百度Openrasp开源的应用运行时自我保护产品,安装教程。
第一步: 下载最新版本的安装包
https://packages.baidu.com/app/openrasp/release/latest/rasp-php-linux.tar.bz2
解压到目录:/opt/rasp
bzip2 -d rasp-php-linux.tar.bz2
tar -xvf rasp-php-linux.tar
解压出来的文件夹会带日期版本号,不方便在PHP里设置open_base,所以文件夹更名移动
mv rasp-php-* /opt/rasp
给日志文件夹其他用户写入权限,也可以只给apache或者nginx运行用户的权限,要不然检测到攻击只会拦截,不会写日志。
chmod -R 777 /opt/rasp/logs
在phpinfo里查看php扩展的目录 extension_dir
cd /opt/rasp/php
选择对应的PHP版本扩展复制到扩展目录
cp /opt/rasp/php/linux-php5.6-x86_64/openrasp.so /php/56/lib/php/extensions
chmod 755 /php/56/lib/php/extensions/openrasp.so
修改php.ini文件,加入openrasp扩展
修改 php.ini
,或者创建 z-openrasp.ini
文件,添加如下内容:
; BEGIN OPENRASP
[openrasp]
extension=openrasp.so
openrasp.root_dir=/opt/rasp
; 远程管理配置,不需要不用配置
; openrasp.backend_url=
; openrasp.app_id=
; openrasp.app_secret=
; openrasp.remote_management_enable=1
; END OPENRASP
其中,openrasp.root_dir 表示刚才选择的 OpenRASP 安装目录,不填写则无法加载。对于其他配置参数,可参考其他配置文档进行调整。
安装检测插件
点击这里下载官方插件 plugins/official/plugin.js,并放置到 <openrasp.root_dir>/plugins/
目录,下载后自动加载并生效。
如果是fastcgi模式就重启php-fpm,
service php-fpm restart
1. 确认基本信息
在 web 目录下面,我们建立一个 info.php
,并填写如下内容
<?php phpinfo();?>
访问刚才创建的 info.php
,检查 openrasp
模块是否加载成功即可,e.g
如果你没有看到类似的信息,则说明扩展加载失败。常见原因有
- PHP版本和扩展版本不一致,比如 PHP 是 5.3 版本,但你安装了 PHP 5.6 版本的 openrasp.so
- INI 配置不正确,请参考 php error.log 里的错误消息
- 所有的错误消息都以
[OpenRASP] 错误码
开头,方便和其他日志进行区分 - 对于 apache/nginx,可以查看类似
/var/log/nginx/error.log
的路径
- 所有的错误消息都以
确认安装成功后,请删除 info.php
这个文件,以避免泄露敏感信息。
要比较注意open_base的设置,比如宝塔部署的话,是每个网站独立的open_base,一般是在网站根目录下的.user.ini,
FTP里是看不到这个文件的,需要在SSH输入
ls -a才能看到,由于限制了权限需要用chattr解除权限
chattr -i .user.ini
vi .user.ini
open_basedir=/www/:/tmp/:/proc/
在后面追加:/opt/rasp/logs
OpenRASP 正常拦截攻击,但是 alarm.log 没有日志
假设 OpenRASP 安装到了 /opt/rasp
,
- 检查 logs 目录是否有写权限
- 如果没有权限,可以执行
chmod 777 /opt/rasp/logs
增加权限 - 检查 SELinux 是否开启,可以执行
setenforce 0
关闭
- 如果没有权限,可以执行
- 检查 php error_log 是否有 OpenRASP 相关的错误日志
- 如果没有配置过,请在 php.ini 里开启,e.g
error_log = /tmp/php_error.log
- 如果没有配置过,请在 php.ini 里开启,e.g
- 检查 php open_basedir 是否关闭(或者将 /opt/rasp 加入到允许的路径里)
- 我们的 alarm 日志使用 PHP stream 写入,会受到这个配置的影响,e.g
PHP Warning: scandir(): open_basedir restriction in effect. File(/www/rasp/logs/alarm/alarm.lo
- 我们的 alarm 日志使用 PHP stream 写入,会受到这个配置的影响,e.g
百度Openrasp开源的应用运行时自我保护产品,安装教程。的更多相关文章
- phpstudy运行时出现没有安装VC库
系统默认的VC库是安装在C:\Program Files\Common Files\microsoft shared\VC的文件夹里,当运行PHP Study是出现如下的提示: 可以到下面的网站去下载 ...
- win7下无法安装QTP-少了Microsoft Visual c++2005 sp1运行时组件
问题是:当我点击QTP的setup.exe进行QTP安装时,出现提示[少了Microsoft Visual c++2005 sp1运行时组件,安装时会提示命令行选项语法错误,键入“命令/?”可获取帮肋 ...
