OpenRASP 部署

0x00 前言

上周一台web服务器部署单机版OpenRASP之后感觉还不错，想在公司内部推广一下，准备在一些后台系统的服务器上安装agent，单机版部署报警日志查看不是很方便，遂部署管理后台方便管理

0x01 准备

OpenRASP使用了 ElasticSearch 和 MongoDB 两种数据库。前者用来存储报警和统计信息，后者用来存储应用、账号密码等信息。

自己测试机上有mongodb 3.2 和 elk套件7.1.1，这里对数据库版本有要求

• MongoDB 版本大于等于 3.6
• ElasticSearch 版本大于等于 5.6，小于 7.0

好吧，都不符合，重新安装MongoDB 和 ElasticSearch

MongoDB 安装

官方手册：https://docs.mongodb.com/manual/tutorial/install-mongodb-on-red-hat/

安装mongodb社区版，目前最新版为4.2

1. 创建仓库
   

   1	vi /etc/yum.repos.d/mongodb-org-4.2.repo

2. 复制
   

   1 2 3 4 5 6

   [mongodb-org-4.2] name=MongoDB Repository baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/4.2/x86_64/ gpgcheck=1 enabled=1 gpgkey=https://www.mongodb.org/static/pgp/server-4.2.asc

3. yum命令安装mongodb
   

   1	yum install -y mongodb-org

4. 启动服务
   

   1	systemctl start mongod

5. 使用
   

   1

   mongo

6. 卸载
   

   1 2 3 4

   yum erase $(rpm -qa | grep mongodb-org) 删除数据目录 rm -r /var/log/mongodb rm -r /var/lib/mongo

7. 启用认证
   

   1 2 3

   vi /etc/mongod.conf security: authorization: enabled

ElasticSearch 安装

https://www.elastic.co/cn/downloads/past-releases#elasticsearch

下载6版本最新的 https://www.elastic.co/downloads/past-releases/elasticsearch-6-8-4

不能使用root账户启动

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

[root@Honeypot opt]# useradd es684
[root@Honeypot opt]# chown -R es684:es684 /opt/elasticsearch-6.8.4/
[root@Honeypot opt]# su es684
[es684@Honeypot opt]$ elasticsearch-6.8.4/bin/elasticsearch

[root@Honeypot ~]# curl http://127.0.0.1:9200
{
  "name" : "pLQxhPa",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "ZZHzhK93RvqBf2jzbTFtiQ",
  "version" : {
    "number" : "6.8.4",
    "build_flavor" : "default",
    "build_type" : "tar",
    "build_hash" : "bca0c8d",
    "build_date" : "2019-10-16T06:19:49.319352Z",
    "build_snapshot" : false,
    "lucene_version" : "7.7.2",
    "minimum_wire_compatibility_version" : "5.6.0",
    "minimum_index_compatibility_version" : "5.0.0"
  },
  "tagline" : "You Know, for Search"
}

这里两个数据库安装好了，开始安装管理后台

0x02 管理后台安装

1. 编辑 conf/app.conf 文件，修正 ElasticSearch 和 MongoDB 两个服务器的地址
   

   1 2 3 4 5 6 7

   [prod] EsAddr = http://127.0.0.1:9200 EsUser = EsPwd = MongoDBAddr = 127.0.0.1:27017 MongoDBUser = MongoDBPwd =

2. 启动后台服务器:
   

   1	./rasp-cloud -d

3. 访问
   在浏览器里打开 http://your-ip:8086
   登录管理后台。其中用户名固定为 openrasp，初始密码为 [email protected]

用户名：openrasp
密 码：!9cN!j!7fThP

系统设置 - 防护设置 - 关闭记录日志模式

系统设置 - 通用设置 - 自定义拦截状态码修改为404 ，自定义HTML响应内容修改为自己的404页面

0x03 添加主机

点击右上角添加主机，以PHP服务器为例

1

php install.php -d /opt/rasp --app-id 171fea1b56790016e91239b3ede558xxxxxxxxxx --app-secret KJIToQ9VqdKq6O0dLxdG1XbIHOxrLZF8xxxxxxxxxxx --backend-url http://your-ip:8086

重启PHP-FPM生效