mapWOC logo

Inhalt

Vorheriges Thema

mapWOC benutzen

Nächstes Thema

mapWOC-Konfigurationsdateien

Diese Seite

mapWOC-Cluster aufbauen

Zum Aufbau eines mapWOC-Clusters sind (mindestens) zwei Rechner notwendig. Beide Maschinen werden aufgesetzt und das mapWOC-System sowie die Abbilder der VMn installiert. Die beiden Rechner werden an das Netzwerk angeschlossen und entsprechend konfiguriert.

Ein Rechner R1 wird zum Master M ernannt. Zusätzlich wird auf R1 ein Knoten K1 eingerichtet. Master und Knoten laufen in der Regel unter zwei unterschiedlichen Benutzern auf R1.

Auf Rechner R2 wird ein Knoten K2 eingerichtet.

Für M wird ein SSH-Schlüsselpaar erzeugt und auf den beiden Knoten K1 und K2 bekannt gemacht (i.d.R. ~/.ssh/authorized_keys). Ferner benötigt der Master zum autorisierten Zugriff auf die Knoten deren Fingerprints (known_hosts).

Über jeweils eine mapWOC-Konfigurationsdatei werden die beiden Knoten K1 und K2 auf dem Master registriert.

Nach dem Start aller mapWOC-Dienste sind K1 und K2 in der Benutzeroberfläche unter dem Menüpunkt Knoten sichtbar.

Um den Knoten K2 aus dem Cluster herauszunehmen wird gegensätzlich gearbeitet: der SSH-Schlüssel des Masters A wird auf K2 entfernt. Ferner muss auf dem Master M die Konfigurationsdatei K2 entfernt werden. Nach Neustart der mapWOC-Dienste (master und node) besitzt M nur noch einen Knoten K1.

Konfiguration eines weiteren Knotens

Achtung

Die hier angegebene Konfiguration ist als Beispiel zu verstehen und sollte für den Produktivbetrieb sorgfältig mit vorhandener Infrastruktur und Sicherheitspolicy in Einklang gebracht werden.

  1. Pakete installieren:

    apt-get install mapwoc
  2. Nutzer einrichten:

    adduser --disable-password mapwoc
    usermod -a -G kvm mapwoc

    Bemerkung

    Dieser Schritt entfällt, wenn das Paket mapwoc-quick installiert wurde.

    Wichtig

    Folgende Schritte sind als Nutzer mapwoc auszuführen (sofern ausreichende Rechte vorhanden sind).

  3. Sicherstellen, dass der sshd Schlüssel-basierte Authentifizierung erlaubt:

    Dazu muss die Datei /etc/ssh/sshd_config die Zeile “PubkeyAuthentication yes” enthalten (Standard-Einstellung).

  4. Zugriff auf Resultate via öffentlichen Schlüssel (default: /var/lib/mapwoc/master/credentials/master_key.pub) vom master erlauben:

    mkdir ~/.ssh
    # master_key.pub vom Master auf Node kopieren.
    cat master_key.pub >> .ssh/authorized_keys
    rm master_key.pub
  5. Dem Master den Node-host bekannt machen.

    Entweder /home/mapwoc/.ssh/known_hosts auf master-seite per Hand anpassen oder mit

    ssh -i /var/lib/mapwoc/master/credentials/master_key ip-of-node
    

    SSH diesen Eintrag schreiben lassen (die aufkommende Frage ist dann mit ‘yes’ zu beantworten).

  6. Die Datei /etc/mapwoc/mapwoc-node.config anpassen, damit die Node auch nach außen lauscht:

    ctrl_interface=

    (Also das localhost nach dem “=” entfernen). Weitere Änderungen nur, wenn von den Default-Ports oder -Pfaden abgewichen werden soll.

  7. HC-Dateien für die node hinterlegen:

    Eigene Clients hinzufügen oder Demo-HoneyClient installieren.

  8. Auf der master-Seite ist eine node-configuration zu estellen:

    [remote-node]
    name=Remote Node
    description=This node runs on a different host than the master
    rsync_address=hostname
    ip=10.2.1.2
    port=18158

    (rsync_address und ip sind den Gegebenheiten anzupassen.)

  9. Netzwerk

    Es ist sicherzustellen, dass der Redirector-Port (i.d.R. 80) auf den master weitergeleitet wird (z.B. mit ssh port-forwarding oder rinetd). Wenn das Paket mapwoc-quick installiert wurde, gibt es in /etc/rinetd.conf bereits einen Eintrag:

    localhost             80       localhost         8123

    Um die rinetd-Weiterleitung auf den master zu biegen, muss das zweite localhost (connectaddress) durch die IP des masters ersetzt werden. Da der redirector standardmäßig nur auf localhost lauscht, muss dies auf dem master geändert werden. Dort ist in der Datei /etc/mapwoc/mapwoc-redirector.conf der Wert von redirector_interface= entfernt werden (Zeichen hinter dem “=” entfernen). Beide Dienste (rinetd auf der node, mapwoc-redirector auf dem master) müssen neu gestartet werden, damit die Änderungen wirksam werden.

  10. Die Node starten:

    mapwoc-node
    

    Bemerkung

    Auf den zusätzlichen Knoten müssen weder mapwoc-redirector, mapwoc-master noch die GUI gestartet werden. Es muss allerdings sichergestellt sein, dass die HoneyClients den Redirector auf dem master erreichen.

  11. Den Master neu starten:

    # Auf dem master
    mapwoc-master