Wie installiere ich GRR unter Ubuntu 18?

Erfahren Sie, wie Sie den GRR-Server und -Client (Google Rapid Response) unter Ubuntu installieren, um Anstiftungen durchzuführen.


Einführung

GRR (Google Rapid Response) ist ein auf Python basierendes Framework für die Reaktion auf Vorfälle, das für Live-Forensik und Untersuchungen verwendet werden kann. Sie können damit aus der Ferne untersuchen, angreifen und Analysen durchführen.

GRR kann in einer Server-Client-Architektur bereitgestellt werden. Es verfügt über eine webbasierte Benutzeroberfläche, mit der Sie die von den Clients gesammelten Daten analysieren können. Es bietet Unterstützung für Linux, Mac OS X und Windows.

Bedarf

  • Ein Server mit Ubuntu 18.xx.
  • Auf Ihrem Server ist ein Root-Passwort eingerichtet

Anfangen

Bevor Sie beginnen, müssen Sie Ihr System mit der neuesten Version aktualisieren. Sie können dies tun, indem Sie den folgenden Befehl ausführen:

apt-get update -y

Starten Sie das System nach der Aktualisierung des Systems neu, um alle Änderungen zu übernehmen.

Datenbank installieren und konfigurieren

Zunächst müssen Sie den MariaDB-Datenbankserver auf Ihrem System installieren. Sie können es mit dem folgenden Befehl installieren:

apt-get install mariadb-server -y

Sichern Sie nach Abschluss der Installation die MariaDB-Installation, indem Sie den folgenden Befehl ausführen:

mysql_secure_installation

Beantworten Sie alle Fragen wie folgt:

Geben Sie das aktuelle Passwort für root ein (geben Sie für none ein):
Root-Passwort festlegen? [J / n]: N.
Anonyme Benutzer entfernen? [J / n]: Y.
Remote-Login aus der Ferne nicht zulassen? [J / n]: Y.
Testdatenbank entfernen und darauf zugreifen? [J / n]: Y.
Berechtigungstabellen jetzt neu laden? [J / n]: Y.

Sobald die MariaDB gesichert ist, melden Sie sich mit dem folgenden Befehl bei der MariaDB-Shell an:

mysql -u root -p

Geben Sie Ihr Root-Passwort ein. Erstellen Sie dann mit dem folgenden Befehl eine Datenbank und einen Benutzer für GRR:

MariaDB [(keine)]> CREATE DATABASE grr;
MariaDB [(keine)]> GEWÄHREN SIE ALLE PRIVILEGIEN FÜR grr. * TO ‘grr’ @ ‘localhost’ IDENTIFIZIERT DURCH ‘password’ MIT GRANT OPTION;

Löschen Sie anschließend die Berechtigungen und beenden Sie die MariaDB-Shell mit dem folgenden Befehl:

MariaDB [(keine)]> SPÜLPRIVILEGIEN;
MariaDB [(keine)]> AUSFAHRT;

Starten Sie als Nächstes den MariaDB-Dienst mit dem folgenden Befehl neu:

systemctl neu starten mariadb

Sie können den Status des MariaDB-Dienstes mit dem folgenden Befehl überprüfen:

systemctl status mariadb

Sie sollten die folgende Ausgabe sehen:

mariadb.service – MariaDB 10.1.38 Datenbankserver
Geladen: geladen (/lib/systemd/system/mariadb.service; aktiviert; Hersteller-Voreinstellung: aktiviert)
Aktiv: aktiv (läuft) seit Fr 2019-04-12 15:11:14 UTC; Vor 54 Minuten
Docs: man: mysqld (8)
https://mariadb.com/kb/en/library/systemd/
Haupt-PID: 1050 (mysqld)
Status: "Nehmen Sie jetzt Ihre SQL-Anfragen entgegen…"
Aufgaben: 46 (Limit: 1113)
CGroup: /system.slice/mariadb.service
50─1050 / usr / sbin / mysqld
12. April 15:10:53 ubuntu1804 systemd [1]: Starten des MariaDB 10.1.38-Datenbankservers…
12. April 15:11:07 ubuntu1804 mysqld [1050]: 2019-04-12 15:11:07 140152311749760 [Hinweis] / usr / sbin / mysqld (mysqld 10.1.38-MariaDB-0ubuntu0.18.04.1)
12. April 15:11:14 ubuntu1804 systemd [1]: MariaDB 10.1.38-Datenbankserver gestartet.
12. April 15:11:14 ubuntu1804 / etc / mysql / debian-start [1251]: Aktualisieren von MySQL-Tabellen, falls erforderlich.
12. April 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: / usr / bin / mysql_upgrade: Die Option ‘–basedir’ wird immer ignoriert
12. April 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Suche nach ‘mysql’ als: / usr / bin / mysql
12. April 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Suche nach ‘mysqlcheck’ als: / usr / bin / mysqlcheck
12. April 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Diese Installation von MySQL wurde bereits auf 10.1.38-MariaDB aktualisiert. Verwenden Sie –force, wenn Sie
12. April 15:11:15 ubuntu1804 / etc / mysql / debian-start [1306]: Überprüfung auf unsichere Root-Konten.
12. April 15:11:15 ubuntu1804 / etc / mysql / debian-start [1311]: Auslösen von myisam-recovery für alle MyISAM-Tabellen und aria-recovery für alle Aria-Tabellen
Zeilen 1-21 / 21 (ENDE)

Sobald Sie fertig sind, können Sie mit dem nächsten Schritt fortfahren.

