Inštalácia systému Moloch/Arkime

• Autor : Miroslav Kohútik
• Testovaná verzia : 5.0.0
• Operačný systém : Ubuntu 22.04

Inštalácia Molocha nie je triviálna, preto sme pripravili tento návod ako nasadiť systém Moloch v cloudovom prostredí.

Príprava pred inštaláciou

Pred inštaláciou samotného Molocha musíme nainštalovať databázu Elasticsearch a vykonať nasledovné zmeny v konfigurácii operačného systému.

Pridáme si Java repozitár

sudo add-apt-repository ppa:webupd8team/java 

Vykonáme aktualizáciu zoznamu balíčkov a balíčkov samotných na najnovšie verzie

sudo apt-get update -y && sudo apt-get upgrade -y

Stiahneme a nainštalujeme verejný GPG kľúč

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Pridáme Elastic repozitár

echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list

Znovu aktualizujeme balíčky

sudo apt-get update -y && sudo apt-get upgrade -y && sudo apt-get dist-upgrade -y 

Upraceme po sebe zbytočné závislosti (Nepovinné)

sudo apt-get autoremove

Vypneme swapovanie

sudo swapoff -a
sudo nano /etc/fstab

Upravíme súbor fstab – zakomentujeme nasledujúci riadok:

#/dev/mapper/logs--vg-swap_1 none     swap   sw      0     0

alebo

#/dev/mapper/user--vg-swap_1 none     swap   sw      0     0

Nainštalujeme Javu 8

sudo apt-get install oracle-java8-installer

Nainštalujeme Elasticsearch

sudo apt-get install elasticsearch

Inštalácia Molocha/Arkime

Nainštalujeme ďalšie nutné balíčky

sudo apt-get install wget curl libpcre3-dev uuid-dev libmagic-dev pkg-config g++ flex bison zlib1g-dev libffi-dev gettext libgeoip-dev make libjson-perl libbz2-dev libwww-perl libpng-dev xz-utils libffi-dev

Stiahneme si najnovší Moloch/Arkime (https://arkime.com/downloads)

wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-22.04/arkime_5.0.0-rc1-1_amd64.deb

Nainštalujeme Moloch

Poznámka: keď sa nás skript opýta, či chceme nainštalovať Elasticsearch, zvolíme no, vzhľadom na to, že sme si ho nainštalovali predtým a Elasticsearch, ktorý poskytuje tento skript je len v demo verzii.

sudo dpkg -i arkime_5.0.0-rc1-1_amd64.deb

Nainštalujeme potrebné závislosti (Ak sa predchádzajúci krok zastavý kvôli chybám)

sudo apt-get -f install

Konfigurácia Molocha

Povolíme štart Elasticsearchu pri zapnutí

sudo systemctl enable elasticsearch.service

Nakonfigurujeme Elasticsearch (Nepovinné) (Konfigurujeme podľa potreby [maximálna alokácia RAM je 32GB])

Odporúča sa Elasticsearch inštalovať na osobitné zariadenie

sudo nano /etc/elasticsearch/jvm.options

Zapneme Elasticsearch

sudo systemctl start elasticsearch.service

Skontrolujeme status Elasticsearchu

sudo systemctl status elasticsearch.service

Na konfiguráciu Molochu, si môžeme stiahnuť konfiguračný súbor z https://github.com/aol/moloch/wiki/Settings alebo si môžeme Moloch nakonfigurovať sami za použitia nasledovných dvoch príkazov

Pred manuálnou konfiguráciou Arkime, vymažeme súbor config.ini z /opt/arkime/etc/

sudo rm /opt/arkime/etc/config.ini 

Nakonfigurujeme Arkime podľa potreby

sudo /opt/arkime/bin/Configure

Zinicializujeme Databázu Elasticsearch

sudo /opt/arkime/db/db.pl http://ESHOST:9200 init

Nainštalujeme a zaktualizujeme npm

sudo apt install npm
npm update

Pridáme do Arkime používateľa

sudo /opt/arkime/bin/arkime_add_user.sh admin "Admin User" THEPASSWORD --admin

Spustíme službu Arkime Capture

sudo systemctl start arkimecapture.service

Skontrolujeme stav služby Arkime Capture

sudo systemctl status arkimecapture.service

Spustíme službu Arkime Viewer

sudo systemctl start arkimeviewer.service

Skontrolujeme stav služby Arkime Viewer

sudo systemctl status arkimeviewer.service

Pokiaľ sme všetko urobili správne mali by sme byť schopní pripojiť sa na webové rozhranie na adrese http://IPADDRESSOFINTERFACE:8005

Zdroje:

• Github Informácie o systéme Moloch
• Moloch Initial Install