Halo teman-teman. Hari ini kita akan belajar cara menginstal kerangka kerja respons insiden GRR di Ubuntu 18.04. Google Rapid Response (GRR) adalah kerangka kerja respons insiden berbasis python yang berfokus pada forensik dan investigasi langsung. Ini memungkinkan analis keamanan untuk memeriksa dan menyerang dan melakukan analisis dari jarak jauh.
GRR digunakan dalam arsitektur server-client. Server GRR menyediakan interface user berbasis web yang memungkinkan analis menganalisis data yang dikumpulkan dari client. Client GRR di sisi lain ditempatkan pada host untuk diselidiki dan server GRR melakukan polling dari waktu ke waktu untuk tindakan yang berbeda seperti membuat daftar direktori, mengdownload file.
Instal Kerangka Respons Insiden GRR di Ubuntu 18.04
Sebelum Anda menjalankan instalasi GRR di Ubuntu 18.04, perbarui dan tingkatkan paket sistem Anda.
apt update apt upgrade
Instal server basis data MySQL
GRR menggunakan MySQL sebagai backend database default. Karenanya Anda dapat menginstal MySQL di Ubuntu 18.04 dengan menjalankan perintah di bawah ini;
apt install mysql-server
Selanjutnya, jalankan skrip keamanan MySQL untuk mengatur password root, menghapus anonim, dll.
mysql_secure_installation
Setelah itu, login ke MySQL sebagai user root dan buat database dan user GRR. Pembuatan user basis data bersifat opsional karena GRR dapat menggunakan password root.
create database grr; grant all privileges on grr.* to [email protected] identified by 'password'; flush privileges;
Sekarang, instal GRR di Ubuntu 18.04. Cara yang disarankan untuk menginstal GRR adalah dengan menggunakan paket DEB. Karenanya download DEB server terbaru dari sini. Anda cukup menjalankan perintah di bawah ini;
wget https://storage.googleapis.com/releases.grr-response.com/grr-server_3.2.4-6_amd64.deb
Setelah downloadan selesai, instal menggunakan manajer paket APT yang akan menangani semua dependensi.
sudo apt install./grr-server_3.2.4-6_amd64.deb
Selama instalasi, penginstal akan meminta Anda untuk menentukan beberapa pengaturan.
Running grr_config_updater initialize... -=GRR Datastore=- For GRR to work each GRR server has to be able to communicate with the datastore. To do this we need to configure a datastore. GRR will use MySQL as its database backend. Enter connection details: MySQL Host [localhost]: Enter MySQL Port (0 for local socket) [0]: #####################################.] MySQL Database [grr]: Enter MySQL Username [root]: grr << user set above Please enter password for database user grr: Password for grr db user Successfully connected to MySQL with the provided details.
Tentukan server nama host server GRR. Perhatikan bahwa nama host ini harus dapat diselesaikan secara lokal oleh client.
-=GRR URLs=- For GRR to work each client has to be able to communicate with the server. To do this we normally need a public dns name or IP address to communicate with. In the standard configuration this will be used to host both the client facing server and the admin user interface. Please enter your hostname e.g. grr.example.com [grr.example.com]: Enter
Atur server GRR serta URL UI administrasi
-=Server URL=- Server URL specifies the URL that the clients will connect to communicate with the server. For best results this should be publicly accessible. By default this will be port 8080 with the URL ending in /control. Frontend URL [http://grr.example.com:8080/]: Enter -=AdminUI URL=-: UI URL specifies where the Administrative Web Interface can be found. AdminUI URL [http://grr.example.com:8000]: Enter
Selanjutnya tentukan alamat email untuk peringatan, pencatatan, dan berbagai pembaruan. Konfigurasi email mengasumsikan bahwa Anda telah menjalankan MTA.
Setel password user admin GRR.
Step 3: Adding GRR Admin User Please enter password for user 'admin': [email protected]
Kemas ulang template client dengan konfigurasi baru.
Step 4: Repackaging clients with new configuration. Server debs include client templates. Re-download templates? [yN]: [N]: Enter Repack client templates? [Yn]: [Y]: y
Instalasi akan dilanjutkan dan jika semuanya berjalan dengan baik, Anda seharusnya dapat melihat output seperti itu.
