Установка KOMRAD Enterprise SIEM 4.1.33 на Ubuntu, Debian
Эта страница была отправлена в архив, поскольку больше не является актуальной. |
Аппаратные требования
Для установки KOMRAD на Ubuntu / Debian необходимо:
-
наличие установочного диска, диска с обновлением или развернутого сетевого репозитория;
-
версия Ubuntu должна быть не ниже 20, либо Debian не ниже 7;
-
СУБД Postgres из официального репозитория Ubuntu или Debian;
-
наличие идентификационной информации для запуска из-под суперпользователя;
-
для установки недостающих пакетов можно использовать терминал или воспользоваться графическим менеджером пакетов, например Synaptic.
Все последующие действия (команды) необходимо выполнять в терминале.
Установка и настройка PostgreSQL и ClickHouse
Порядок выполняемых действий:
1.Установить и настроить PostgreSQL:
sudo apt update
sudo apt install postgresql -y
2.Перейти в папку с дистрибутивом /ubuntu/db/clickhouse/ и в терминале ввести:
sudo dpkg -i ./*.deb
Указать пароль для пользователя "default".
3.Запустить ClickHouse командой в терминале:
sudo service clickhouse-server start
4.Создать пароль для ClickHouse командой в терминале, указав вместо pass Ваш пароль. Обратите внимание, что команда пишется в одну строку:
echo "pass"; echo -n "pass" | sha256sum | tr -d '-'
В первой строке результата – пароль (pass). Вторая строка – соответствующий ему хэш SHA256 (pass_SHA256).
5.Создать и открыть на редактирование файл:
sudo nano /etc/clickhouse-server/users.d/komrad.xml
Заполнить содержимое файла следующим фрагментом:
<yandex>
<users>
<komrad>
<password remove='1' />
<password_sha256_hex>*pass_SHA256*</password_sha256_hex>
</komrad>
</users>
</yandex>
Где вместо pass_SHA256 вставьте сгенерированный хэш, соответствующий Вашему паролю.
Для сохранения файла используйте ctrl+o → Enter → ctrl+x. |
6.Открыть файл, выполнив:
sudo nano /etc/clickhouse-server/users.xml
Добавьте пользователя komrad в группу пользователей, для чего приведите фрагмент файла к виду:
<!-- Users and ACL. -->
<users>
<komrad>
<access_management>1</access_management>
<password></password>
</komrad>
<!-- If user name was not specified, 'default' user is used. -->
<default>
Для сохранения файла используйте ctrl+o → Enter → ctrl+x. |
7.Перезапустить сервер ClickHouse, выполнив:
sudo systemctl restart clickhouse-server.service
Установление прав пользователя на создание баз данных и создание базы данных
Порядок выполняемых действий:
1.Чтобы создать нового пользователя, откройте аккаунт стандартного пользователя:
sudo su - postgres
2.Наделите пользователя правами на создание новых баз данных, где вместо pass – установите пароль для пользователя postgres:
psql -c "ALTER USER postgres WITH CREATEDB LOGIN PASSWORD 'pass';"
3.Установите расширение, выполнив:
psql -c "CREATE EXTENSION pg_trgm;"
4.Создайте базы данных, выполнив:
createdb -O postgres komrad-preferences
createdb -O postgres pauth-preferences
createdb -O postgres scanner
exit
5.Запустите клиент ClickHouse, используя данные пользователя komrad, где вместо pass – укажите пароль, заданный при установке ClickHouse.
