• HummerRisk 快速入门教程


    1、一键部署

    1. 部署服务器要求

    • 操作系统要求:任何支持 Docker 的 Linux x64
    • CPU内存要求:最低要求 4C8G,推荐 8C16G
    • 部署目录空间(默认/opt目录)要求: 50G
    • 网络要求:可访问互联网(如遇内网环境,理论上除公有云安全检测、Github源码检测外,其他功能可照常使用)

    2. 执行以下脚本进行一键安装:curl -sSL https://github.com/HummerRisk/HummerRisk/releases/latest/download/quick_start.sh -o quick_start.sh

    3. HummerRisk 是一款 B/S 架构的产品,即浏览器/服务器结构,在服务器安装完成后,客户端通过浏览器访问以下地址,即可开始使用。

    • http://目标服务器 IP 地址:服务运行端口,例如:http: 82.157.130.20:80(默认端口为80,用户可在安装时自定义)
    • 使用默认用户名 admin 密码 hummer 进行登录。

    2、模块介绍

    HummerRisk 主界面后可以看到界面左侧导航栏,有【首页】【混合云安全】【云原生安全】【任务编排】【检测管理】【系统设置】六大模块
    1ee17080cb8b9226071e90c47bdcb817.jpeg

    3 、快速上手

    3.1 场景一:混合云安全

    3.1.1 绑定账号

    添加/编辑云账号

    • 进入云账号设置页面,首先需要绑定多云的账号信息(Access Key ID / Access Key Secret)。
    • 点击左上角「创建云账号」按钮,可以添加云账号。
    • 通过对应的云平台,获取账号信息(一般为AK/SK),填写信息并绑定,自动获取区域和认证等信息。
    • 更详细的账号配置操作请参考 多云检测

    6b11f0a5dc7cbc73a51f716fc0ac2d51.jpeg

    • 绑定完成后系统会自动校验账号的状态,状态显示为『有效』时即为绑定成功。
    • 点击账号列表中操作按钮的第三个「编辑」,对已绑定的账号进行编辑。

    9eecd64c5b74bffd863fb8500d4a2938.jpeg

    云账号调参 因为检测规则的参数可以灵活配置,不同的云账号可以有不同的安全合规标准,所以在此页面用户可以根据自身需求自定义规则的参数与任意区域。

    • 通过账号列表第二个调参按钮,打开云账号调参页面。
    • 保存参数后,执行检测将优先执行当前调参内容,而且在调参页面可以快速执行某一规则的某些区域快速检测。(注:不设置调参内容不影响检测,检测内容为内置默认参数和所有待检测区域)

    3e85687e134be6289a69c394a7e5bb40.jpeg

    3.1.2 执行检测

    基于规则组进行检测

    • 多云检测基于规则组进行场景检测的,例如检测 Aliyun ECS 最佳安全实践,将检测此规则组下一系列规则,达到覆盖场景的目的。 有两种方式可以快速开始检测:
    • 通过云账号列表第一个「一键检测」按钮选取多个规则组执行一键检测。
    • 在规则组页面,选择希望执行的规则,选取某个云账号执行快速检测。

    3d186c2f2d260c0c98b324d3ff0defbb.jpeg5fd26fe3f3210c0581494acf70e58c3e.jpeg
    云资源检测结果

    • 在点击上述一键检测后,将自动跳转云资源检测结果页面,检测结果将会显示正在执行。
    • 等待检测执行完毕后获得检测结果的安全合规信息与优化建议。

    570e08dc9fc8a67af6c7f46c481461b8.jpeg

    • 漏洞检测主要用于扫描网络信息安全,通过设置目标地址信息即可。
    • 绑定的目标地址可以是域名,也可以是 IP + 端口。

    7e5173a6aa9cdd0be823f817a7bcdbcd.jpeg

    • 完成上述漏洞设置后,点击一键检测,将自动跳转漏洞检测结果页面,检测结果将会显示正在执行。
    • 等待检测执行完毕后,获得检测结果的漏洞信息与优化建议。

    22845db77a95b166101ea110a53494c7.jpeg

    3.1.3 查看报告

    云资源合规报告

    • 待云资源检测完毕后,根据检测结果生成合规报告,用户可查看和下载合规报告。 详细的合规报告相关操作,请参考文档的 多云检测

    b257c51f6178f3f39ee8da976cd564b3.jpeg

    3.1.4 分析和审计

    操作审计

    • 云操作审计,帮助您监控并记录多云账号的活动,包括通过云控制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为。
    • 用户可以查看这些行为事件,然后进行行为分析、安全分析、资源变更行为追踪和行为合规性审计等操作。

