OpenRASP 部署

× 文章目录
  1. 1. 0x00 前言
  2. 2. 0x01 准备
    1. 2.1. MongoDB 安装
    2. 2.2. ElasticSearch 安装
  3. 3. 0x02 管理后台安装
  4. 4. 0x03 添加主机

0x00 前言

上周一台web服务器部署单机版OpenRASP之后感觉还不错,想在公司内部推广一下,准备在一些后台系统的服务器上安装agent,单机版部署报警日志查看不是很方便,遂部署管理后台方便管理

0x01 准备

OpenRASP使用了 ElasticSearch 和 MongoDB 两种数据库。前者用来存储报警和统计信息,后者用来存储应用、账号密码等信息。

自己测试机上有mongodb 3.2 和 elk套件7.1.1,这里对数据库版本有要求

  • MongoDB 版本大于等于 3.6
  • ElasticSearch 版本大于等于 5.6,小于 7.0

好吧,都不符合,重新安装MongoDB 和 ElasticSearch

MongoDB 安装

官方手册:https://docs.mongodb.com/manual/tutorial/install-mongodb-on-red-hat/

安装mongodb社区版,目前最新版为4.2

  1. 创建仓库

    1
    vi /etc/yum.repos.d/mongodb-org-4.2.repo
  2. 复制

    1
    2
    3
    4
    5
    6
    [mongodb-org-4.2]
    name=MongoDB Repository
    baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/4.2/x86_64/
    gpgcheck=1
    enabled=1
    gpgkey=https://www.mongodb.org/static/pgp/server-4.2.asc
  3. yum命令安装mongodb

    1
    yum install -y mongodb-org
  4. 启动服务

    1
    systemctl start mongod
  5. 使用

    1
    mongo
  6. 卸载

    1
    2
    3
    4
    yum erase $(rpm -qa | grep mongodb-org)
    删除数据目录
    rm -r /var/log/mongodb
    rm -r /var/lib/mongo
  7. 启用认证

    1
    2
    3
    vi /etc/mongod.conf
    security:
    authorization: enabled

ElasticSearch 安装

https://www.elastic.co/cn/downloads/past-releases#elasticsearch

下载6版本最新的 https://www.elastic.co/downloads/past-releases/elasticsearch-6-8-4

不能使用root账户启动

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
[root@Honeypot opt]# useradd es684
[root@Honeypot opt]# chown -R es684:es684 /opt/elasticsearch-6.8.4/
[root@Honeypot opt]# su es684
[es684@Honeypot opt]$ elasticsearch-6.8.4/bin/elasticsearch

[root@Honeypot ~]# curl http://127.0.0.1:9200
{
"name" : "pLQxhPa",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "ZZHzhK93RvqBf2jzbTFtiQ",
"version" : {
"number" : "6.8.4",
"build_flavor" : "default",
"build_type" : "tar",
"build_hash" : "bca0c8d",
"build_date" : "2019-10-16T06:19:49.319352Z",
"build_snapshot" : false,
"lucene_version" : "7.7.2",
"minimum_wire_compatibility_version" : "5.6.0",
"minimum_index_compatibility_version" : "5.0.0"
},
"tagline" : "You Know, for Search"
}

这里两个数据库安装好了,开始安装管理后台

0x02 管理后台安装

  1. 编辑 conf/app.conf 文件,修正 ElasticSearch 和 MongoDB 两个服务器的地址

    1
    2
    3
    4
    5
    6
    7
    [prod]
    EsAddr = http://127.0.0.1:9200
    EsUser =
    EsPwd =
    MongoDBAddr = 127.0.0.1:27017
    MongoDBUser =
    MongoDBPwd =
  2. 启动后台服务器:

    1
    ./rasp-cloud -d
  3. 访问
    在浏览器里打开 http://your-ip:8086
    登录管理后台。其中用户名固定为 openrasp,初始密码为 [email protected]

用户名:openrasp
密 码:!9cN!j!7fThP

系统设置 - 防护设置 - 关闭记录日志模式

系统设置 - 通用设置 - 自定义拦截状态码修改为404 ,自定义HTML响应内容修改为自己的404页面

0x03 添加主机

点击右上角添加主机,以PHP服务器为例

1
php install.php -d /opt/rasp --app-id 171fea1b56790016e91239b3ede558xxxxxxxxxx --app-secret KJIToQ9VqdKq6O0dLxdG1XbIHOxrLZF8xxxxxxxxxxx --backend-url http://your-ip:8086

重启PHP-FPM生效