GNU/Linux >> Tutoriales Linux >  >> Linux

Instalar Velociraptor en Linux

Hoy aprenderá cómo instalar Velociraptor en Linux.

Aprendiendo de estos primeros proyectos, Velociraptor se lanzó en 2019. Al igual que GRR, Velociraptor también permite cazar en muchos miles de máquinas. Inspirado en OSQuery, Velociraptor implementa un nuevo lenguaje de consulta denominado VQL (Velociraptor Query Language) que es similar a SQL pero amplía el lenguaje de consulta de una manera más poderosa. Velociraptor también hace hincapié en la facilidad de instalación y la latencia muy baja; por lo general, recopila artefactos de miles de terminales en cuestión de segundos.

Arriba se muestra una descripción general de la arquitectura Velociraptor. El servidor Velociraptor mantiene comunicaciones con los agentes de punto final (llamados Clientes) para comando y control. La interfaz de usuario de administración basada en web se utiliza para asignar tareas a clientes individuales, realizar búsquedas y recopilar datos.

En última instancia, los agentes Velociraptor son simplemente motores VQL:todas las tareas para el agente son simplemente consultas VQL que ejecuta el motor. Las consultas de VQL, al igual que las consultas de bases de datos, dan como resultado una tabla, con columnas (según lo dictado por la consulta) y múltiples filas. El agente ejecutará la consulta y enviará los resultados al servidor, que simplemente los almacenará como archivos. Este enfoque significa que el servidor no está realmente procesando los resultados más que simplemente almacenándolos en archivos. Por lo tanto, la carga en el servidor es mínima, lo que permite un rendimiento muy escalable.

Instalación

Velociraptor tiene seis componentes principales:

  • Frontend – Frontend recibe conexiones de clientes.
  • GUI – Interfaz de usuario web para acceder a velociraptor.
  • Cliente – Agentes de punto final Velociraptor
  • Motor VQL (VFilter) – Lenguaje de consulta de Velociraptor utilizado para realizar consultas.
  • Almacén de datos – ubicaciones donde Velociraptor va a guardar sus archivos.
  • Almacén de archivos – utilizado por velociraptor para almacenamiento a largo plazo

Instalar Velociraptor de Gettig el binario de Linux 

mkdir velociraptor
cd velociraptor
wget https://github.com/Velocidex/velociraptor/releases/download/v0.5.3/velociraptor-v0.5.3-linux-amd64

Hacer el binario ejecutable

Entonces, una vez que se complete la descarga del instalador binario, hazlo ejecutable ejecutando el siguiente comando;

chmod +x velociraptor-v0.5.3-linux-amd64

Generar un archivo de configuración del servidor 

Generate server configuration file using the command below:

 ./velociraptor-v0.5.3-linux-amd64 config generate > /etc/velociraptor.config.yaml
To customize the configuration file generation use the command:
 ./velociraptor-v0.5.3-linux-amd64 config generate config generate -i

Opcionalmente, edite el archivo de configuración una vez que se haya creado para adaptarse a su implementación. Por ejemplo, puede cambiar la url del servidor y la IP del servidor donde se vinculan las direcciones

vim /etc/velociraptor.config.yaml
...
  Client:
      server_urls:
      - https://192.168.56.102:8000/
...
API:
  bind_address: 192.168.56.102
...
GUI:
  bind_address: 192.168.56.102
...
Monitoring:
  bind_address: 192.168.56.102
...

Además, la ubicación del almacén de datos se puede editar para cambiar la ubicación donde Velociraptor guardará sus archivos.

Datastore:
  implementation: FileBaseDataStore
  location: /var/tmp/velociraptor
  filestore_directory: /var/tmp/velociraptor

Es importante tener en cuenta que las comunicaciones entre el cliente y el servidor están encriptadas a través de HTTPS. Las claves están incrustadas en el archivo de configuración.

Crear usuario de GUI

Luego, cree un usuario para acceder a la GUI ejecutando el siguiente comando;

./velociraptor-v0.5.3-linux-amd64 --config /etc/velociraptor.config.yaml user add unixcop --role administrator

Introduzca una contraseña para el usuario cuando se le solicite:

El comando anterior agrega el usuario admin con el administrator role. Otros roles disponibles son:

  • lector
  • analista
  • investigador
  • escritor_de_artefactos

Iniciar interfaz de Velociraptor

Inicie el servidor Velociraptor usando frontend comando, -v bandera se utiliza para mostrar la salida detallada en el terminal.

 ./velociraptor-v0.5.3-linux-amd64 --config /etc/velociraptor.config.yaml frontend -v

Acceso a la interfaz web de Velociraptor

Acceda al servidor en https://SERVER-IP:8889 . Utilice el usuario y la contraseña creados anteriormente. Las comunicaciones GUI se autentican con la autenticación básica.

Instalar el servicio Systemd para Verociraptor

Además, puede crear el servicio systemd para iniciar Velociraptor como un servicio. Para una gestión más sencilla, puede copiar el binario a /usr/local/bin como velociraptor .

cp velociraptor-v0.5.3-linux-amd64 /usr/local/bin/velociraptor
 vim  /lib/systemd/system/velociraptor.service

Agregue el contenido a continuación:

[Unit]
Description=Velociraptor linux amd64
After=syslog.target network.target

[Service]
Type=simple
Restart=always
RestartSec=120
LimitNOFILE=20000
Environment=LANG=en_US.UTF-8
ExecStart=/usr/local/bin/velociraptor --config /etc/velociraptor.config.yaml frontend -v

[Install]
WantedBy=multi-user.target

systemctl daemon-reload

Inicie y habilite el velociraptor para que comience en el momento del arranque:

systemctl enable --now velociraptor

Comprueba el estado del velociraptor.

systemctl status velociraptor

● velociraptor.service - Velociraptor linux amd64
   Loaded: loaded (/lib/systemd/system/velociraptor.service; enabled; vendor preset: enabled)
   Active: active (running) since Wed 2020-12-09 21:10:37 EAT; 6s ago
 Main PID: 21354 (velociraptor)
    Tasks: 7 (limit: 595)
   CGroup: /system.slice/velociraptor.service
           └─21354 /usr/local/velociraptor --config /etc/velociraptor.config.yaml frontend -v

Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Starting Server Artifact Runner Service
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Starting gRPC API server on 192.168.56.102:8001
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Launched Prometheus monitoring server on 192.168.56
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 GUI is ready to handle TLS requests on https://192.
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Collecting Server Event Artifact: Server.Monitor.He
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Frontend is ready to handle client TLS requests at 
Dec 09 21:10:38 user1-VirtualBox velociraptor[21354]: [INFO] 2020-12-09T21:10:38+03:00 Compiled all artifacts

Acceda a la GUI e inicie sesión en la interfaz, verá el panel de la GUI de Velociraptor.


Linux

  1. Instale OpenVPN en su PC con Linux

  2. Cómo instalar el servidor web Nginx en Linux

  3. Instale ownCloud 5 en Linux Mint 14

  4. Cómo instalar un servidor Linux de virtualización

  5. Servidor Linux de administración

Servidor de monitoreo Graylog en Ubuntu Linux para servidores/servicios de monitoreo

Cómo instalar Apache en Arch Linux

Instale LAMP Stack en Rocky Linux 8

Cómo instalar Webmin en Ubuntu Linux

Cómo instalar Jenkins en Rocky Linux 8

Escritorio remoto de Windows a Linux