linux, que pode ser instalado em qualquer computador, tablet ou computador com o sistema operacional Linux. Para obter mais informações, consulte o manual do usuário, que pode ser baixado no site do fabricante, que pode ser baixado no site da fabricante. 6_amd64 / grrd.yaml└─3306 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4.6_amd64 / grrd.yamlApr 12 16:24:39 ubuntu1804 systemd [1]: iniciado grr linux amd64.

Realizar investigação

Agora, vá para a interface da web do servidor GRR, clique no Caixa de pesquisa e pressione Enter. Você deve ver seu cliente na seguinte página:

Agora, clique no seu cliente para ver mais detalhes, como mostrado na página a seguir:

A seguir, listaremos os processos em execução no cliente.

Para fazer isso, clique em Iniciar novos fluxos > Processos > ListProcesses, Em Estado da conexão, selecione Estabelecido e clique no Lançamento para iniciar o fluxo. Você deve ver a seguinte página:

Em seguida, clique no Gerenciar fluxos iniciados > ListProcesses > Resultados para ver os resultados do fluxo ListProcesses na seguinte página:

Parabéns! Você instalou com êxito o servidor e o cliente GRR. Vá em frente e brinque com a ferramenta.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map