nebula风控系统
<h3>nebula风控系统</h3>
<p>地址:<a href="https://github.com/threathunterX/nebula">https://github.com/threathunterX/nebula</a>
Docker 安装
安装一些必要的系统工具:
sudo yum install -y yum-utils device-mapper-persistent-data lvm2
添加软件源信息:
sudo yum-config-manager --add-repo <a href="http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo">http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo</a>
更新 yum 缓存:
sudo yum makecache fast
安装 Docker-ce:
sudo yum -y install docker-ce
至此已经安装完 Docker-ce 了, 请输入以下命令查看安装是否完成
docker -v
正确的提示, 版本号可能有所不同
Docker version 18.09.0, build 4d60db4
设置Docker开机自启:
sudo systemctl enable docker
docker-compose 安装
接下来安装 docker-compose, 首先更新 curl 工具
yum update curl
然后下载 docker-compose 并安装, 只需要执行以下命令即可
sudo curl -L "<a href="https://github.com/docker/compose/releases/download/1.23.1/docker-compose-$(uname">https://github.com/docker/compose/releases/download/1.23.1/docker-compose-$(uname</a> -s)-$(uname -m)" -o /usr/local/bin/docker-compose
加入执行权限:
sudo chmod +x /usr/local/bin/docker-compose
接下来输入以下命令验证, 可能会出现以下情况
docker-compose -v
可以进入到 /usr/local/bin/ 查看 docker-compose 是否已经存在, 并执行以下命令验证
cd /usr/local/bin/
./docker-compose -v
实际上在其他地方无法使用 docker-compose 是环境变量的问题, 只要添加环境变量即可, 首先编辑以下文件
vim /etc/profile
然后在最后一行添加以下环境变量, 如下所示(以及附带图片展示)
export PATH="/usr/local/bin/:$PATH"
然后输入以下命令使配置文件生效, 接下来就可以使用 docker-compose 了
source /etc/profile
TH-Nebula 安装
安装步骤
拉取Docker镜像:
git clone --recursive <a href="https://github.com/threathunterX/nebula.git">https://github.com/threathunterX/nebula.git</a>
cd nebula
docker-compose pull
运行安装脚本
./ctrl.sh install
启动系统
./ctrl.sh start
查看运行状态
./ctrl.sh status
流量抓取客户端sniffer安装
安装步骤
拉取Docker镜像:
git clone --recursive <a href="https://github.com/threathunterX/sniffer.git">https://github.com/threathunterX/sniffer.git</a>
cd sniffer
docker-compose pull
进入目录:
cd sniffer
配置修改:
配置文件docker-compose.yml(直接修改此文件即可)</p>
<p>environment:</p>
<ul>
<li>REDIS_HOST=127.0.0.1 # 远程redisIP</li>
<li>REDIS_PORT=16379 # 远程redis端口</li>
<li>NEBULA_HOST=127.0.0.1 # 远程nebula服务IP</li>
<li>
<p>NEBULA_PORT=9001 # 远程nebulaIP</p>
</li>
<li>
<p>SOURCES=default # 数据源,支持多源</p>
<h1>default,使用bro抓取网卡流量</h1>
</li>
<li>DRIVER_INTERFACE=eth0 # 监听网卡</li>
<li>DRIVER_PORT=80,9001 # 业务服务端口</li>
<li>BRO_PORT=47000
启动停止镜像:
1) 启动镜像
docker-compose up -d
2) 停止镜像<br />
docker-compose down
其他说明
9001 端口为 TH-Nebula的http端口, 可通过 <a href="http://IP:9001端口的方式访问">http://IP:9001端口的方式访问</a> TH-Nebula界面
管理员:threathunter_test :threathunter
超级管理员:threathunter :threathunter</li>
</ul>