clickhouse-client --user=komrad --password=pass
6.Создайте базу данных, выполнив:
CREATE DATABASE komrad_events
exit
Установка модуля сканирования сети Nmap
Перейдите в папку с утилитами /ubuntu/tools и через терминал выполните команду:
sudo dpkg -i ./*.deb
Установка KOMRAD
Перейдите в папку с дистрибутивом /ubuntu/deb и через терминал выполните команду:
sudo dpkg -i ./*.deb
Редактирование yaml-файлов
1.Откройте файл komrad-processor.yaml, выполнив через команду в терминале:
sudo nano /etc/echelon/komrad/komrad-processor.yaml
Приведите фрагмент файла к данному виду:
# Настройки подключения к бд хранящей конфигурацию виджетов
widgetsdb:
TLSCertPath: /var/lib/echelon/komrad/certs/client.pem
TLSKeyPath: /var/lib/echelon/komrad/certs/client-key.pem
TLSRootCAPath: /var/lib/echelon/komrad/certs/ca.pem
db: komrad-preferences
host: localhost
password: pass # укажите пароль для пользователя postgres (PostgreSQL)
port: 5432
tlsmode: verify-full
user: postgres
Настройки хранилища событий информационной безопасности
storage:
# Тип хранилища, в данной версии поддерживается только:
# - timescale - PostgreSQL 12+ с плагином TimescaleDB 2.2.1+
# - clickhouse - ClickHouse v21.7.8.58-stable
# Для ОС "Основа" поддерживается PostgreSQL 11 с TimescaleDB 2.2.1
kind: clickhouse
clickhouse:
# Название БД
name: komrad_events
user: komrad
password: pass # укажите пароль для пользователя komrad (ClickHouse)
# Адрес хоста с ClickHouse-server
host: localhost
# Порт ClickHouse-server
port: 9000
# Режим работы - с TLS или без
sslmode: disable
Для сохранения файла используйте ctrl+o → Enter → ctrl+x. |
2.Откройте файл komrad-server.yaml, выполнив:
sudo nano /etc/echelon/komrad/komrad-server.yaml
Отредактируйте:
database:
pg:
db: komrad-preferences
host: localhost
password: pass # укажите пароль для пользователя postgres (PostgreSQL)
port: 5432
tlsmode: verify-full
user: postgres
Для сохранения файла используйте ctrl+o → Enter → ctrl+x. |
3.Откройте файл * komrad-correlation-dispatcher.yaml*, выполнив:
sudo nano /etc/echelon/komrad/komrad-correlation-dispatcher.yaml
Отредактируйте:
# Настройка подключения к БД PostgreSQL в формате URL.
DB: postgres://postgres: *pass*@localhost:5432/komrad-preferences?sslmode...
CorrelatorController:
# Настройка подключения к БД PostgreSQL в формате URL для корреляторов.
CorrelatorDB:postgres://postgres: *pass*@localhost:5432/komrad-preferences?sslmode...`
Где в pass – укажите пароль пользователя postgres (PostgreSQL).
Для сохранения файла используйте ctrl+o → Enter → ctrl+x. |
4.Откройте файл komrad-incident-manager.yaml, выполнив:
sudo nano /etc/echelon/komrad/komrad-incident-manager.yaml
Отредактируйте:
Настройка подключения к БД PostgreSQL в формате URL.
DB: postgres://postgres: *pass*@localhost:5432/komrad-preferences?sslmode...
Где в pass – укажите пароль пользователя postgres (PostgreSQL).
Для сохранения файла используйте ctrl+o → Enter → ctrl+x. |
5.Откройте файл pauth-server.yaml, выполнив:
sudo nano /etc/echelon/komrad/pauth-server.yaml
Отредактируйте:
database: postgres://postgres:pass@localhost:5432/pauth-preferences?sslmode...
Где в pass – укажите пароль пользователя postgres (PostgreSQL).
Для сохранения файла используйте ctrl+o → Enter → ctrl+x. |
6.Откройте komrad-scanner-config.json, выполнив:
sudo nano /etc/echelon/komrad/komrad-scanner-config.json
Отредактируйте:
"Main": {
"Driver": "postgres",
"Host": "localhost",
"Port": 5432,
"DBName": "scanner",
"User": "postgres",
"Password": "*pass*",
"SSLMode": "disable"
}
Где в pass – укажите пароль пользователя postgres (PostgreSQL).
Для сохранения файла используйте ctrl+o → Enter → ctrl+x. |
7.Откройте postgresql.conf, выполнив:
sudo nano /etc/postgresql/*/main/postgresql.conf
8.Раскомментируйте и добавьте пути до сертификатов:
ssl = on
ssl_ca_file = '/var/lib/echelon/komrad/certs/ca.pem'
ssl_key_file = '/var/lib/echelon/komrad/certs/server-key.pem'
ssl_cert_file = '/var/lib/echelon/komrad/certs/server.pem'
Для сохранения файла используйте ctrl+o → Enter → ctrl+x. |
9.Перезагрузите сервисы, выполнив команду в одну строчку:
sudo systemctl restart postgresql komrad-server komrad-processor komrad-scanner pauth-server komrad-correlation-dispatcher incident-manager
Создание ролей администратора и пользователя с правами администратора
Создайте роль администратора и пользователя с правами администратора через следующие команды в терминале. Внимание! Каждая отдельная команда пишется одну строчку:
sudo pauthctl role add admin --migrate --conn "postgresql://postgres:pass@localhost:5432/pauth-preferences"
Об успешном добавлении роли admin в строке сервиса будет строка:
INFO roles added {"role_names": ["admin"], "status": "success"}
Теперь добавим роль пользователя:
sudo pauthctl role add user --conn "postgresql://postgres:pass@localhost:5432/pauth-preferences"
Об успешном добавлении роли user в строке сервиса будет строка:
INFO roles added {"role_names": ["user"], "status": "success"}
pauthctl user add --email name@domain.com --login admin --roles admin --password admin --conn "postgresql://postgres:pass@localhost:5432/pauth-preferences"
Где:
pass – укажите пароль пользователя postgres (PostgreSQL);
e-mail name@domain.com – укажите свой e-mail адрес администратора;
login admin – укажите свой логин администратора;
password admin – укажите свой пароль администратора.
