GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Installieren Sie Velociraptor unter Linux

Heute lernen Sie, wie Sie Velociraptor unter Linux installieren.

Aus diesen frühen Projekten lernend, wurde Velociraptor 2019 veröffentlicht. Ähnlich wie GRR ermöglicht Velociraptor auch das Jagen auf vielen Tausend Maschinen. Inspiriert von OSQuery implementiert Velociraptor eine neue Abfragesprache namens VQL (Velociraptor Query Language), die SQL ähnelt, aber die Abfragesprache auf eine leistungsfähigere Weise erweitert. Velociraptor betont auch die einfache Installation und die sehr geringe Latenzzeit – normalerweise sammelt es Artefakte von Tausenden von Endpunkten innerhalb von Sekunden.

Oben zeigt einen Überblick über die Velociraptor-Architektur. Der Velociraptor-Server hält die Kommunikation mit den Endpunkt-Agenten (sogenannten Clients) für Befehle und Steuerung aufrecht. Die webbasierte Verwaltungsbenutzeroberfläche wird verwendet, um einzelne Clients zu beauftragen, Jagden durchzuführen und Daten zu sammeln.

Letztendlich sind Velociraptor-Agenten einfach VQL-Engines – alle Aufgaben an den Agenten sind einfach VQL-Abfragen, die die Engine ausführt. VQL-Abfragen führen genau wie Datenbankabfragen zu einer Tabelle mit Spalten (wie von der Abfrage vorgegeben) und mehreren Zeilen. Der Agent führt die Abfrage aus und sendet die Ergebnisse an den Server zurück, der sie einfach als Dateien speichert. Dieser Ansatz bedeutet, dass der Server die Ergebnisse nicht wirklich verarbeitet, sondern sie nur in Dateien speichert. Daher ist die Last auf dem Server minimal, was eine stark skalierbare Leistung ermöglicht.

Installation

Velociraptor besteht aus sechs Hauptkomponenten:

  • Frontend – Frontend empfängt Verbindungen von Clients.
  • Gui – Web-UI für den Zugriff auf Velociraptor.
  • Kunde – Velociraptor-Endpunktagenten
  • VQL-Engine (VFilter) – Velociraptor-Abfragesprache, die zum Abfragen verwendet wird.
  • Datenspeicher – Orte, an denen Velociraptor seine Dateien speichern wird.
  • Dateispeicher – von Velociraptor zur Langzeitspeicherung verwendet

Installieren Sie Velociraptor by Gettig die Linux-Binärdatei 

mkdir velociraptor
cd velociraptor
wget https://github.com/Velocidex/velociraptor/releases/download/v0.5.3/velociraptor-v0.5.3-linux-amd64

Machen Sie die Binärdatei ausführbar

Sobald der Download des Binärinstallationsprogramms abgeschlossen ist, machen Sie es ausführbar, indem Sie den folgenden Befehl ausführen:

chmod +x velociraptor-v0.5.3-linux-amd64

Server-Konfigurationsdatei generieren 

Generate server configuration file using the command below:

 ./velociraptor-v0.5.3-linux-amd64 config generate > /etc/velociraptor.config.yaml
To customize the configuration file generation use the command:
 ./velociraptor-v0.5.3-linux-amd64 config generate config generate -i

Bearbeiten Sie optional die Konfigurationsdatei, sobald sie erstellt wurde, um sie an Ihre Bereitstellung anzupassen. Beispielsweise können Sie die Server-URL ändern und die IP des Servers, an den die Adressen gebunden sind

vim /etc/velociraptor.config.yaml
...
  Client:
      server_urls:
      - https://192.168.56.102:8000/
...
API:
  bind_address: 192.168.56.102
...
GUI:
  bind_address: 192.168.56.102
...
Monitoring:
  bind_address: 192.168.56.102
...

Zusätzlich kann der Speicherort des Datenspeichers bearbeitet werden, um den Speicherort zu ändern, an dem Velociraptor seine Dateien speichern wird.

Datastore:
  implementation: FileBaseDataStore
  location: /var/tmp/velociraptor
  filestore_directory: /var/tmp/velociraptor

Es ist wichtig zu beachten, dass die Client-Server-Kommunikation über HTTPS verschlüsselt wird. Die Schlüssel sind in der Konfigurationsdatei eingebettet.

