Aflați cum să instalați serverul și clientul GRR (Google Rapid Response) pe Ubuntu pentru a efectua instigări.

Introducere

GRR (Google Rapid Response) este un cadru de răspuns la incidente bazat pe Python care poate fi utilizat pentru investigarea criminalistică și pentru investigații. Vă permite să examinați și să atacați și să efectuați analiza de la distanță.

GRR poate fi implementat într-o arhitectură server-client. Vine cu o interfață de utilizator bazată pe web care vă permite să analizați datele colectate de la clienți. Oferă asistență pentru Linux, Mac OS X și Windows OS.

cerinţe

  • Un server care rulează Ubuntu 18.xx
  • O parolă rădăcină este configurată pe serverul dvs.

Noțiuni de bază

Înainte de a începe, va trebui să vă actualizați sistemul cu cea mai recentă versiune. Puteți face acest lucru rulând următoarea comandă:

apt-get update -y

După actualizarea sistemului, reporniți sistemul pentru a aplica toate modificările.

Instalați și configurați baza de date

În primul rând, va trebui să instalați serverul de baze de date MariaDB în sistemul dvs. Îl puteți instala cu următoarea comandă:

apt-get install mariadb-server -y

După finalizarea instalării, asigurați instalarea MariaDB rulând următoarea comandă:

mysql_secure_installation

Răspundeți la toate întrebările așa cum se arată mai jos:

Introduceți parola curentă pentru root (nu introduceți nimic):
Setați parola root? [Y / n]: N
Ștergeți utilizatorii anonimi? [Y / n]: Y
Înlăturați conectarea root la distanță? [Y / n]: Y
Ștergeți baza de date de testare și accesați-o? [Y / n]: Y
Reîncărcați tabelele de privilegii acum? [Y / n]: Y

După ce MariaDB este securizat, conectați-vă la shell-ul MariaDB cu următoarea comandă:

mysql -u root -p

Introduceți parola root. Apoi, creați o bază de date și un utilizator pentru GRR cu următoarea comandă:

MariaDB [(nici unul)]> CREATE DATABASE grr;
MariaDB [(nici unul)]> ACORDĂ TOȚI PRIVILEGIILE PE GRR. * LA „grr” @ „localhost” IDENTIFICAT DE „parolă” CU OPȚIUNE DE ACORDARE;

Apoi, spălați privilegiile și ieșiți din shell-ul MariaDB cu următoarea comandă:

MariaDB [(nici unul)]> PRIVILEGII DE FLUSE;
MariaDB [(nici unul)]> IEȘIRE;

Apoi, reporniți serviciul MariaDB cu următoarea comandă:

systemctl reporni mariadb

Puteți verifica starea serviciului MariaDB cu următoarea comandă:

systemctl status mariadb

Ar trebui să vedeți următoarea ieșire:

mariadb.service – serverul de baze de date MariaDB 10.1.38
Încărcat: încărcat (/lib/systemd/system/mariadb.service; activat; presetarea furnizorului: activată)
Activ: activ (în funcțiune) din vineri 2019-04-12 15:11:14 UTC; Acum 54 de minute
Documente: bărbat: mysqld (8)
https://mariadb.com/kb/en/library/systemd/
PID principal: 1050 (mysqld)
Stare: "Preluarea cererilor SQL acum…"
Sarcini: 46 (limită: 1113)
CGroup: /system.slice/mariadb.service
└─1050 / usr / sbin / mysqld
12 Apr 15:10:53 ubuntu1804 systemd [1]: Pornirea serverului de baze de date MariaDB 10.1.38…
12 Apr 15:11:07 ubuntu1804 mysqld [1050]: 2019-04-12 15:11:07 140152311749760 [Notă] / usr / sbin / mysqld (mysqld 10.1.38-MariaDB-0ubuntu0.18.04.1)
12 Apr 15:11:14 ubuntu1804 systemd [1]: A început serverul de baze de date MariaDB 10.1.38.
12 Apr 15:11:14 ubuntu1804 / etc / mysql / debian-start [1251]: Actualizarea tabelelor MySQL dacă este necesar.
12 Apr 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: / usr / bin / mysql_upgrade: opțiunea ‘–basedir’ este întotdeauna ignorată
12 Apr 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Caută ‘mysql’ ca: / usr / bin / mysql
12 Apr 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Caută ‘mysqlcheck’ ca: / usr / bin / mysqlcheck
12 Apr 15:11:15 ubuntu1804 / etc / mysql / debian-start [1265]: Această instalare a MySQL este deja actualizată la 10.1.38-MariaDB, folosiți –force dacă
12 aprilie 15:11:15 ubuntu1804 / etc / mysql / debian-start [1306]: Verificarea conturilor rădăcine nesigure.
12 aprilie 15:11:15 ubuntu1804 / etc / mysql / debian-start [1311]: Declanșarea recuperării myisam pentru toate tabelele MyISAM și recuperarea ariei pentru toate tabelele Aria
liniile 1-21 / 21 (END)

După ce ați terminat, puteți trece la pasul următor.

