LiShengMing
发布于

【谛听】D-Sensor伪装欺骗系统硬件部署-探针端(ubuntu)

硬件探针部署概览

适用于预安装操作系统为Ubuntu 20.04的硬件版探针设备,仅配置了 root 密码,没有配置⽹络参数,因此拿到⼀台设备之后需要的操作流程为:

1.配置⽹卡参数(需要接⿏标键盘)
2.环境配置
3.修改root密码为复杂密码
4.配置系统时间
5.把设备接⼊到⽣产⽹络中
6.安装谛听agent程序
7.绑定探针(绑定蜜罐服务和端⼝探测)
8.只允许特定的源IP 进⾏SSH登录(可选,建议配置)
9.修改默认SSH端⼝(可选,建议配置)

详细说明如下。

1.配置⽹卡参数

接上显示屏键盘,使⽤默认root账号密码 (从设备上标签查看或从长亭技术)登录设备,修改⽹卡参数⽂件:

vi /etc/netplan/99-eth0.yaml
或(以实际网卡配置文件为准)
vi /etc/netplan/00-installer-config.yaml

参数⽂件如下,有备注的为修改项,⽆备注的不需要修改:

   network:
     ethernets:
       mgt:
         addresses:
         - 192.168.1.1/24  #修改为已分配的管理地址和掩码
         routes:
         - to: default
           via: 192.168.1.2 #修改为已分配的管理地址对应的网关
         nameservers:
           addresses:
           - 8.8.8.8
         dhcp4: no
     version: 2

修改后:wq保存退出,执⾏:

sudo netplan apply #使网络配置生效
ifconfig 或 ip addr #查看 IP 是否已经配置正确
route -n #查看默认⽹关是否已经配置正确

2.环境配置

# 执行 umask 命令,设置为 0022
umask 0022

# Ubuntu 默认关闭 firewalld,如果是启用的,请执行下面的命令
systemctl stop firewalld
systemctl disable firewalld
systemctl status firewalld
 
# Ubuntu 默认关闭 selinux,如果是启用的,请执行下面的命令
setenforce 0
getenforce
sed -i "s/enforcing/disabled/g" /etc/selinux/config
cat /etc/selinux/config
 
# 如果 ufw 是存在并启用的,请执行下面的命令
ufw disable
ufw status

3.修改root密码为复杂密码

passwd root

4.配置系统时间

设置时区为 UTC 时区:

timedatectl set-timezone UTC

查看时间是否正确,如不准确则⼿动修改修改:

timedatectl #查看时间
date -s "2020-07-15 22:11:01" #⼿动修改
hwclock -w                    #同步系统时间到硬件时间  
timedatectl set-local-rtc 0

5.接入网络

把设备接⼊到⽣产⽹络中

6.安装谛听agent程序

确认硬件探针可以连接管理节点的1337、1338端⼝,参考管理界⾯“探针管理”-“探针管理”-“添加探针”的说明安装探针,命令参考如下:

(创建⽂件夹并下载探针安装程序,命令中 172.16.37.30为管理节点的IP) mkdir /data/agent
cd /data/agent
wget --no-check-certificate https://172.16.37.30:1338/ag/install_agent_64

(安装探针,命令中 740...df1 为管理界⾯ “个⼈中⼼” 中⽣成的 token) chmod a+x install_agent_64
./install_agent_64 --host 172.16.37.30 --token 7406e5616879b6df1

7.绑定探针(绑定蜜罐服务和端⼝探测)

  • a、在管理界⾯ “探针管理”→“探针管理” 中找到新增的探针,绑定蜜罐服务、⼀键监听剩余 TCP 探测⾏为。
  • b、然后使⽤ telnet 的⽅式探测当前探针的 IP 以及蜜罐服务对应的端⼝,确保能产⽣ “蜜罐⼊侵⽇志”、“端⼝探测⽇志”。

8.只允许特定的源IP 进⾏SSH登录(可选,建议配置)

vi /etc/hosts.allow #增加⼀⾏,允许以下特定的IP登录
sshd:1.1.1.1,1.1.1.2:allow
vi /etc/hosts.deny #增加⼀⾏,拒绝所有
sshd:all:deny 
systemctl restart sshd

9.修改默认SSH端⼝(可选,建议配置)

vi /etc/ssh/sshd_config #例如要改成9002,增加以下⼀⾏
Port 9002
systemctl restart sshd
关于产品 #谛听#安装部署
浏览 (615)
点赞 (5)
收藏
打赏
评论