【谛听】D

2024-07-15 22:04:04| 来源: 网络整理| 查看: 265

安装说明安装前请先根据文档中的部署环境要求，依次检查相关配置，确认无误后再进行软件的安装。首次安装需要分别进入管理节点、探针节点的后台进行安装操作。产品升级需要进入管理节点的后台进行安装操作，探针可以远程升级。本文仅以常见安装步骤作举例，如有完整部署文档需求可咨询长亭技术支持人员获取。名词定义【节点】指一台服务器，可以是物理服务器、云服务器【安装目录】指谛听管理端，通常为 /data/d-sensor 【数据盘】指安装目录所在的硬盘【管理节点】指谛听的管理服务、日志服务、蜜罐服务等所在节点【探针节点】指用于部署谛听Agent程序所在节点，1个管理节点支持部署接入多个探针节点【蜜罐服务】指谛听管理节点上配置启动运行的伪装欺骗服务，主要通过一个个docker容器拉起，比如ssh蜜罐服务，weblogic蜜罐服务，1个蜜罐服务支持分别绑定到不同的探针节点上；1个探针节点支持绑定多个不同的蜜罐服务。安装前准备 1、常用工具列表

Linux 下常用工具列表，可以参考进行安装： tcpdump：网络抓包工具 curl：HTTP 请求工具 vim：编辑文件工具 strace：跟踪系统调用工具 tmux：终端窗口工具 net-tools：其他网络工具 sysstat：性能监控

Ubuntu 下安装，执行：

apt install -y tcpdump curl vim strace net-tools sysstat

CentOS 下安装，执行：

yum install -y tcpdump curl vim strace net-tools sysstat 2、资源准备设备性能要求

管理节点 CPU：>= 8 核内存：>= 16 GB 数据盘容量：>= 500 GB，云服务器需要检查所选数据盘 IOPS 值大于 1000

探针节点 CPU：>= 1 核内存：>= 2 GB 数据盘容量：>= 20 GB

部署环境要求要求项管理节点探针节点内核 Linux 3.10.0-514 及以上无操作系统 Ubuntu 16.04 及以上;CentOS 7.4 及以上;Redhat 7.4 及以上;SUSE 12 SP2 及以上;Oracle Linux 7.4 及以上 Ubuntu 16.04 及以上;CentOS 6.5 及以上;Redhat 6.4 及以上;SUSE 11 sp4 及以上;Oracle Linux 7.4 及以上;Windows server 2003 及以上系统配置系统时间为 UTC 时间; SELinux、Firewalld 关闭; umask 为 022 SELinux、Firewalld 关闭文件系统谛听安装目录所在磁盘分区的文件系统类型为 ext4 无磁盘分区蜜罐镜像目录 /var/lib/docker/ 下至少有 80G 空间; 无网络安装时尽量在线能访问管理节点的:443 或 1338 端口(用于安装)，1337 端口(用于运行) 3、管理节点安装管理节点环境配置以下操作默认在所在节点root 权限下操作检查内核版本与时间 uname -r uname -a

要求内核版本大于 3.10，构建时间晚于或等于 2017 年。

设置umask umask 022 检查谛听安装分区的文件系统类型为 ext4 df -Th

若没有 ext4 分区，需要新建分区并使用 mkfs.ext4 进行格式化，具体可参考: fdisk 分区格式化为ext4格式分区

检查系统时间 date -u

需确保系统的 UTC 时间为正确的 UTC 时间。如果发现时区不对，可通过timedatectl命令快速修改

timedatectl set-timezone Asia/Shanghai 关闭SElinux及Firewalld（Ubuntu 系统可跳过） sed -i 's/enforcing/disabled/g' /etc/selinux/config setenforce 0 getenforce

getenforce 结果不是 Enforcing 则表明 SELinux 已经成功关闭。 cat /etc/selinux/config 查看为 disabled 则表明开机默认关闭 SELinux。

systemctl stop firewalld systemctl disable firewalld systemctl status firewalld

若看到 Active: inactive (dead) 字样，表明 Firewalld 关闭成功

确保当前系统没有安装docker docker info

提示没有安装docker即可，如有安装，需确保docker 是18.06.2 及以上的稳定版，否则需要卸载原有docker再进行安装。卸载旧版本docker参考：

ubuntu系统卸载docker sudo apt-get remove docker docker-engine docker.io centos系统卸载docker sudo yum remove docker docker-common docker-selinux docker-engine 管理节点软件安装创建部署目录并切换到部署路径 mkdir –p /data/d-sensor cd /data/d-sensor 上传安装包到管理节点（虚拟机或硬件设备）的 /data/d-sensor 路径下将软件压缩包解压到部署目录(注意替换为实际的文件名,解压密码找长亭技术获取） unzip DS-S40-software-installer-xxx.zip unzip -o d-sensor-4-software-installer_xxx.zip –d /data/d-sensor unzip -o honeypots-2-software-installer_xx.zip –d /data/d-sensor 安装软件系统和蜜罐 a）注意要先执行 install.sh，若系统没有 Docker、Docker- compose，则会在此时自动安装 b）执行 installer 时，如果该型号设备需要安装虚拟机蜜罐，安装过程中选择 “软件+虚拟机蜜罐拓展(sw+vm)”。否则选择“软件(sw)”，若出现“will you enable vm manager(y/n)”选择 n即可 ./install.sh ./installer 确认服务正常启动 docker ps -a