    84c89290c38bb28298e232616dbc7bca.jpeg

    资源态势

    • 根据绑定混合云账号信息,即可同步获取云资源汇总信息。
    • 执行检测后,可以自动关联云资源态势信息,可以查看到具体哪些资源具有安全合规风险。

    3e441015b1b188e9c0ea279f0e6b7b4d.jpeg

    3.2 场景二:云原生安全

    3.2.1 前置 K8s 配置

    K8s 检测前置条件使用云原生 K8s 安全检测任务前需在 k8s 集群上安装 tirvy-operator

    1. 使用云原生 K8s 安全检测任务前需在 k8s 集群上安装 tirvy-operator
    2. # 1.添加 chart 仓库
    3. helm repo add hummer https://registry.hummercloud.com/repository/charts
    4. # 2.更新仓库源
    5. helm repo update
    6. # 3.开始安装, 可以自定义应用名称和NameSpace
    7. helm install trivy-operator hummer/trivy-operator \
    8. --namespace trivy-system \
    9. --set="image.repository=registry.cn-beijing.aliyuncs.com/hummerrisk/trivy-operator" \
    10. --create-namespace --set="trivy.ignoreUnfixed=true"
    11. # 4.检测operator是否启动成功
    12. kubectl get pod -A|grep trivy-operator
    13. trivy-system trivy-operator-69f99f79c4-lvzvs 1/1 Running 0 118s

    K8s 账号添加校验

    1. 确定部署 hummerrisk 的主机可以访问该 k8s 集群的 6443 端口,需要网络可达、端口可以通,如果不通可以检查防火墙;
    2. 确定提供的 k8s Token 有足够的权限,hummerrisk 会通过该 Token 调用 k8s apiserver 的 api
    3. k8s token 权限可以参考如下

    创建 ServiceAccountcat

    1. cat <<EOF > hummer-sa.yaml
    2. apiVersion: v1
    3. kind: ServiceAccount
    4. metadata:
    5. name: hummer
    6. namespace: kube-system
    7. EOF

    创建 clusterrolebinding

    1. cat <<EOF > hummer-clusterrolebinding.yaml
    2. apiVersion: rbac.authorization.k8s.io/v1
    3. kind: ClusterRoleBinding
    4. metadata:
    5. name: hummer-user
    6. roleRef:
    7. apiGroup: rbac.authorization.k8s.io
    8. kind: ClusterRole
    9. name: cluster-admin
    10. subjects:
    11. - kind: ServiceAccount
    12. name: hummer
    13. namespace: kube-system
    14. EOF

    创建资源

    1. kubectl create -f ./hummer-sa.yaml
    2. kubectl create -f ./hummer-clusterrolebinding.yaml

    获取 token

    1. # 获取 token
    2. kubectl -n kube-system describe secret $(kubectl -n kube-system get secret | grep hummer | awk '{print $1}') | grep token: | awk '{print $2}'

    3.2.2 检测 K8s 风险⚓︎

    Kuberbetes 配置

    • K8s 配置与云原生 K8s 环境安全检测功能,绑定 K8s Url 与 Token 信息即可进行安全检测,并生成安全漏洞结果。
    • K8s 平台环境有四种:分别是 Kubernetes、Rancher、OpenShift、KubeSphere。

    dbe6cef0c34a15e43d04a9b2633b6865.jpeg847386feac83a754f32d0c0f9516cce1.jpeg

    K8s 检测结果

    • K8s 检测结果,主要展示 K8s 环境的漏洞安全信息和配置审计风险信息。

    ebe0f3ae1b830bcecbe434a97f08d1d0.jpeg71b3cc7c76ebefb6274de9f6e60695db.jpeg
     

    K8s 资源态势

    • 资源态势功能,绑定 K8s 环境信息,即可获取 K8s 的 Namespace、Pod、Node、Deployment、Service 等20余种资源信息。
    • 绑定完 K8s 账号是可以自动获取资源态势信息的。
    • 同时,也可以在同步日志页面手动获取资源态势信息。
    • 手动创建同步任务,即可查看同步资源数与同步状态。

    5d4144d7a9003ce11359c8beef44514f.jpeg

    3.2.3 检测部署文件

    K8s 部署配置

    • K8s 部署检测功能,输入 K8s 部署配置 YAML 文件,即可进行部署检测,输出部署配置检测结果。

    7b5232146191b74982b321121120fd6a.jpeg

    部署检测结果

    • 针对部署文件(YAML),一键执行检测后展示结果。
    • 用户可以根据检测结果的提示,修改对应的 YAML 文件内容,达到最佳要求。

    a5e11d24db30fcb54d9f6b9e0819f53c.jpeg
    3b51bed5598c4f4cafad5314557a337a.jpeg
    a447e8e0f566acd3a77855a31082dd33.jpeg