- RASP Runtime Application Self-protection 运行时应用自我保护 介绍及优缺点
RASP 介绍 Runtime Application Self-protection 运行时应用自我保护 [图源:绿盟科技] 概念 Gartner (著名信息技术研究和分析厂商) 在2014年提出了 ...
- Android6.0运行时权限(基于RxPermission开源库)
版权声明:本文为HaiyuKing原创文章,转载请注明出处! 前言 在6.0以前的系统,都是权限一刀切的处理方式,只要用户安装,Manifest申请的权限都会被赋予,并且安装后权限也撤销不了. And ...
- 运行时应用自我保护(RASP):应用安全的自我修养
应用程序已经成为网络黑客想要渗透到企业内部的绝佳目标. 因为他们知道如果能发现并利用应用程序的漏洞,他们就有超过三分之一的机会成功入侵. 更重要的是,发现应用程序漏洞的可能性也很大. Contrast ...
- ASP.NET 5运行时升级到Beta5
在Visual Studio 2015 RTM和Windows 10正式发布之前,微软把开源.NET升级到了beta5,带来了一些增强和改变.和Visual Studio 2015 RC一起安装的AS ...
- 自定义注解之运行时注解(RetentionPolicy.RUNTIME)
对注解概念不了解的可以先看这个:Java注解基础概念总结 前面有提到注解按生命周期来划分可分为3类: 1.RetentionPolicy.SOURCE:注解只保留在源文件,当Java文件编译成clas ...
- iOS开发——高级特性&Runtime运行时特性详解
Runtime运行时特性详解 本文详细整理了 Cocoa 的 Runtime 系统的知识,它使得 Objective-C 如虎添翼,具备了灵活的动态特性,使这门古老的语言焕发生机.主要内容如下: 引言 ...
- AgileEAS.NET SOA 中间件平台5.2版本下载、配置学习(四):开源的Silverlight运行容器的编译、配置
一.前言 AgileEAS.NET SOA 中间件平台是一款基于基于敏捷并行开发思想和Microsoft .Net构件(组件)开发技术而构建的一个快速开发应用平台.用于帮助中小型软件企业建立一条适合市 ...
随机推荐
- 典型的MVC架构图
通常,当使用MVC时,应用程序中的每个逻辑部分都有一个单一的控制器.在这些控制器的前面还有一个Router:这是一个看门人,用于确定用户请求的内容,以便应用程序满足用户需要.常用php的mvc框架:Y ...
- 【Selenium01篇】python+selenium实现Web自动化:搭建环境,Selenium原理,定位元素以及浏览器常规操作!
一.前言 最近问我自动化的人确实有点多,个人突发奇想:想从0开始讲解python+selenium实现Web自动化测试,请关注博客持续更新! 二.话不多说,直接开干,开始搭建自动化测试环境 这里以前在 ...
- sparkRdd driver和excuter
//1 从内存中创建makeRdd,底层实现就是parallelize val rdd=sc.makeRDD(Array(1,2,"df",55)) //2 从中创建paralle ...
- pgsql中json格式数组查询结果变成了字符串
场景复原 最近使用到了json的数组,用来存储多个文件的值,发现在连表查询的时候返回结果变成了字符串. { "id": "repl-placeholder-007&quo ...
- JMock2入门
说明:学习JMock官网的Getting Started的笔记 例子:为测试publish/subscribe发布/订阅信息系统的publisher(发布者),mock subscriber(订阅者) ...
- Extjs入门——环境配置
Extjs框架作为一个07年就上线的框架,虽然与现在的框架对比,显得十分臃肿.但是在针对企业内部引用系统上,它依旧能发挥出不错的效果.现在我接触到了Extjs,所以我准备写一个入门框架,简单的介绍Ex ...
- 详解 Hashtable
至于HashTable,本人只想说,除了它们各自的特点是截然相反外,其余性质 以及 用法和HashMap的性质几乎一样, (有关Map集合的基本性质,请观看本人博文-- <详解 Map集合> ...
- 详解 通道 (Channel 接口)
在本篇博文中,本人主要讲解NIO 的两个核心点 -- 缓冲区(Buffer) 和 通道 (Channel)之一的 缓冲区(Buffer), 有关NIO流的其他知识点请观看本人博文<详解 NIO流 ...
- java面试题(一年工作经验)的心得
看面试题 正常人第一步肯定都会看面试题,我也不例外,在看的过程中,我发现有些文章写的不错,对我帮助不小值得推荐,如下: Java面试题全集(上) 很多基础的东西,建议先看. 各大公司Java后端开发面 ...
- 8. input限制手机输入
1. 只能输入数字: <input id="num" type="number" value="0" onkeyup="va ...