开源漏洞管理工具DefectDojo
安全保障工作上,系统漏洞的追踪管理方法,应当是让大部分安全保障工作人员都头痛的事。业务管理系统少还行,1个电子表格报表就处理了,而应对数个不一样的业务管理系统,电子邮件、汇报满天飞舞,电子表格秘笈就不得人心了,汇报梳理、系统漏洞复测确定经常令人精疲力竭。DefectDojo更是这款处理系统漏洞管理方法之痛的开源系统专用工具,DefectDojo可将各种各样系统漏洞汇报(Nessus、Nmap、Burp等)归纳剖析,对系统漏洞的确定、复测开展追踪,创建方案扫描仪每日任务,导出来汇报等。
有关这个专用工具的大量详细介绍,能够看一下OWASP AppSec USA 2018大会上Greg Anderson的演讲视频
新项目详细地址
https://github.Com/OWASP/django-DefectDojo
新项目文本文档
.com://defectdojo.readthedocs.io/es/latest/
DefectDojo安裝
此次安裝应用场景Ubuntu Server 16.04 LTS
安裝提前准备
建立1个用户,特定home文件目录为/home/dojo,加上sudo管理权限,:
useradd -d /home/dojo -m dojo passwd dojo #设定系统软件登陆密码 vi /etc/sudoers #加上下列每行內容: dojo ALL=(ALL:ALL) ALL
安裝PostgreSQL
此次实例应用PostgreSQL数据库查询,安裝PostgreSQL数据库查询,建立DefectDojo应用的账户:
#安裝数据库查询:
apt-set install postgresql
#加上DefectDojo客户,密码设置:
su - postgres
createuser --interactive defectdojo psql -U postgres alter user defectdojo with password 'P@ssw0rd';
安裝、激话Virtualenv
下列安裝转换到dojo一般管理权限客户。
su - dojo
Cd ~
pip install virtualenv
virtualenv dojo source dojo/bin/activate
安裝Dojo
git clone [https://github.Com/OWASP/django-DefectDojo.git](https://github.Com/OWASP/django-DefectDojo.git)
Cd django-DefectDojo
./setup.bash
实行安裝脚本制作,数据库查询挑选2,应用PostgreSQL,安裝全过程中需sudo转换到root管理权限,键入系统软件账号dojo的登陆密码。
到数据库查询一部分,填写信息刚刚建立的数据库查询账号信息:
填写信息DefectDojo web管理人员账户:
安裝Uwsgi
pip install uwsgi
安裝WKHTML
wkhtmltopdf用以生产制造pdf汇报,全自动安裝脚本制作错误得话,能够手动式下载最新版wkhtmltopdf
在/opt/django-DefectDojo文件目录下实行
./reports.sh
停用Debug,加上信赖iP
刚开始应用时为有利于排错,不需改动DEBUG选择项。
应用Vl编写/opt/django-DefectDojo/dojo/settings.py,改动DEBUG数值:
`DEBUG = False`
加上本机iP到信赖中,我的iP是1.1.2.12:
ALLOWED_HOSTS = [u'1.1.2.12']
起动DefectDojo
在django-DefectDojo文件目录下实行:起动Celery和Beats
celery -A dojo worker -l info --concurrency 3 &
celery beat -A dojo -l info &
起动Uwsgi
uwsgi --socket 127.0.0.1:8001 --wsgi-file wsgi.py --workers 7 &
安裝配备Nginx
DefectDojo应用uWSGI的方法,起动后并不可以立即浏览,还必须配备Nginx,还可以在Nginx中加上SSL资格证书,配备HTTPS浏览,提高安全系数。这儿仅仅简易演试,未应用HTTPS。
apt-set install nginx
删掉/etc/nginx/site-enabled和/etc/nginx/site-available文件目录下默认设置文档,
建立新的配置文件:
Cd /etc/nginx/sites-enable
相关文章
- 4条评论
- 嘻友岛徒2022-05-27 22:30:26
- uwsgi --socket 127.0.0.1:8001 --wsgi-file wsgi.py --workers 7 & 安裝配备Nginx DefectDojo应用uWSGI的方法,起
- 孤央时窥2022-05-27 22:29:45
- greSQL数据库查询,安裝PostgreSQL数据库查询,建立DefectDojo应用的账户: #安裝数据库查询: apt-set install postgresql #加上DefectDojo客户,密码设置: su - postgres cr
- 双笙丑味2022-05-28 05:51:32
- 填写信息刚刚建立的数据库查询账号信息: 填写信息DefectDojo web管理人员账户: 安裝Uwsgi pip install uwsgi 安裝WKHTML wkhtmltopdf用以生产制造pdf汇报,全自动安裝脚本制作错误得话,能
- 掩吻寰鸾2022-05-28 07:19:43
- .1.2.12'] 起动DefectDojo 在django-DefectDojo文件目录下实行:起动Celery和Beats celery -A dojo wor