GRR Initialization complete! You can edit the new configuration in /etc/grr//server.local.yaml. Please restart the service for the new configuration to take effect. ################################################################# Install complete. If upgrading, make sure you read the release notes: https://grr-doc.readthedocs.io/en/latest/release-notes.html...
Mulai ulang service GRR agar konfigurasi baru diterapkan.
sudo systemctl restart grr-server
Untuk memverifikasi bahwa service berjalan, jalankan perintah di bawah ini;
sudo systemctl status grr-server * grr-server.service - GRR Service Loaded: loaded (/lib/systemd/system/grr-server.service; enabled; vendor preset: enabled) Active: active (exited) since Sat 2019-02-02 08:11:46 UTC; 39s ago Docs: https://github.com/google/grr Process: 11968 ExecStop=/bin/systemctl --no-block stop [email protected]_ui.service [email protected] [email protected] gr[email protected] Process: 11992 ExecStart=/bin/systemctl --no-block start [email protected]_ui.service [email protected] [email protected] [email protected] Main PID: 11992 (code=exited, status=0/SUCCESS)
Menjalankan GRR UI di belakang Nginx Proxy dengan HTTPS
Sebagai langkah pengamanan, kami akan mengonfigurasi UI admin GRR untuk dilayani melalui Nginx Proxy melalui HTTPS. Juga, pastikan untuk membatasi akses ke UI web GRR.
Instal Nginx
Nginx dapat diinstal dari repositori default Ubuntu seperti yang ditunjukkan di bawah ini;
apt install nginx
Setelah instalasi selesai, buat sertifikat SSL/TLS. Dalam panduan ini, kita akan menggunakan sertifikat SSL yang ditandatangani sendiri.
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/nginx/grr-server.key -out /etc/nginx/grr-server.crt
Tetapkan izin untuk sertifikat dan kunci SSL sebagai berikut;
chmod 644 /etc/nginx/grr-server.crt chmod 400 /etc/nginx/grr-server.key
Konfigurasikan Nginx ke lalu lintas HTTPS server dan proksi permintaan HTTP GRR.
vim /etc/nginx/sites-available/default
Konfigurasi akan terlihat seperti di bawah ini tanpa komentar;
server { listen 443; server_name localhost; ssl_certificate /etc/nginx/grr-server.crt; ssl_certificate_key /etc/nginx/grr-server.key; ssl on; ssl_session_cache builtin:1000 shared:SSL:10m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4; ssl_prefer_server_ciphers on; access_log /var/log/nginx/grr.access.log; location / { proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_pass http://localhost:8000; proxy_read_timeout 180; proxy_redirect http://localhost:8000 https://grr.example.com; } }
https://grr.example.compada proxy_redirectdirektif adalah pada Anda akan gunakan untuk publik akses GRR Admin UI. Oleh karena itu, edit file konfigurasi server GRR dan sesuaikan nilai AdminUIdirektif ke URL ini.
vim /etc/grr/server.local.yaml
...AdminUI.url: https://grr.example.com...
Periksa Nginx untuk error.
nginx -t nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: co nfiguration file /etc/nginx/nginx.conf test is successful
Izinkan lalu lintas HTTP dan HTTPS serta port GRR di firewall.
ufw allow 80/tcp ufw allow 443/tcp ufw allow 8080/tcp ufw allow 8000/tcp ufw reload
Mulai ulang server Nginx dan GRR untuk melakukan perubahan.
systemctl restart nginx systemctl restart grr-server
Untuk mengakses interface user administrasi GRR, login menggunakan https://grr.example.comseperti yang ditentukan dalam konfigurasi di atas. Abaikan peringatan sertifikat SSL yang tidak valid. Halaman GRR dilindungi oleh dialog Auth Dasar sehingga Anda akan diminta untuk mengautentikasi sebelum Anda masuk ke dasbor. Gunakan adminsebagai user dan password yang Anda tetapkan untuk admin saat melakukan instalasi.
Setelah otentikasi berhasil, Anda akan dibawa ke interface user web GRR.
Cantik. Itu saja tentang cara Menginstal Kerangka Respons Insiden GRR di Ubuntu 18.04. Dalam tutorial berikutnya, kita akan belajar bagaimana menerapkan client GRR dan memulai investigasi. Menikmati.