确保所有容器状态都为 up，如下图所示:

在 /data 目录下加载预置模版 cd /data ./generate_preset.sh 若安装目录不是默认目录，执行时需要指定对应目录: ./generate_preset.sh /data/d-sensor

访问管理地址，上传 license 并登陆。若能正常访问管理界面，而且蜜罐管理-模版管理中能添加若干蜜罐的模版，其中部分蜜罐还有预置的模版(例如自定义 Web(Python) 蜜罐)，则说明安装成功:

安装蜜罐拓展包（可选）

a) 虚拟机蜜罐: i. 确保安装时已开启虚拟机蜜罐模块:执行“docker ps”查看有没有“vm_domain”容器。若没有，则进入 docker- compose 所在文件夹，执行 docker-compose down，然后重新执行安装脚本 ./installer，并选择 “软件+虚拟机蜜罐拓展(sw+vm)”

ii. 将拓展包文件解压到 /var/lib/libvirt/images

iii. 执行 “docker restart vm_domain”，再执行 “docker restart dsensor_redis”即可

b) .zip 后缀名蜜罐:解压到安装目录，然后在解压文件夹内运行 ./install.sh

4、探针节点安装以下操作默认在所在节点root 权限下操作探针节点环境配置

关闭SElinux及Firewalld（Ubuntu 系统可跳过）

sed -i 's/enforcing/disabled/g' /etc/selinux/config setenforce 0 getenforce systemctl stop firewalld systemctl disable firewalld systemctl status firewalld 探针节点在线安装登录管理界面查看探针在线安装指导

2.在管理节点界面右上角个人中心生成个人token 3.推荐选择wget方式下载agent程序到探针节点执行安装 linux系统：

wget --no-check-certificate https://{管理节点地址}/ag/install_agent_amd64 -O /tmp/install_agent && chmod +x /tmp/install_agent && sudo /tmp/install_agent --host {管理节点地址} --token {您的 Token}

windosw系统：

[System.Net.ServicePointManager]::ServerCertificateValidationCallback = { $True }; ` (New-Object System.Net.WebClient).DownloadFile(` "https://{管理节点的地址}/ag/install_agent.exe", ` "$env:TEMP/install_agent.exe"); ` Start-Process -Wait -NoNewWindow -FilePath "$env:TEMP/install_agent.exe" ` -ArgumentList "--host {管理节点地址} --token {您的 Token}"

您的 Token这里是指在个人中心生成的api token值

之后可登录管理节点界面查看探针状态和在线情况，进行后续的蜜罐服务配置和绑定。 5、蜜罐服务配置 5.1 创建蜜罐模板

a）基于默认模板创建谛听系统自带有默认模板，可基于默认模板创建系统服务蜜罐，或特定缺陷蜜罐，特定框架类漏洞蜜罐（web）：在模板管理页面点选左侧对应选项，可进入对应页面，进行创建模板操作，例如此处利用自带的ftp模板进行创建，点击创建后填入对应信息，上传完成后即完成模板创建。同理，其他类型蜜罐基于自带的模板配置时，均为类似操作，其中模板名称设置成管理员易于识别即可。

b）自定义web创建模板配置模拟真实业务等蜜罐，支持静态页面模拟，如有复杂交互，则无法支持。需提前跟客户获取web页面数据（最好可以让客户从服务器直接拷贝），基于zip压缩包正确填写首页地址。web页面如无法从服务器拷贝，可自行通过第三方工具爬取页面进行配置。如下面以一个仿真OA系统为例：

编辑完成后点击上传，即可完成模板创建。

5.2 创建蜜网

蜜罐管理-蜜网管理页面，可进行蜜网的新增和重命名。其中“是否允许访问外网”仅可在创建蜜网时进行选择。勾选“运行访问外网”后，蜜罐可以使用管理节点设备的网络资源。开启存在安全风险，如非必要不建议开启。

5.3 创建蜜罐这里以前面创建的OA模板创建举例在蜜罐管理页面，点击新增蜜罐，编辑设定蜜罐名称，勾选设置该蜜罐运行在蜜网work区，并选择高级-自定义web（python）3.6.5类型，选择自定义创建的OA系统模板，预览确认。

5.4 绑定蜜罐服务到对应探针

a）探针状态编辑和检查

探针管理页面，点击选定的探针进入该探针的编辑页面，开启ping扫描检测和ARP欺骗检测选项：

b）探针绑定蜜罐服务

在探针管理页面，点击选定的探针进入该探针的编辑页面，可看到探针基础信息，包含探针名称，IP，检测设置和服务状态等信息，可直接点选绑定服务选项，进行绑定蜜罐服务配置。点击添加服务按钮，可将新创建的蜜罐服务绑定到该探针上。编辑完成后返回上一级页面，等待探针服务绑定完成，且服务状态显示正常。同理，其他蜜罐均需执行类似的绑定操作，才会启用生效。查看已绑定服务情况：