오픈소스 EDR 시스템 GRR(Google Rapid Response) 설치하기

그동안 학교 지메일과 구글 드라이브를 열심히 사용했는데, 앞으로 졸업생의 계정을 삭제한다고 한다.

대학원 졸업도 얼마 남지 않았을 뿐더러 나는 그동안 학부 계정을 열심히 사용해왔기 때문에..

드라이브 속 많은 파일들을 외장하드에 옮겨야만 했다.

 

이런 일도 있고 하니, 그동안 만들어왔던 파일들과 실험 내용들 중 일반적인 내용들을 블로그에 기록해두면 좋겠다는 생각이 들었다.

정말 나의 기록장, 마이 보안 다이어리답다.

 

---

오늘은 1탄!

GRR 설치 가이드이다.

 

GRR은 구글에서 나온 오픈소스 EDR 시스템이다. 

https://github.com/google/grr

GitHub - google/grr: GRR Rapid Response: remote live forensics for incident response

 

상세 내용은 독스에 잘 설명되어 있기도 하고, 그동안 연구했던 내용에 모두 포함되어 있다.

오늘은 설치 가이드를 위주로 작성하려고 한다.

 

설치는 VMware 가상머신에서 진행했고, 환경은 Ubuntu 18.04.4 LTS에서 진행했다.

이 외에도 20.04, 21.04 LTS에서도 실험해봤었는데 모두 성공적으로 설치할 수 있었다.

 

GRR은 서버, 클라이언트가 나누어져 있기 때문에 설치 과정에도 차이가 있다.

 

서버, 클라이언트 공통 설치 과정

0. 먼저 처음 가상머신을 설치했다면 아래 과정을 기본으로 진행해준다.

sudo apt-get install net-tools
sudo su
apt-get update -y

1. maria DB 설치

이 과정은 root 권한으로 변경 후 진행해야 한다.

apt-get install mariadb-server -y
mysql_secure_installation

위 과정을 진행하면, 아래와 같이 질문이 나오고 간단히 대답을 해주면 된다.

Enter current password for root (enter for none): enter
Set root password? [Y/n]: N
Remove anonymous users? [Y/n]: Y
Disallow root login remotely? [Y/n]: N
Remove test database and access to it? [Y/n]: Y
Reload privilege tables now [Y/n]: Y

그리고나서 아래 과정을 진행해준다.

mysql -u root -p
MariaDB [(none)] > CREATE DATABASE grr;
MariaDB [(none)] > GRANT ALL PRIVILEGES ON grr.* TO ‘grr’@’localhost’ IDENTIFIED BY ‘password’ WITH GRANT OPTION; (복사, 붙여넣기 하지말고 직접 입력하기)
MariaDB [(none)] > FLUSH PRIVILEGES;
MariaDB [(none)] > EXIT;

EXIT;을 하고 나서,

systemctl restart mariadb로 터미널에서 mariadb를 재시작해준다.

+) systemctl status mariadb로 현재 상태를 확인할 수 있다. 

 

서버 설치 과정

서버를 설치하기 위해, deb 파일을 다운로드 해야한다.

나는 그동안 3.4.0-1 버전을 사용했는데, 버전 업데이트가 되었다면 그에 맞게 설치해주어야 한다.

버전이 몇인지 모르겠다면 wget https://github.com/google/grr/releases에서 확인해볼 수 있다.

(현재는 3.4.6.0이 최신이라고 나온다.)

wget https://storage.googleapis.com/releases.grr-response.com/grr-server_3.4.0-1_amd64.deb
sudo apt install -y ./grr-server_3.4.0-1_amd64.deb

이후에는 계속 엔터를 치면서 넘어가고, IP를 입력하는 부분이 나오면 서버의 IP를 입력해준다.

그리고 Please enter password for user 'admin' 에서는 GRR에 접속할 때 사용할 비밀번호를 입력해주면 된다.

 

설치를 완료했다면, systemctl restart grr-server로 서버를 재실행해준다.

 

재실행을 한 다음, 웹 페이지에서 서버의 IP주소:8000 로 접속하면 로그인 창이 나오는데, 

이때는 admin/비밀번호(이전에 설정한 것)을 입력하면 접속할 수 있다.

GRR 접속 화면

 

클라이언트 설치 과정

클라이언트의 경우, 공통 설치 과정을 거친 후에 진행한다.

그리고 웹 페이지에서 위에서와 같이 서버IP:8000에 접속한다.

그리고 왼쪽의 Binaries 탭에 들어간 다음, linux/installers/grr_3.4.0-1_amd64.deb 버전을 다운로드 하면 된다.

이때, 단순하게 다운로드만 하는 것이 아니라, 다운로드 한 파일을 실행시켜서 install로 설치해줘야 한다!

 

이 과정을 마무리하면, 서버 페이지에서 search box를 누르면 온라인 상태의 클라이언트를 확인할 수 있다!

 

처음 설치 가이드를 만드는 것은 어렵지만, 한번 만들어보면 다른 걸 설치할 때도 두려움이 없어진다.

그리고 한번 만들어두면 굉장히 편하다!