JiaShiChen
发布于

【牧云】牧云(CloudWalker)主机安全管理平台以及探针安装部署探针卸载

首次部署

安装步骤

  1. 验证安装包
    i. 确保安装包压缩文件、md5 校验值、解压密码均已提供
    ii. 校验 md5,确保输出与我们提供的 md5 一致
  $ md5sum ./cloudwalker.bin
  1. 根据实际磁盘空间,决定安装目录根据实际磁盘空间,决定安装目录(以下以 /data/cloudwalker 为例)
    安装目录的位置很重要,一般不推荐根目录或者家目录,防止给以后带来各种不必要的麻烦。建议挂载在单独的磁盘上,方便以后扩展升级。
  2. 创建安装目录
$ sudo mkdir -p /data/cloudwalker
  1. 执行安装程序
$ sudo chmod +x /cloudwalker.bin 
$ sudo ./cloudwalker.bin -C /data/cloudwalker
  1. 输入解压密码
  2. 完成安装
    若安装出现意外,自己不能解决,尽量保持现场,比如执行命令历史,终端输出等,联系技术支持人员解决

安装过程示例

执行以下命令,在输入密码后,等待完成即可

$ sudo ./cloudwalker.bin -C /data/cloudwalker
Password:
...
run cmd: COMPOSE_HTTP_TIMEOUT=600 docker-compose up -d
db is up-to-date
redis is up-to-date
Recreating cloudwalker ... done
check if user cloudwlaker created
create history not found, so create a new user: cloudwalker
create user succeed
load event name data
load data finished!
load vulndb data
DROP DATABASE
CREATE DATABASE
load vulndb data sucessfully
...

访问管理平台

  1. 管理平台安装完成后,打开浏览器访问 https://{server_ip}/
  2. 上传我司提供的许可证。
  3. 输入初始用户名和密码,初始用户名为 admin,初始密码见许可证信息页面。
  4. 点击 “登录” 开始使用管理平台。

安装主机探针安装主机探针

安装 Linux 探针

安装步骤

  1. 登录管理平台
  2. 访问页面 "资产清点”
  3. 点击“安装探针”按钮进入探针安装引导页面,探针安装操作分为简易模式和高级模式两种。
  4. 选择合适的安装方式,勾选操作系统版本为“Linux”,选择使用的业务组范围,复制安装安装命令进行安装。
  5. 若返回 “Chaitin Cloudwalker Agent has been installed.” ,表示探针安装成功,否则安装失败。
    若探针安装失败,可联系技术支持人员解决
    安装示例
$ curl -fsSL http://{server_ip}/api/agent/script | sudo sh
Chaitin Cloudwalker Agent will be installed in systemd mode.
Start downloading Chaitin Cloudwalker Agent.
Chaitin Cloudwalker Agent has been downloaded.
Created symlink /etc/systemd/system/multi-user.target.wants/cloudwalker-agent.service → /etc/systemd/system/cloud
walker-agent.service.
Chaitin Cloudwalker Agent has been installed.

批量安装探针

注意:为防止集中安装探针影响管理服务稳定性,批量安装建议合理控制速度,通常情况下不要在 1 分钟内安装超过 10 个探针。使用第三方运维平台推送若使用了第三方运维平台管理服务器,直接使用运维平台批量推送探针安装命令即可。借助脚本批量登录 ssh 安装若无第三方运维平台支持,可使用脚本批量登录 ssh 服务来推送安装命令。创建数据文件 hosts.lst ,写入以下内容,文件内容每行是一条服务器信息,包含 4 列,分别为:服务器 IP 地址、ssh 服务端口号、登录用户名、登录密码。

192.168.0.1 22 root password1
192.168.0.2 22 root password2
192.168.0.3 22 root password3
192.168.0.4 22 root password4

执行以下命令创建批量安装脚本 install.sh
注意替换命令中的 server_address 为管理服务地址

  awk '{printf "sshpass -p %s ssh %s@%s -p %s \"curl -kfsSL http://server_address/api/agent/script | sudo sh\"\n",$4,$3,$1,$2}' hosts.lst > install.sh