Instalați serverul GRR

În primul rând, va trebui să descărcați un pachet GRR de la lor Depozitul oficial GitHub.

Îl puteți descărca cu următoarea comandă pentru a descărca versiunea GRR 3.2.4.6.

wget https://storage.googleapis.com/releases.grr-response.com/grr-server_3.2.4-6_amd64.deb

După finalizarea descărcării, puteți instala fișierul descărcat cu următoarea comandă:

dpkg -i grr-server_3.2.4-6_amd64.deb

Apoi, instalați dependențele necesare cu următoarea comandă:

apt-get install -f

În timpul instalării, va trebui să furnizați câteva detalii precum: gazda bazei de date, numele de utilizator, parola, URL-urile GRR și parola de administrare, după cum se arată mai jos:

Se rulează inițializarea grr_config_updater
Pentru a evita această solicitare, setați DEBIAN_FRONTEND = noninteractiv
################################################## ###############
Verificarea accesului la scriere pe config /etc/grr//server.local.yaml
Pasul 0: Importarea configurației de la instalarea anterioară.
Nu a fost găsit niciun fișier de configurare vechi.
Pasul 1: Setarea parametrilor de bază de configurare
Acum vom configura serverul folosind o mulțime de întrebări .- = GRR Datastore = -Pentru GRR pentru a lucra fiecare server GRR trebuie să poată comunica cu baza de date. Pentru a face acest lucru, trebuie să configurăm un datastore.GRR va folosi MySQL ca backend al bazei de date. Introduceți detaliile conexiunii: MySQL Host [localhost]: Port MySQL (0 pentru socket local) [0]: Baza de date MySQL [grr]: Nume utilizator MySQL [root]: grrVă rugăm să introduceți parola pentru utilizatorul bazei de date grr: Conectat cu succes la MySQL cu detaliile furnizate .- = GRR URLs = -Pentru GRR pentru a lucra fiecare client trebuie să poată comunica cu serverul. Pentru a face acest lucru, avem în mod normal nevoie de un nume public dns sau de adrese IP pentru a comunica cu. În configurația standard, aceasta va fi utilizată pentru a găzdui atât serverul cu care se confruntă clientul, cât și interfața de utilizator admin. Vă rugăm să introduceți numele dvs. de gazdă, de ex. grr.example.com [ubuntu1804]: 192.168.0.104- = URL-ul serverului =-URL-ul serverului specifică adresa URL pe care clienții se vor conecta pentru a comunica cu serverul. Pentru cele mai bune rezultate, acest lucru ar trebui să fie accesibil publicului. În mod implicit, acesta va fi portul 8080, cu adresa URL care se termină în /control.Frontend URL [http://192.168.0.104:8080/ Alan:-=AdminUI URL = -: URL-ul UI specifică unde se poate găsi Interfața Web administrativă. Adresă URL [http://192.168.0.104:8000 Alan:-=GRR E-mailuri = -GRR trebuie să poată trimite e-mailuri pentru diferite funcții de înregistrare și de alertare. Domeniul de e-mail va fi anexat la GRRusernames la trimiterea de e-mailuri către utilizatori .- = Monitorizarea / Domeniul de e-mail = -E-mail-urile referitoare la alerte sau actualizări trebuie trimise la acest domeniu. -Adresă unde se trimit evenimente de monitorizare, de ex clienți prăbușiți, server spart, etc.Articați adresa de email [[Email protected]]: – = Adresa de e-mail de urgență = -Adresă unde sunt trimise evenimente cu prioritate ridicată, cum ar fi o ocolire de urgență ACL de urgență.[Email protected]]: Rekall nu mai este sprijinit activ. Activați oricum? [yN]: [N]: Pasul 2: Generarea cheilor Toate tastele vor avea o lungime de 2048. Generarea cheii de semnare executabilăGenerarea cheilor CAGenerarea cheilor de serverGenerarea cheii secrete pentru protecția csrf. /grr_3.2.4.6_amd64.debGRR Inițializare completă! Puteți edita noua configurație în /etc/grr//server.local.yaml.Vă rugăm să reporniți serviciul pentru ca noua configurație să aibă efect. ################### ############################################## Instalarea completă.

