第一步: 下载最新版本的安装包

https://packages.baidu.com/app/openrasp/release/latest/rasp-php-linux.tar.bz2

解压到目录:/opt/rasp

bzip2 -d rasp-php-linux.tar.bz2
tar -xvf rasp-php-linux.tar

解压出来的文件夹会带日期版本号,不方便在PHP里设置open_base,所以文件夹更名移动

mv rasp-php-* /opt/rasp

给日志文件夹其他用户写入权限,也可以只给apache或者nginx运行用户的权限,要不然检测到攻击只会拦截,不会写日志。

chmod -R 777 /opt/rasp/logs

在phpinfo里查看php扩展的目录 extension_dir

cd /opt/rasp/php

选择对应的PHP版本扩展复制到扩展目录

cp /opt/rasp/php/linux-php5.6-x86_64/openrasp.so /php/56/lib/php/extensions

chmod 755 /php/56/lib/php/extensions/openrasp.so

修改php.ini文件,加入openrasp扩展

修改 php.ini,或者创建 z-openrasp.ini 文件,添加如下内容:

; BEGIN OPENRASP

[openrasp]
extension=openrasp.so
openrasp.root_dir=/opt/rasp

; 远程管理配置,不需要不用配置
; openrasp.backend_url=
; openrasp.app_id=
; openrasp.app_secret=
; openrasp.remote_management_enable=1

; END OPENRASP

其中,openrasp.root_dir 表示刚才选择的 OpenRASP 安装目录,不填写则无法加载。对于其他配置参数,可参考其他配置文档进行调整。

安装检测插件

点击这里下载官方插件 plugins/official/plugin.js,并放置到 <openrasp.root_dir>/plugins/ 目录,下载后自动加载并生效。

如果是fastcgi模式就重启php-fpm,

service php-fpm restart

1. 确认基本信息

在 web 目录下面,我们建立一个 info.php,并填写如下内容

<?php phpinfo();?>

访问刚才创建的 info.php,检查 openrasp 模块是否加载成功即可,e.g

如果你没有看到类似的信息,则说明扩展加载失败。常见原因有

  1. PHP版本和扩展版本不一致,比如 PHP 是 5.3 版本,但你安装了 PHP 5.6 版本的 openrasp.so
  2. INI 配置不正确,请参考 php error.log 里的错误消息
    • 所有的错误消息都以 [OpenRASP] 错误码 开头,方便和其他日志进行区分
    • 对于 apache/nginx,可以查看类似 /var/log/nginx/error.log 的路径

确认安装成功后,请删除 info.php 这个文件,以避免泄露敏感信息。

要比较注意open_base的设置,比如宝塔部署的话,是每个网站独立的open_base,一般是在网站根目录下的.user.ini,

FTP里是看不到这个文件的,需要在SSH输入

ls -a才能看到,由于限制了权限需要用chattr解除权限

chattr -i .user.ini

vi .user.ini

open_basedir=/www/:/tmp/:/proc/

在后面追加:/opt/rasp/logs

OpenRASP 正常拦截攻击,但是 alarm.log 没有日志

假设 OpenRASP 安装到了 /opt/rasp

  1. 检查 logs 目录是否有写权限

    • 如果没有权限,可以执行 chmod 777 /opt/rasp/logs 增加权限
    • 检查 SELinux 是否开启,可以执行 setenforce 0 关闭
  2. 检查 php error_log 是否有 OpenRASP 相关的错误日志
    • 如果没有配置过,请在 php.ini 里开启,e.g error_log = /tmp/php_error.log
  3. 检查 php open_basedir 是否关闭(或者将 /opt/rasp 加入到允许的路径里)
    • 我们的 alarm 日志使用 PHP stream 写入,会受到这个配置的影响,e.g

      PHP Warning:  scandir(): open_basedir restriction in effect. File(/www/rasp/logs/alarm/alarm.lo

百度Openrasp开源的应用运行时自我保护产品,安装教程。的更多相关文章

  1. phpstudy运行时出现没有安装VC库

    系统默认的VC库是安装在C:\Program Files\Common Files\microsoft shared\VC的文件夹里,当运行PHP Study是出现如下的提示: 可以到下面的网站去下载 ...

  2. win7下无法安装QTP-少了Microsoft Visual c++2005 sp1运行时组件

    问题是:当我点击QTP的setup.exe进行QTP安装时,出现提示[少了Microsoft Visual c++2005 sp1运行时组件,安装时会提示命令行选项语法错误,键入“命令/?”可获取帮肋 ...

  3. RASP Runtime Application Self-protection 运行时应用自我保护 介绍及优缺点

    RASP 介绍 Runtime Application Self-protection 运行时应用自我保护 [图源:绿盟科技] 概念 Gartner (著名信息技术研究和分析厂商) 在2014年提出了 ...