执行以下命令开始批量安装
注意:该脚本需要依赖 sshpass ,请提前安装

  bash ./install.sh

安装 Windows 探针

安装步骤

  1. 登录管理平台.
  2. 访问页面 "资产清点”.
  3. 点击“安装探针”按钮进入探针安装引导页面,探针安装操作分为简易模式和高级模式两种
  4. 选择合适的安装方式,勾选操作系统版本为“Windows”,选择使用的业务组范围,复制安装安装命令进行安装。
  5. 若返回 “Chaitin Cloudwalker Agent has been installed.” ,表示探针安装成功,否则安装失败。
    若探针安装失败,可联系技术支持人员解决
    安装示例
DISPLAY: 'Chaitin-CloudWalker' TYPE: DOWNLOAD STATE: TRANSFERRED
PRIORITY: FOREGROUND FILES: 1 / 1 BYTES: 15839232 / 15839232 (100%)
Transfer complete.
 sample-period:
time="2019-12-14T16:39:22+08:00" level=info msg="waiting service stop"
time="2019-12-14T16:39:22+08:00" level=info msg="service deleted"
time="2019-12-14T16:39:22+08:00" level=info msg="files deleted"
time="2019-12-14T16:39:22+08:00" level=info msg="uninstall finished"
time="2019-12-14T16:39:22+08:00" level=info msg="files copied"
time="2019-12-14T16:39:22+08:00" level=info msg="tls directory created"
time="2019-12-14T16:39:22+08:00" level=info msg=identity-request
time="2019-12-14T16:39:23+08:00" level=info msg="installing agent"
time="2019-12-14T16:39:23+08:00" level=info msg="service installed"
time="2019-12-14T16:39:24+08:00" level=info msg="service started"
time="2019-12-14T16:39:24+08:00" level=info msg="install finished"
请按任意键继续. . .

批量安装方法

考虑到 Windows 下没有提供像 curl 这种 linux 好用的工具,同时部分加固后的 windows 主机在批量安装会失败,
无法给出一个一定稳定可用的命令。以下命令可供参考。

 certutil -urlcache -split -f http://{server_ip}/api/agent/batch c:\chaitin-cloudwalker.bat & c:\chaitin-cloudwalker.bat

主动安装探针

产品提供主动安装功能可直接远程登陆待安装探针服务器进行安装
配置要求
主动安装功能需要对待安装探针机器进行一些配置。
Linux
linux机器需要满足root用户可通过ssh进行用户名密码登陆。
Windows
windows机器需要满足Administrator用户可远程用户名密码登陆
如果使用winrm协议需要配置winrm,可支持Windows Server 2012 r2以上服务器。windows机器的winrm配置可参考 ansible的winrm配置文档 。目前winrm连接方式,支持http和https连接,仅支持ntlm认证方式。wmi远程登陆方式是实验性的功能,支持 Windows Server 2003以上服务器,需要135端口、445端口开放。如果需要,可通过 netsh firewall set service remoteadmin enable 开启。请评估安全性和自身需求决定。目前远程安装需要服务器支持Powershell。
主动安装探针csv格式说明
每行为一个主机的安装信息,从第一列开始依次是主机地址,认证方式,用户名,密码,业务组。
主机地址
可输入ip或者域名
认证方式
当前支持的认证方式有:

  1. ssh: ssh用户名密码登陆
  2. winrm-http-ntlm: winrm连接,使用http,认证方式为ntlm
  3. winrm-https-ntlm: winrm连接,使用https, 认证方式为ntlm
  4. wmi(实验性支持): windows rpc 和 smb 连接,认证方式为ntlm
    用户名
    安装探针的用户应该有足够的权限进行探针安装。
    业务组
    业务组需要输入以 / 分隔的绝对路径。
    示例
    以下是一份csv示例
10.2.19.104,winrm-http-ntlm,Administrator,Cloudwalker,根分组/演示业务组
10.2.19.103,wmi,Administrator,Cloudwalker,根分组/演示业务组
10.9.32.162,ssh,root,Cloudwalker,根分组/演示业务组

安装失败

安装失败时可下载详细安装日志,进行定位排查。可能的问题有连接问题、dns问题、用户认证问题、服务器软件支持问题等。请根据日志详情排查解决,或咨询支
持团队。

卸载主机探针卸载主机探针

卸载步骤

卸载单个探针

登录管理平台,访问“资产清点/主机列表“页面。点击主机信息列表中“操作”列的“ ”按钮,选中下拉列表中的“卸载
探针”选项,可对单个探针进行卸载操作,卸载的探针绑定的主机相关信息也会被删除。

批量卸载探针

点击“批量操作”按钮,进入批量操作模式。选择多条主机信息,选中下拉列表中的“卸载探针”选项,进行批量卸载
操作。批量操作步骤如下图所示。

异常情况卸载方案

在实际使用中可能会遇到服务端被停用等异常情况,此种场景下无法通过服务端管理界面进行探针卸载操作,提供以下卸载方案供参考。
注意:如非遇到服务端异常等情况,不要使用以下卸载方案,请务必按照正常卸载步骤进行操作。
卸载 Linux 探针
执行命令时,在 linux 下当前目录不能是 /etc/cloudwalker-agent/ ,否则可能会导致卸载失败。

1. 执行 service cloudwalker-agent stop 停止探针服务。
2. 依次执行 cloudwalker-upgrader uninstall 和 cloudwalker-upgrader undeploy 卸载探针。

卸载 Windows 探针

执行命令时,在 Windows 下当前目录不能是 C:\ProgramData\Chaitin\CloudWalker 和 C:\ProgramFiles\Chaitin\CloudWalker,否则可能会导致卸载失败。
1. 执行 net stop cloudwalker-agent 停止探针服务。
2. 依次执行 cloudwalker-upgrader uninstall 和 cloudwalker-upgrader undeploy 卸载探针。
关于产品
浏览 (1490)
点赞 (10)
收藏
打赏
评论