收藏 备忘 读
安全服务工作中,漏洞的跟踪管理,应该是让大多数安全服务人员都头疼的事。业务系统少还好,一个Excel表格就解决了,而面对数十个不同的业务系统,邮件、报告满天飞,Excel大法就行不通了,报告整理、漏洞复测确认常常让人精疲力尽。DefectDojo正是一款解决漏洞管理之痛的开源工具,DefectDojo可将各种漏洞报告(Nessus、Nmap、Burp等)汇总分析,对漏洞的确认、复测进行跟踪,建立计划扫描任务,导出报告等。
关于这款工具的更多介绍,可以看看OWASP AppSec USA 2017会议上Greg Anderson的演讲视频
项目地址
https://github.com/OWASP/django-DefectDojo
项目文档
http://defectdojo.readthedocs.io/en/latest/
DefectDojo安装
本次安装基于Ubuntu Server 16.04 LTS
安装准备
创建一个普通用户,指定home目录为/home/dojo,添加sudo权限,:
useradd -d /home/dojo -m dojo
passwd dojo #设置系统密码
vi /etc/sudoers
#添加以下一行内容:
dojo ALL=(ALL:ALL) ALL
安装PostgreSQL
本次示例使用PostgreSQL数据库,安装PostgreSQL数据库,创建DefectDojo使用的账号:
#安装数据库:
apt-get install postgresql
#添加DefectDojo用户,设置密码:
su - postgres
createuser --interactive defectdojo
psql -U postgres
alter user defectdojo with password 'P@ssw0rd';
安装、激活Virtualenv
以下安装切换到dojo普通权限用户。
su - dojo
cd ~
pip install virtualenv
virtualenv dojo
source dojo/bin/activate
安装Dojo
git clone [https://github.com/OWASP/django-DefectDojo.git](https://github.com/OWASP/django-DefectDojo.git)
cd django-DefectDojo
./setup.bash
执行安装脚本,数据库选择2,使用PostgreSQL,安装过程中需sudo切换到root权限,输入系统帐户dojo的密码。
到数据库部分,填写刚才创建的数据库账号信息:
填写DefectDojo Web管理员账号:
安装Uwsgi
pip install uwsgi
安装WKHTML
wkhtmltopdf用于生产PDF报告,自动安装脚本出错的话,可以手动下载安装wkhtmltopdf
在/opt/django-DefectDojo目录下执行
./reports.sh
禁用Debug,添加信任IP
开始使用时为便于排错,可不修改DEBUG选项。
使用VI编辑/opt/django-DefectDojo/dojo/settings.py,修改DEBUG值为:
`DEBUG = False`
添加本机IP到信任中,我的IP是1.1.2.12:
ALLOWED_HOSTS = [u'1.1.2.12']
启动DefectDojo
在django-DefectDojo目录下执行:启动Celery和Beats
celery -A dojo worker -l info --concurrency 3 &
celery beat -A dojo -l info &
启动Uwsgi
uwsgi --socket 127.0.0.1:8001 --wsgi-file wsgi.py --workers 7 &
安装配置Nginx
DefectDojo使用uWSGI的方式,启动后并不能直接访问,还需要配置Nginx,也可以在Nginx中添加SSL证书,配置HTTPS访问,增强安全性。这里只是简单演示,未使用HTTPS。
apt-get install nginx
删除/etc/nginx/site-enabled和/etc/nginx/site-available目录下默认文件,
创建新的配置文件:
cd /etc/nginx/sites-enabled
vi defectdojo.conf
添加以下内容:
upstream django {
server 127.0.0.1:8001;
}
server {
listen 8888;
server_name defectdojo;
client_max_body_size 500m;
location /static/ {
alias /home/dojo/django-DefectDojo/static/;
}
location /media/ {
alias /home/dojo/django-DefectDojo/media/;
}
location / {
uwsgi_pass django;
include /home/dojo/django-DefectDojo/wsgi_params;
}
}
重启Nginx
service nginx stop && service nginx start
远程访问,主界面如下:
启动脚本
为方便下次启动,在dojo账号home目录下创建一个启动脚本defectdojo-start.sh,
添加以下内容:
#!/bin/bash
cd /home/dojo
source dojo/bin/activate
cd django-DefectDojo
celery -A dojo worker -l info --concurrency 3 &
celery beat -A dojo -l info &
uwsgi --socket 127.0.0.1:8001 --wsgi-file wsgi.py --workers 7 &
软件升级
使用以下命令升级:
cd django-DefectDojo
git checkout master
git pull
pip install .
./manage.py makemigrations dojo
./manage.py makemigrations
./manage.py migrate
Bower的静态文件经常会更新,建议定期重装bower,更新文件:
cd django-DefectDojo
cd components
bower install
cd ..
./manage.py collectstatic --noinput
报错处理
安装不完整时,部分文件不能正常访问,打开界面会出现这种情况:
查看日志,发现大量文件访问结果为404:
解决方法:
查看/home/dojo/django-DefectDojo/static目录下404报错文件是否存在,如不存在,再运行一次./setup。
文件存在仍报错的话,检查Nginx配置。
配置HTTPS、开机自启动
参考django-DefectDojo/sample_deployments/目录下脚本文件