Перенос лицензии
1.Удалите демо-лицензию из папки /etc/echelon/komrad/license командой в терминале:
sudo rm /etc/echelon/komrad/license/license.lic
2.Скопируйте в папку /etc/echelon/komrad/license файл лицензии с расширением (.lic).
3.Перезапустите сервисы komrad-server, komrad-processor, pauth-server командой в терминале:
sudo systemctl restart komrad-server komrad-processor pauth-server
Создание сертификатов
Внимание! Дальнейшие действия желательно выполнять на отдельной ЭВМ, где в дальнейшем будут храниться корневые сертификаты, необходимые для корректной работы компонентов KOMRAD.
1.Создайте на жестком диске папку /tls;
Команда для создания папки: |
mkdir tls
2.Перейдите в папку /tls и выполните команду в терминале для создания корневого сертификата:
cd tls
echelontls ca --organization “*Echelon*”
Где вместо Echelon укажите название своей организации.
В папке /tls сгенерируются два файла ca.pem и ca-key.pem.
3.Создайте серверный сертификат командой в терминале:
echelontls cert --organization “Echelon” localhost 127.0.0.1 $(hostname -I) $(hostname)
Где вместо Echelon укажите название своей организации.
В папке /tls сгенерируются два файла server.pem и server-key.pem
4.Создайте клиентский сертификат командой в терминале:
echelontls cert --client
В папке /tls сгенерируются два файла client.pem и client-key.pem
5.Создайте сертификат для браузера командой в терминале:
echelontls browser
Внимание! При генерации сертификата для браузера, утилита komradtls попросит задать пароль. Этот пароль потребуется при добавлении сертификата в браузер, поэтому запомните этот пароль.
В папке /tls сгенерируется файл client-browser.p12.
Удаление сертификатов по умолчанию
Удалите все сертификаты из папки с сертификатами по умолчанию командой в терминале:
sudo rm /var/lib/echelon/komrad/certs/CAs/*
sudo rm /var/lib/echelon/komrad/certs/*
Копирование сертификатов
Скопируйте сертификаты в следующие папки:
-
Файлы ca.pem, server.pem, server-key.pem, client.pem, client-key.pem в /var/lib/echelon/komrad/certs/ командой терминале:
sudo cp ca.pem server.pem server-key.pem client.pem client-key.pem /var/lib/echelon/komrad/certs/
Внимание! Команда выполняется в одну строчку.
2.Файл ca.pem в /var/lib/echelon/komrad/certs/CAs/ командой:
sudo cp ca.pem /var/lib/echelon/komrad/certs/CAs/
Изменение владельца файлов на komrad:komrad и предоставление прав сертификатам
Введите следующие команды в терминале:
sudo chown komrad:komrad /etc/echelon/komrad/license/имя_лицензии.lic
sudo chown -R komrad:komrad /var/lib/echelon/komrad/certs
sudo chmod -R 755 /var/lib/echelon/komrad/certs
sudo chmod 0640 /var/lib/echelon/komrad/certs/server-key.pem
sudo chown root:komrad /var/lib/echelon/komrad/certs/server-key.pem
sudo usermod -a -G komrad postgres
sudo chmod 755 client-browser.p12
Где в имя_лицензии — укажите наименование файла лицензии.
Установка корневого сертификата в браузере
Выполните следующие действия:
-
Откройте Firefox → Настройки → Приватность и защита → Сертификаты → Просмотр сертификатов;
-
Перейдите во вкладку Ваши сертификаты меню Управления сертификатами;
-
Импортируйте сертификаты ca.pem в «Доверенные корневые центры сертификации» и client-browser.p12 в «Личные», при этом потребуется указать пароль установленный, при генерации браузерного сертификата;
-
Перезапустите браузер.
Конец
KOMRAD установлен и доступен по адресу localhost.