GUI-Benutzer erstellen

Erstellen Sie dann einen Benutzer für den Zugriff auf die GUI, indem Sie den folgenden Befehl ausführen:

./velociraptor-v0.5.3-linux-amd64 --config /etc/velociraptor.config.yaml user add unixcop --role administrator

Geben Sie ein Kennwort für den Benutzer ein, wenn Sie dazu aufgefordert werden:

Der obige Befehl fügt den Benutzer admin hinzu mit dem administrator Rolle. Andere verfügbare Rollen sind:

  • Leser
  • Analyst
  • Ermittler
  • artifact_writer

Velociraptor-Frontend starten

Starten Sie den Velociraptor-Server mit frontend Befehl, -v Flag wird verwendet, um eine ausführliche Ausgabe auf dem Terminal anzuzeigen.

 ./velociraptor-v0.5.3-linux-amd64 --config /etc/velociraptor.config.yaml frontend -v

Zugriff auf die Velociraptor-Weboberfläche

Greifen Sie auf den Server unter https://SERVER-IP:8889 zu . Verwenden Sie den zuvor erstellten Benutzer und das Kennwort. Die GUI-Kommunikation wird mit Basic Auth.

authentifiziert

Installieren Sie den Systemd-Dienst für Verociraptor

Zusätzlich können Sie einen systemd-Dienst erstellen, um Velociraptor als Dienst zu starten. Zur einfacheren Verwaltung können Sie die Binärdatei nach /usr/local/bin kopieren als Velociraptor .

cp velociraptor-v0.5.3-linux-amd64 /usr/local/bin/velociraptor
 vim  /lib/systemd/system/velociraptor.service

Fügen Sie den folgenden Inhalt hinzu:

[Unit]
Description=Velociraptor linux amd64
After=syslog.target network.target

[Service]
Type=simple
Restart=always
RestartSec=120
LimitNOFILE=20000
Environment=LANG=en_US.UTF-8
ExecStart=/usr/local/bin/velociraptor --config /etc/velociraptor.config.yaml frontend -v

[Install]
WantedBy=multi-user.target

systemctl daemon-reload

Velociraptor starten und aktivieren, damit er beim Booten startet:

systemctl enable --now velociraptor

Überprüfen Sie den Status von Velociraptor.

systemctl status velociraptor

● velociraptor.service - Velociraptor linux amd64
   Loaded: loaded (/lib/systemd/system/velociraptor.service; enabled; vendor preset: enabled)
   Active: active (running) since Wed 2020-12-09 21:10:37 EAT; 6s ago
 Main PID: 21354 (velociraptor)
    Tasks: 7 (limit: 595)
   CGroup: /system.slice/velociraptor.service
           └─21354 /usr/local/velociraptor --config /etc/velociraptor.config.yaml frontend -v

Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Starting Server Artifact Runner Service
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Starting gRPC API server on 192.168.56.102:8001
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Launched Prometheus monitoring server on 192.168.56
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 GUI is ready to handle TLS requests on https://192.
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Collecting Server Event Artifact: Server.Monitor.He
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Frontend is ready to handle client TLS requests at 
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Compiled all artifacts

Greifen Sie auf die GUI zu und melden Sie sich bei der Benutzeroberfläche an. Sie sehen das GUI-Dashboard von Velociraptor.


Linux

  1. Installieren Sie OpenVPN auf Ihrem Linux-PC

  2. So installieren Sie den Nginx-Webserver unter Linux

  3. Installieren Sie ownCloud 5 auf Linux Mint 14

  4. So installieren Sie den Virtualisierungs-Linux-Server

  5. GDAL auf Linux Ubuntu Server installieren?

Graylog-Überwachungsserver unter Ubuntu Linux für Überwachungsserver/-dienste

So installieren Sie Apache unter Arch Linux

Installieren Sie LAMP Stack auf Rocky Linux 8

So installieren Sie Webmin unter Ubuntu Linux

So installieren Sie Jenkins unter Rocky Linux 8

Windows-zu-Linux-Remotedesktop