安全运维笔记


nebula风控系统

<h3>nebula风控系统</h3> <p>地址:<a href="https://github.com/threathunterX/nebula">https://github.com/threathunterX/nebula</a> Docker 安装 安装一些必要的系统工具: sudo yum install -y yum-utils device-mapper-persistent-data lvm2 添加软件源信息: sudo yum-config-manager --add-repo <a href="http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo">http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo</a> 更新 yum 缓存: sudo yum makecache fast 安装 Docker-ce: sudo yum -y install docker-ce 至此已经安装完 Docker-ce 了, 请输入以下命令查看安装是否完成 docker -v 正确的提示, 版本号可能有所不同 Docker version 18.09.0, build 4d60db4 设置Docker开机自启: sudo systemctl enable docker docker-compose 安装 接下来安装 docker-compose, 首先更新 curl 工具 yum update curl 然后下载 docker-compose 并安装, 只需要执行以下命令即可 sudo curl -L &quot;<a href="https://github.com/docker/compose/releases/download/1.23.1/docker-compose-$(uname">https://github.com/docker/compose/releases/download/1.23.1/docker-compose-$(uname</a> -s)-$(uname -m)&quot; -o /usr/local/bin/docker-compose 加入执行权限: sudo chmod +x /usr/local/bin/docker-compose 接下来输入以下命令验证, 可能会出现以下情况 docker-compose -v 可以进入到 /usr/local/bin/ 查看 docker-compose 是否已经存在, 并执行以下命令验证 cd /usr/local/bin/ ./docker-compose -v 实际上在其他地方无法使用 docker-compose 是环境变量的问题, 只要添加环境变量即可, 首先编辑以下文件 vim /etc/profile 然后在最后一行添加以下环境变量, 如下所示(以及附带图片展示) export PATH=&quot;/usr/local/bin/:$PATH&quot; 然后输入以下命令使配置文件生效, 接下来就可以使用 docker-compose 了 source /etc/profile TH-Nebula 安装 安装步骤 拉取Docker镜像: git clone --recursive <a href="https://github.com/threathunterX/nebula.git">https://github.com/threathunterX/nebula.git</a> cd nebula docker-compose pull 运行安装脚本 ./ctrl.sh install 启动系统 ./ctrl.sh start 查看运行状态 ./ctrl.sh status 流量抓取客户端sniffer安装 安装步骤 拉取Docker镜像: git clone --recursive <a href="https://github.com/threathunterX/sniffer.git">https://github.com/threathunterX/sniffer.git</a> cd sniffer docker-compose pull 进入目录: cd sniffer 配置修改: 配置文件docker-compose.yml(直接修改此文件即可)</p> <p>environment:</p> <ul> <li>REDIS_HOST=127.0.0.1 # 远程redisIP</li> <li>REDIS_PORT=16379 # 远程redis端口</li> <li>NEBULA_HOST=127.0.0.1 # 远程nebula服务IP</li> <li> <p>NEBULA_PORT=9001 # 远程nebulaIP</p> </li> <li> <p>SOURCES=default # 数据源,支持多源</p> <h1>default,使用bro抓取网卡流量</h1> </li> <li>DRIVER_INTERFACE=eth0 # 监听网卡</li> <li>DRIVER_PORT=80,9001 # 业务服务端口</li> <li>BRO_PORT=47000 启动停止镜像: 1) 启动镜像 docker-compose up -d 2) 停止镜像<br /> docker-compose down 其他说明 9001 端口为 TH-Nebula的http端口, 可通过 <a href="http://IP:9001端口的方式访问">http://IP:9001端口的方式访问</a> TH-Nebula界面 管理员:threathunter_test :threathunter 超级管理员:threathunter :threathunter</li> </ul>

页面列表

ITEM_HTML