Acum, reporniți serviciul GRR pentru a aplica toate modificările:

systemctl repornește grr-server

Acum puteți verifica starea GRR cu următoarea comandă:

systemctl status grr-server

Ar trebui să vedeți următoarea ieșire:

grr-server.service – Serviciu GRR
Încărcat: încărcat (/lib/systemd/system/grr-server.service; activat; presetarea furnizorului: activată)
Activ: activ (ieșit) din vineri 2019-04-12 15:57:09 UTC; Acum 6s
Documente: https://github.com/google/grr
Proces: 7178 ExecStop = / bin / systemctl – oprire fără bloc [Email protected]_ui.service [Email protected] [Email protected] GRR-s
Proces: 7215 ExecStart = / bin / systemctl – nicio blocare de pornire [Email protected]_ui.service [Email protected] [Email protected] GRR
PID principal: 7215 (cod = ieșit, status = 0 / SUCCESS)
12 Apr 15:57:09 ubuntu1804 systemd [1]: Pornire GRR Service…
12 Apr 15:57:09 ubuntu1804 systemd [1]: Serviciu GRR început.

Accesați interfața web GRR

GRR este acum instalat și ascultat pe porturile 8000 (Admin) și 8080 (Frontend).

Pentru a accesa interfața de administrare GRR, deschideți browserul dvs. și introduceți adresa URL http://192.168.0.104:8000.

Vi se va solicita să furnizați numele de utilizator și parola de administrare, să folosiți admin ca utilizator și parola pe care ați setat-o ​​în timpul instalării. Apoi, faceți clic pe butonul OK. Vei fi redirecționat către următoarea pagină:

Instalați GRR Client

Mai întâi, conectați-vă la interfața web a serverului dvs. GRR și navigați la fila Gestionare binare din panoul din stânga. Ar trebui să vedeți diferitele versiuni ale clienților precum RHEL, Debian și BSD în următoarea pagină:

Acum, Distro dvs. este Ubuntu 18.04. Deci, faceți clic pe butonul grr_3.2.4.6_amd64.deb pentru a descărca clientul GRR pentru Ubuntu.

După finalizarea descărcării, instalați fișierul descărcat cu următoarea comandă:

dpkg -i grr_3.2.4.6_amd64.deb

Comanda de mai sus va instala clientul GRR în sistemul dvs. și se înregistrează automat pe serverul GRR.

Puteți verifica, de asemenea, starea GRR cu următoarea comandă:

systemctl status grr

Ar trebui să vedeți următoarea ieșire:

grr.service – grr linux amd64Loaded: încărcat (/lib/systemd/system/grr.service; activat; presetarea furnizorului: activat) Activ: activ (în funcțiune) începând cu vineri 2019-04-12 16:24:39 UTC; Acum 16 s. PID principal: 3305 (grrd) Sarcini: 6 (limită: 847) CGroup: /system.slice/grr.service├─3305 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4. 6_amd64 / grrd.yaml└─3306 / usr / sbin / grrd –config = / usr / lib / grr / grr_3.2.4.6_amd64 / grrd.yamlApr 12 16:24:39 ubuntu1804 systemd [1]: Start grr linux amd64.

Efectuați investigația

Acum, accesați interfața web a serverului GRR, faceți clic pe butonul Caseta de căutare și apăsați Enter. Ar trebui să vă vedeți Clientul în următoarea pagină:

Acum, faceți clic pe Clientul dvs. pentru a vedea mai multe detalii așa cum se arată în pagina următoare:

În continuare, vom enumera procesele care rulează pe Client.

Pentru a face acest lucru, faceți clic pe Începeți fluxuri noi > procese > ListProcesses, În Starea conexiunii, selectați Stabilit și faceți clic pe butonul Lansa pentru a lansa fluxul. Ar trebui să vedeți următoarea pagină:

Apoi, faceți clic pe butonul Gestionați fluxurile lansate > ListProcesses > Rezultate pentru a vedea rezultatele fluxului ListProceses în pagina următoare:

Felicitări! Ați instalat cu succes serverul și clientul GRR. Mergeți înainte și jucați-vă cu instrumentul.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me