????今天客戶問我能不能給他搭建個(gè)openrasp, 額(⊙o⊙) 為嘛? 我們基ModSecurity的waf防火墻還有CC防火墻.好吧 他覺得這樣更安全...好吧 (⊙o⊙)
????OpenRASP 是百度安全推出的一款 免費(fèi)健盒、開源 的應(yīng)用運(yùn)行時(shí)自我保護(hù)產(chǎn)品.可以在不依賴請(qǐng)求特征的情況下扣癣,準(zhǔn)確的識(shí)別代碼注入父虑、反序列化等應(yīng)用異常士嚎,很好的彌補(bǔ)了傳統(tǒng)設(shè)備防護(hù)滯后的問題.
????可以簡(jiǎn)單理解為: 入侵主動(dòng)防御系統(tǒng)
系統(tǒng)和軟件需求:
| 系統(tǒng)/軟件 | 版本 |
|---|---|
| Centos | 7.6 |
| Elasticsearch | 6.8.3 |
| Mongodb | 3.6 |
| Jdk | 1.8 |
| Php | 7.2.13 |
-
先下載軟件到服務(wù)器上:
Elasticsearch下載地址
百度rasp 下載地址
Mongodb 下載地址
Php agent 下載地址
(1) 下載到/home/baidu 目錄中
(2) 使用旗魚云梯的遠(yuǎn)程下載直接下載到服務(wù)器里,省的通過ftp上傳了
image.png -
安裝jdk1.8
(1) elasticsearch需要jdk才能運(yùn)行
(2) 在軟件中心里面安裝jdk1.8
image.png -
新建elasticsearch用戶
(1) Elasticsearch 不允許以root用戶啟動(dòng), 所以要?jiǎng)?chuàng)建一個(gè)elasticsearch賬號(hào)
(2) 在 賬號(hào)信息 里面創(chuàng)建elasticsearch用戶
image.png -
安裝Elasticsearch
(1) 解壓下載的壓縮包
image.png
(2) elasticsearch默認(rèn)安裝后設(shè)置的內(nèi)存是1GB, 我這乞丐版1H1G的服務(wù)器頂不住那, 給它改成128M的
① 修改 jvm.optioins文件, 1g改成128m
image.png
改成這個(gè)樣子
image.png
(3) 修改用戶最大線程為4096
① 有些主機(jī)最大線程設(shè)置的為3894, 這樣會(huì)導(dǎo)致elasticsearch啟動(dòng)報(bào)警告信息, elasticsearch最低要求4096
② 修改 /etc/security/limits.conf文件, 如下
image.png
③ 添加到文件末尾
nproc 表示配置最大打開線程數(shù)
image.png
④ 驗(yàn)證是否修改成功
登錄命令行
image.png
切換到elasticsearch用戶, 執(zhí)行 ulimit -a
查看max user processes 是否是4096
修改成功, 關(guān)閉命令行image.png
(4) 修改 最大虛擬內(nèi)存區(qū)域vm.max_map_count 為262144
① elasticsearch最低要求262144, 否則會(huì)出現(xiàn)警告信息
② 修改 /etc/sysctl.conf 文件:如下
image.png
③ 末尾添加 vm.max_map_count = 262144 如下:
image.png
④ 命令行(root用戶下)執(zhí)行 sysctl -p 檢測(cè)是否設(shè)置成功
image.png
(5) 設(shè)置elasticsearch文件目錄用戶以及用戶組為 elasticsearch
① chown elasticsearch:elasticsearch -R elasticsearch-6.8.3
image.png
(6) 啟動(dòng)elasticsearch
① 切換到 elasticearch用戶
② 執(zhí)行 ./elasticsearch-6.8.3/bin/elasticsearch
啟動(dòng)成功image.png
image.png
切換成后臺(tái)模式啟動(dòng)
a. ctrl+c 停止當(dāng)前elasticsearch
b. 后臺(tái)模式啟動(dòng) 執(zhí)行: ./elasticsearch-6.8.3/bin/elasticsearch -d
image.png
c. Elasticsearch啟動(dòng)比較慢, 等30秒左右, 驗(yàn)證是否啟動(dòng)成功
a) 命令行執(zhí)行: curl localhost:9200
b) 返回如下表示啟動(dòng)成功, elasticsearch安裝成功!