Installieren Sie den GRR-Server

Zunächst müssen Sie ein GRR-Paket von ihrem herunterladen offizielles GitHub-Repository.

Sie können es mit dem folgenden Befehl herunterladen, um die GRR 3.2.4.6-Version herunterzuladen.

wget https://storage.googleapis.com/releases.grr-response.com/grr-server_3.2.4-6_amd64.deb

Sobald der Download abgeschlossen ist, können Sie die heruntergeladene Datei mit dem folgenden Befehl installieren:

dpkg -i grr-server_3.2.4-6_amd64.deb

Installieren Sie als Nächstes die erforderlichen Abhängigkeiten mit dem folgenden Befehl:

apt-get install -f

Während der Installation müssen Sie einige Details wie Datenbankhost, Benutzername, Kennwort, GRR-URLs und Administratorkennwort wie folgt angeben:

Ausführen von grr_config_updater initialize
Um diese Aufforderung zu vermeiden, setzen Sie DEBIAN_FRONTEND = noninteractive
################################################### ################
Überprüfen des Schreibzugriffs auf config /etc/grr//server.local.yaml
Schritt 0: Importieren der Konfiguration aus der vorherigen Installation.
Keine alte Konfigurationsdatei gefunden.
Schritt 1: Grundlegende Konfigurationsparameter einstellen
Wir werden den Server jetzt anhand einer Reihe von Fragen konfigurieren. – = GRR-Datenspeicher = – Damit GRR funktioniert, muss jeder GRR-Server in der Lage sein, mit dem Datenspeicher zu kommunizieren. Dazu müssen wir einen Datenspeicher konfigurieren. GRR verwendet MySQL als Datenbank-Backend. Verbindungsdetails eingeben: MySQL-Host [localhost]: MySQL-Port (0 für lokalen Socket) [0]: MySQL-Datenbank [grr]: MySQL-Benutzername [root]: grrBitte geben Sie das Passwort für den Datenbankbenutzer grr ein: Erfolgreich mit MySQL verbunden mit den angegebenen Details .- = GRR-URLs = – Damit GRR funktioniert, muss jeder Client in der Lage sein, mit dem Server zu kommunizieren. Dazu benötigen wir normalerweise einen öffentlichen DNS-Namen oder eine IP-Adresse, mit der wir kommunizieren können. In der Standardkonfiguration wird dies verwendet, um sowohl den Client-Server als auch die Administrator-Benutzeroberfläche zu hosten. Geben Sie bitte Ihren Hostnamen ein, z. grr.example.com [ubuntu1804]: 192.168.0.104- = Server-URL = – Die Server-URL gibt die URL an, über die die Clients eine Verbindung herstellen, um mit dem Server zu kommunizieren. Für beste Ergebnisse sollte dies öffentlich zugänglich sein. Standardmäßig ist dies Port 8080 mit der URL, die auf /control.Frontend URL endet. [Http://192.168.0.104:8080/ lightboxes:-=AdminUI URL = -: Die UI-URL gibt an, wo sich das administrative Webinterface befindet. AdminUI-URL [http://192.168.0.104:8000 weiblich :-=GRR E-Mails = -GRR muss in der Lage sein, E-Mails für verschiedene Protokollierungs- und Benachrichtigungsfunktionen zu senden. Die E-Mail-Domäne wird beim Senden von E-Mails an Benutzer an GRRusernames angehängt. – = Überwachung / E-Mail-Domäne = – E-Mails zu Warnungen oder Aktualisierungen müssen an diese Domäne gesendet werden. E-Mail-Domäne, z. B. example.com [localhost]: – = Benachrichtigungs-E-Mail-Adresse = -Adresse, an die Überwachungsereignisse gesendet werden, z abgestürzte Clients, defekter Server usw. Benachrichtigungs-E-Mail-Adresse [[E-Mail geschützt]]: – = Notfall-E-Mail-Adresse = -Adresse, an die Ereignisse mit hoher Priorität gesendet werden, z. B. eine Notfall-ACL-Umgehung. Notfall-Zugriffs-E-Mail-Adresse [[E-Mail geschützt]]: Rekall wird nicht mehr aktiv unterstützt. Trotzdem aktivieren? [yN]: [N]: Schritt 2: SchlüsselgenerierungAlle Schlüssel haben eine Bitlänge von 2048. Generieren eines ausführbaren Signaturschlüssels Generieren von CA-Schlüsseln Generieren von Serverschlüsseln Generieren eines geheimen Schlüssels für den CSRF-Schutz. Neu gepackt in / usr / share / grr-server / ausführbare Dateien / Installationsprogramme /grr_3.2.4.6_amd64.debGRR Initialisierung abgeschlossen! Sie können die neue Konfiguration in /etc/grr//server.local.yaml bearbeiten. Starten Sie den Dienst bitte neu, damit die neue Konfiguration wirksam wird. ################### #############################################=.

