LiShengMing
发布于

【谛听】D-Sensor伪装欺骗系统硬件部署-探针端(centos)

硬件探针部署概览

适用于硬件版探针设备预安装操作系统为 Centos,仅配置了 root 密码,没有配置⽹络参数,因此拿到⼀台设备之后需要的操作流程为:

1.配置⽹卡参数、关闭selinux和firewalld(需要接⿏标键盘)
2.修改root密码为复杂密码
3.把设备接⼊到⽣产⽹络中
4.安装谛听agent程序
5.绑定探针(绑定蜜罐服务和端⼝探测)
6.配置系统时间
7.只允许特定的源IP 进⾏SSH登录(可选,建议配置)
8.修改默认SSH端⼝(可选,建议配置)

详细说明如下。

1.配置⽹卡参数

接上显示屏键盘,使⽤默认账号密码 (从设备上标签查看或从长亭技术)登录设备,修改⽹卡参数⽂件:

vi /etc/sysconfig/network-scripts/ifcfg-enp2s0

参数⽂件如下,有备注的为修改项,⽆备注的不需要修改:

TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static #修改为static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=enp2s0
UUID=d616fdbc-7292-4c8c-a708-baa6af88b556
DEVICE=enp2s0
ONBOOT=yes #修改为yes
IPADDR=172.16.37.17 #配置IP
PREFIX=24 #配置⼦⽹掩码
GATEWAY=172.16.37.2 #配置默认⽹关
IPV6_PRIVACY=no

修改后:wq保存退出,执⾏:

systemctl restart network
ifconfig 或 ip addr #查看 IP 是否已经配置正确
route -n #查看默认⽹关是否已经配置正确
systemctl disable firewalld #禁⽤firewalld
vi /etc/sysconfig/selinux #把 SELINUX 这⾏改为 “SELINUX=disabled“

2.修改root密码为复杂密码

passwd root

3.接入网络

把设备接⼊到⽣产⽹络中

4.安装谛听agent程序

确认硬件探针可以连接管理节点的1337、1338端⼝,参考管理界⾯“探针管理”-“探针管理”-“添加探针”的说明安装探针,命令参考如下:

(创建⽂件夹并下载探针安装程序,命令中 172.16.37.30为管理节点的IP) mkdir /data/agent
cd /data/agent
wget --no-check-certificate https://172.16.37.30:1338/ag/install_agent_64

(安装探针,命令中 740...df1 为管理界⾯ “个⼈中⼼” 中⽣成的 token) chmod a+x install_agent_64
./install_agent_64 --host 172.16.37.30 --token 7406e5616879b6df1

5.绑定探针(绑定蜜罐服务和端⼝探测)

  • a、在管理界⾯ “探针管理”→“探针管理” 中找到新增的探针,绑定蜜罐服务、⼀键监听剩余 TCP 探测⾏为。
  • b、然后使⽤ telnet 的⽅式探测当前探针的 IP 以及蜜罐服务对应的端⼝,确保能产⽣ “蜜罐⼊侵⽇志”、“端⼝探测⽇志”。

6.配置系统时间

设置时区为 UTC 时区:

timedatectl set-timezone UTC

查看时间是否正确,如不准确则⼿动修改修改:

date #查看时间
date -s "2020-07-15 22:11:01" #⼿动修改

如果使⽤NTP server,参考以下命令进⾏配置:

vim /etc/ntp.conf

打开编辑器后,把如下四⾏代码注释掉:
#server 0.centos.pool.ntp.org iburst 
#server 1.centos.pool.ntp.org iburst 
#server 2.centos.pool.ntp.org iburst 
#server 3.centos.pool.ntp.org iburst
再在最下⾯添加两⾏
server 172.16.37.2
fudge 172.16.37.2 stratum 0 systemctl start ntpd #172.16.37.2为NTP服务器地址

保存,执⾏:
systemctl enable ntpd
service ntpd status #查看ntpd同步状态
systemctl enable ntpd
ntpdate -u 172.16.37.2 #可以⼿动进⾏同步看是否能同步成功

7.只允许特定的源IP 进⾏SSH登录(可选,建议配置)

vi /etc/hosts.allow #增加⼀⾏,允许以下特定的IP登录
sshd:1.1.1.1,1.1.1.2:allow
vi /etc/hosts.deny #增加⼀⾏,拒绝所有
sshd:all:deny 
systemctl restart sshd

8.修改默认SSH端⼝(可选,建议配置)

vi /etc/ssh/sshd_config #例如要改成9002,增加以下⼀⾏
Port 9002
systemctl restart sshd
关于产品 #谛听#安装部署
浏览 (424)
点赞 (6)
收藏
打赏
评论