openRASP安装教程

RASP管理后台安装

首先需要两个数据库，Elasticsearch和MongoDB，es用来存储报警和统计信息，mongo用来存储应用、账号密码等信息。
目前对数据库的要求是

MongoDB版本大于等于3.6

ElasticSearch版本大于等于5.6，小于7.0

我们使用docker安装这两个数据库，因为数据库一旦错误可以删除docker环境重新搭建。

docker环境安装

ElaticSearch安装

因为版本要求在[5.6, 7.0)
我们这里安装6.5.4版本。

docker pull elasticsearch:6.5.4
docker run -d --user root -p 9200:9200 -p 9300:9300 --ip 172.17.0.1 --name elasticsearch --restart=always -e "discovery.type=single-node" elasticsearch:6.5.4

最后curl 127.0.0.1:9200，出现如下图所示，说明安装成功

MongoDB安装

docker pull mongo:latest
docker run -itd --name mongo -p 27017:27017 mongo

最后curl 127.0.0.1:27017，出现如下图所示，说明安装成功

安装管理后台

下载rasp-cloud
我这里使用的版本是1.2.1

wget https://packages.baidu.com/app/openrasp/release/1.2.1/rasp-cloud.tar.gz tar -zxvf rasp-cloud.tar.gz cd rasp-cloud-2019-11-05/ vim conf/app.conf

修改app.conf的配置，确保下图红框内填写的正确性，这里是连接es和mongodb的地方，如果前面步骤都和我一样，那么这里不用修改

然后开启rasp-cloud服务

./rasp-cloud -d

访问你的8086端口，默认密码openrasp/admin@123，若是部署在公网，记得及时修改密码，出现下图说明安装成功。

IAST插件安装及配置

IAST插件安装

接下来安装IAST插件
直接下载PyInstaller打包的二进制版本

wget https://packages.baidu.com/app/openrasp/openrasp-iast-latest -O /usr/bin/openrasp-iast

配置MYSQL数据库，建立名为openrasp的数据库，并且为rasp@%授权，这里示例密码为rasp123，请自行修改为强密码。使用root账号连接mysql并执行如下语句：

DROP DATABASE IF EXISTS openrasp; CREATE DATABASE openrasp default charset utf8mb4 COLLATE utf8mb4_general_ci; grant all privileges on openrasp.* to 'rasp'@'%' identified by 'rasp123'; grant all privileges on openrasp.* to 'rasp'@'localhost' identified by 'rasp123';

配置管理后台

打开云控管理后台，就是端口为8086的那个后台
在插件管理中，下发IAST插件，选择推送。

接着在防护设置->Fuzz服务器地址里填入openrast-iast所监听的URL

最后在系统设置->通用设置中，修改检测配置

单个hook点最大执行时间设置为5000

开始文件过滤器：当文件不存在时不调用检测插件设置为关闭

LRU大小设置为0
点击保存

配置并启动扫描器

在云控（8086那个端口）右上角添加主机->Fuzz工具安装找到fuzz工具安装命令，如下图所示。

如果修改过mysql的rasp用户的密码，这条链接也要修改密码，替换rasp123就好。
最后启动iast

openrasp-iast start

1

访问18664端口

成功

安装agent

agent安装是需要测试的靶机安装的。
我这里是自己搭建的一个dvwa，语言是php，所以安装的时候在云控机器中右上角选择添加主机，然后找到PHP服务器的安装过程。

按照这个安装就好了。
安装完成后在云控机器上选择主机列表，这里看到有了一个新的主机，说明agent搭建成功。

在靶机上随便点点，点一些有漏洞的点，在IAST的扫描器中会自动添加扫描任务

选择启动扫描，在发现漏洞后，云控主机会有漏洞列表。

docker container rm myubuntu  删除容器
docker run -it --name=myubuntu2 ubuntu /bin/bash  换名字
sudo docker container ls 查看docker

docker start elasticsearch
  396  docker start mongo
  397  docker ps -a
  398  curl 127.0.0.1:9200
  399  curl 127.0.0.1:27017
  400  cd rasp-php-linux
  401  cd rasp-cloud-2019-11-05
  402  ./rasp-cloud -d