  4. Android6.0运行时权限(基于RxPermission开源库)

    版权声明:本文为HaiyuKing原创文章,转载请注明出处! 前言 在6.0以前的系统,都是权限一刀切的处理方式,只要用户安装,Manifest申请的权限都会被赋予,并且安装后权限也撤销不了. And ...

  5. 运行时应用自我保护(RASP):应用安全的自我修养

    应用程序已经成为网络黑客想要渗透到企业内部的绝佳目标. 因为他们知道如果能发现并利用应用程序的漏洞,他们就有超过三分之一的机会成功入侵. 更重要的是,发现应用程序漏洞的可能性也很大. Contrast ...

  6. ASP.NET 5运行时升级到Beta5

    在Visual Studio 2015 RTM和Windows 10正式发布之前,微软把开源.NET升级到了beta5,带来了一些增强和改变.和Visual Studio 2015 RC一起安装的AS ...

  7. 自定义注解之运行时注解(RetentionPolicy.RUNTIME)

    对注解概念不了解的可以先看这个:Java注解基础概念总结 前面有提到注解按生命周期来划分可分为3类: 1.RetentionPolicy.SOURCE:注解只保留在源文件,当Java文件编译成clas ...

  8. iOS开发——高级特性&Runtime运行时特性详解

    Runtime运行时特性详解 本文详细整理了 Cocoa 的 Runtime 系统的知识,它使得 Objective-C 如虎添翼,具备了灵活的动态特性,使这门古老的语言焕发生机.主要内容如下: 引言 ...

  9. AgileEAS.NET SOA 中间件平台5.2版本下载、配置学习(四):开源的Silverlight运行容器的编译、配置

    一.前言 AgileEAS.NET SOA 中间件平台是一款基于基于敏捷并行开发思想和Microsoft .Net构件(组件)开发技术而构建的一个快速开发应用平台.用于帮助中小型软件企业建立一条适合市 ...

随机推荐

  1. Java第十六天,list接口

    List接口 1.三大特点: ① 有序.② 有索引. ③ 允许存在重复元素. 注意: ① 利用list接口的索引执行操作时,要防止索引越界引起的程序错误. 2.基本使用: 针对List接口有索引的特点 ...

  2. redis修改密码以及验证登录,启动服务常用命令

    1.通过配置文件,直接修改 2.启动然后使用密码验证登录 3.redis常用命令 启动服务:redis-server --service-start重启服务:service redis restart ...

  3. ArrayList、LinkedList和Vector源码分析

    ArrayList.LinkedList和Vector源码分析 ArrayList ArrayList是一个底层使用数组来存储对象,但不是线程安全的集合类 ArrayList的类结构关系 public ...

  4. Python pip高级用法

    1.pip 高级用法为了便于用户安装和管理第三方库和软件,越来越多的编程语言拥有自己的包管理工 具,如 nodejs 的 npm, ruby 的 gem. Python 也不例外,现在 Python ...

  5. c++动态数组的优点,创建和删除

    动态数组可以有两种使用方式: 1:不能预先知道数组的大小使用动态数组 传统数组(静态数组)是需要在程序运行前,就指定大小,比如说 int i = 10; int a[i]; 这种就是不合法的. 因为函 ...

  6. 在linux中使用mailx发送邮件

    [root@ml ~]# yum -y install mailx   #安装 [root@ml ~]# vim /etc/mail.rc 在最后一行添加(我这里使用的是qq邮箱): @qq.com ...

  7. 微服务框架-Spring Cloud

    Spring Cloud入门 微服务与微服务架构 微服务架构是一种新型的系统架构.其设计思路是,将单体架构系统拆分为多个可以相互调用.配合的独立运行的小程序.这每个小程序对整体系统所提供的功能就称为微 ...

  8. Qt发送一次信号触发两次槽函数的原因

    在手动为控件编写槽函数的时候,如果将槽函数名字按如下格式编辑,则不需要再次进行手动关联 void on_pushButton_1_clicked(); void on_radioButton_clic ...

  9. Python递归爬取头条用户的所有文章、视频

    前言 文的文字及图片来源于网络,仅供学习.交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理. PS:如有需要Python学习资料的小伙伴可以加点击下方链接自行获取http ...

  10. 多线程高并发编程(6) -- Semaphere、Exchanger源码分析

    一.Semaphere 1.概念 一个计数信号量.在概念上,信号量维持一组许可证.如果有必要,每个acquire()都会阻塞,直到许可证可用,然后才能使用它.每个release()添加许可证,潜在地释 ...