c)image.png -
Mongodb安裝
(1) 解壓下載的壓縮包戚啥,并修改解壓出來的目錄為mongodb
image.png
(2) 創(chuàng)建mongodb配置文件mongodb.conf
① 在mongodb/bin 目錄下面創(chuàng)建 mongodb.conf配置文件
image.png
image.png
(3) 創(chuàng)建數(shù)據(jù)存放目錄和日志存放目錄
① /home/baidu/mongodb/data/db
② /home/baidu/mongodb/data/logsimage.png
(4) 啟動(dòng)mongodb
① 進(jìn)入bin目錄:cd /home/baidu/mongodb/bin/
② 執(zhí)行: ./mongod -f mongodb.conf
image.png
(5) 驗(yàn)證mongodb是否成功
① curl localhost:27017
② mongodb安裝成功image.png -
安裝百度openrasp管理后臺(tái)
(1) 解壓rasp-cloud.tar.gz呆盖,并重命名為rasp-cloud
(2) 編輯conf/app.conf文件匾七,修正 ElasticSearch 和 MongoDB 兩個(gè)服務(wù)器的地址昨忆。如果這兩個(gè)服務(wù)器都安裝在了本機(jī),且使用默認(rèn)端口席里,請(qǐng)?zhí)^此步驟: 因?yàn)槲覀兪前惭b在同臺(tái)服務(wù)器上奖磁, 所以跳過此步驟image.png
(3) 啟動(dòng)openrasp
① 進(jìn)入 rasp-cloud目錄:cd /home/baidu/rasp-cloud
② 執(zhí)行啟動(dòng)命令 :./rasp-cloudimage.png啟動(dòng)成功咖为, 沒有報(bào)錯(cuò)信息image.png
③ 改成后臺(tái)啟動(dòng)模式:./rasp-cloud -d啟動(dòng)成功image.png
④ 登錄后臺(tái)驗(yàn)證一下:
在瀏覽器里打開http://your-ip:8086躁染,登錄管理后臺(tái)吞彤。其中用戶名固定為 openrasp叹放,初始密碼為 admin@123井仰。如果不能訪問俱恶,請(qǐng)檢查防火墻設(shè)置,或者檢查logs/api/agent-cloud.log下面的錯(cuò)誤信息。
image.png
關(guān)閉記錄日志模式端仰, 一定要關(guān)閉田藐,否則不會(huì)攔截攻擊 -
安裝php-agent
(1) 在管理后臺(tái)頁面,點(diǎn)擊添加主機(jī)
image.png
(2) Php安裝包我們已經(jīng)下載好了踊餐, 解壓并改名為rasp-php
(3) 在軟件中心安裝php
image.png
(4) 命令行執(zhí)行 install.php安裝
① 進(jìn)到rasp-php目錄
② 執(zhí)行百度給出的 安裝install.php命令
php為你安裝的php解釋器路徑吝岭,這里需要把php改成:/marlinos/php/7.2.13/bin/php
命令執(zhí)行:image.pngimage.png
③ 安裝成功窜管, 重啟phpimage.png -
安裝測(cè)試用例
(1) 創(chuàng)建一個(gè)網(wǎng)站ceshi (apache太古老了幕帆,用openresty把)image.png
(2) 下載測(cè)試網(wǎng)站到新創(chuàng)建的網(wǎng)站目錄下面并解壓
① php測(cè)試用例
(3) 瀏覽器訪問: http://ip/vulnsimage.png
(4) 點(diǎn)點(diǎn)測(cè)試一個(gè)攻擊,出現(xiàn)下面頁面則攔截成功image.png
個(gè)人用戶或小企業(yè)用戶碱茁,建站后沒有運(yùn)維怎么辦蕾额?
旗魚云梯, 專業(yè)的SAAS化服務(wù)器集群管理云平臺(tái), 免費(fèi)的運(yùn)維服務(wù)專業(yè)的技術(shù), 您值得的擁有.
旗魚云梯