    3.2.4 检测镜像风险

    镜像仓库

    • 用户可以绑定镜像仓库,之后检测的镜像可以从绑定的镜像仓库中查找和获取。
    • 镜像仓库类型:目前支持四种类型 harbor、dockerhub、nexus 和 other。如果选择 other 不会同步镜像,只做登录验证。
    • 镜像仓库中同步的镜像列表,可以直接执行检测,直接跳转到检测结果页面。(这个过程也会默认在镜像管理中新建一条数据)

    690aefba504a0e38d853dd24a16b6c75.jpeg

    镜像管理

    • 在镜像管理页面,我们可以对具体需要检测的镜像进行管理。
    • 镜像列表中会显示出已经创建成功的待检测镜像,列表会显示出镜像的名称、状态、地址等信息。
    • 通过校验的镜像,镜像状态会显示为 [有效],可以对其执行检测。
    • 镜像可以是公有镜像,也可以是私有镜像。可以手动填写镜像地址,上传镜像tar包,也可以从镜像仓库中选择同步的镜像。
    • 在镜像列表中,选择希望执行检测的镜像,点击列表后的[检测]按钮,确认后系统就会对该镜像进行检测。

    b4151d7efa1306c8addca752a8a909d8.jpeg6467152bc59b5c0e102d780be9bfedcb.jpeg

    镜像检测结果

    • 镜像检测结果列表,展示镜像的漏洞信息。

    70a51c68e2a81054487910dd686fcbef.jpeg
    159620237fd4107af8d2972ce96d6d22.jpeg

    3.2.5 检测主机风险

    添加 统一凭据

    • 用户可以在统一凭据页面将常用的或重复的主机认证进行保存,这样在创建主机的过程中可以直接绑定,方便操作防止重复拷贝。
    • 新建、修改主机信息时,可灵活绑定凭据,统一凭据有三种类型,密码、密钥字符串、密钥文件。

    534c7c7b57e4a166ac46d34fbf2bbe95.jpeg

    添加主机 & 执行检测

    • 主机管理列表页面提供了对主机分组、主机的创建、删除、编辑、查找、校验、检测等操作。
    • 创建主机时,可以为多个主机批量添加统一凭据,也可以分别为主机添加凭据。
    • 目前只针对 Linux 操作系统类型的主机。

    6aa2f910d7ceb5ac185a2cf897db30ee.jpeg989a80dfacee85e5c0cc6c9b1fff4ae3.jpeg


    主机检测结果

    • 在主机管理界面,选中待检测主机,一键执行后将自动跳转到主机检测结果页面。
    • 主检测结果页面将只会保留最新的一次检测结果,历史检测结果请到主机检测历史记录中查看。
    • 点击检测状态按钮,可以查看检测结果日志详情。

    d648feb0c6f31cc1deee4fa20d4a8294.jpeg831f963c7be7f54a932a52d1eb7bce00.jpeg

    3.2.6 检测项目风险

    项目源码配置

    • 在源码检测部分,通过对源码依赖的扫描,发现项目中存在的漏洞。
    • 目前绑定仓库支持两种类型:GitHub 和 GitLab 。
    • Token 的获取:首先私有仓库需要填入Token,公有仓库无需填写Token。

    52b2663629a5d1860d75d70df62ad0e9.jpeg52d5d35bdada957e93a739ea8434da65.jpeg

    源码检测结果

    • 源码检测,可以针对 branch 分支、可以针对 tag 标签、可以针对 commit 某次提交。
    • 源码检测结果列表,展示源码项目依赖的漏洞信息。

    d23f456ef632a53b38f06c3b7a018b83.jpegf72b7fc6c697bda44847b35295a2a46d.jpeg


    依赖文件管理

    • 对于源码检测的补充,如果只想检测源码项目的依赖文件检测,可以上传对应的文件进行检测。
    • 依赖文件可以是单个文件,也可以是文件夹的压缩文件。
    • 依赖文件的格式,例如 java 的 pom.xml,vue 的 package.json 或 yarn.lock 等。

    fb19b23286a0068ae3ca4faa9c5cf0e7.jpeg

    6dc14c462e04ff8a59821a1cd931f0ed.jpeg

    依赖文件检测结果

    • 依赖文件检测结果列表,展示项目依赖的漏洞信息。

    ab22e3b237f8b18e2b5a2507976dee8d.jpeg

    4 、参考信息

    HummerRisk 文档

  • 相关阅读:
    PBR纹理的10种贴图
    POJ1094Sorting It All Out题解
    JVM常用的一些参数
    【OpenCV】 红绿灯识别检测
    Redis非关系型数据库
    LocalDateTime的使用
    [100天算法】-最短无序连续子数组(day 66)
    SQLite使用
    MMORPG网络游戏开发之Protobuf的基本使用
    day36 XSS跨站&MXSS&UXSS&FlashXSS&PDFXSS
  • 原文地址:https://blog.csdn.net/wolaisongfendi/article/details/127768667