Starten Sie nun den GRR-Dienst neu, um alle Änderungen zu übernehmen:

systemctl grr-server neu starten

Sie können jetzt den Status von GRR mit dem folgenden Befehl überprüfen:

systemctl status grr-server

Sie sollten die folgende Ausgabe sehen:

grr-server.service – GRR-Dienst
Geladen: geladen (/lib/systemd/system/grr-server.service; aktiviert; Hersteller-Voreinstellung: aktiviert)
Aktiv: aktiv (beendet) seit Fr 2019-04-12 15:57:09 UTC; Vor 6s
Dokumente: https://github.com/google/grr
Prozess: 7178 ExecStop = / bin / systemctl – no-block stop [E-Mail geschützt]_ui.service [E-Mail geschützt] [E-Mail geschützt] grr-s
Prozess: 7215 ExecStart = / bin / systemctl – kein Blockstart [E-Mail geschützt]_ui.service [E-Mail geschützt] [E-Mail geschützt] grr
Haupt-PID: 7215 (Code = beendet, Status = 0 / ERFOLG)
12. April 15:57:09 ubuntu1804 systemd [1]: GRR-Dienst wird gestartet…
12. April 15:57:09 ubuntu1804 systemd [1]: GRR-Dienst gestartet.

Greifen Sie auf das GRR-Webinterface zu

GRR ist jetzt installiert und überwacht Port 8000 (Admin) und 8080 (Frontend)..

Um auf die GRR-Administratoroberfläche zuzugreifen, öffnen Sie Ihren Webbrowser und geben Sie die URL http://192.168.0.104:8000 ein.

Sie werden aufgefordert, den Benutzernamen und das Kennwort für den Administrator anzugeben. Verwenden Sie admin als Benutzer und das Kennwort, das Sie während der Installation festgelegt haben. Klicken Sie dann auf die Schaltfläche OK. Sie werden auf die folgende Seite weitergeleitet:

Installieren Sie den GRR-Client

Melden Sie sich zunächst bei Ihrer GRR-Server-Weboberfläche an und navigieren Sie im linken Bereich zur Registerkarte “Binärdateien verwalten”. Sie sollten die verschiedenen Client-Versionen wie RHEL, Debian und BSD auf der folgenden Seite sehen:

Jetzt ist Ihre Distribution Ubuntu 18.04. Klicken Sie also auf grr_3.2.4.6_amd64.deb um den GRR-Client für Ubuntu herunterzuladen.

Installieren Sie die heruntergeladene Datei nach Abschluss des Downloads mit dem folgenden Befehl:

dpkg -i grr_3.2.4.6_amd64.deb

Der obige Befehl installiert den GRR-Client auf Ihrem System und registriert sich automatisch beim GRR-Server.

Sie können den Status von GRR auch mit dem folgenden Befehl überprüfen:

systemctl status grr

Sie sollten die folgende Ausgabe sehen:

grr.service – grr linux amd64Loaded: geladen (/lib/systemd/system/grr.service; aktiviert; Hersteller-Voreinstellung: aktiviert) Aktiv: aktiv (wird ausgeführt) seit Fr 2019-04-12 16:24:39 UTC; Vor 16 Jahren Haupt-PID: 3305 (grrd) Aufgaben: 6 (Limit: 847) CGroup: /system.slice/grr.service├─3305 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4. 6_amd64 / grrd.yaml└─3306 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4.6_amd64 / grrd.yamlApr 12 16:24:39 ubuntu1804 systemd [1]: grr linux amd64 gestartet.

Untersuchung durchführen

Gehen Sie nun zur GRR-Server-Weboberfläche und klicken Sie auf Suchbox und drücken Sie die Eingabetaste. Sie sollten Ihren Client auf der folgenden Seite sehen:

Klicken Sie nun auf Ihren Client, um weitere Details anzuzeigen, wie auf der folgenden Seite gezeigt:

Als nächstes werden wir die Prozesse auflisten, die auf dem Client ausgeführt werden.

Klicken Sie dazu auf Starten Sie neue Flows > Prozesse > ListProcesses, Wählen Sie unter Verbindungsstatus die Option aus Etabliert und klicken Sie auf die Starten um den Fluss zu starten. Sie sollten die folgende Seite sehen:

Klicken Sie anschließend auf Verwalten Sie gestartete Flows > ListProcesses > Ergebnisse Die Ergebnisse des ListProcesses-Ablaufs finden Sie auf der folgenden Seite:

Herzliche Glückwünsche! Sie haben den GRR-Server und -Client erfolgreich installiert. Spielen Sie mit dem Werkzeug.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map