github代碼外泄監控——Hawkeye

Hawkeye

監控github代碼庫，及時發現員工託管公司代碼到GitHub行爲並預警，下降代碼泄露風險。

特色

優勢

• 郵箱告警通知
• 黑名單添加
• 爬蟲任務設置

缺點

• spider經過關鍵詞在github進行模糊搜索，搜索結果會比較雜

依賴

• Python 3.x（Hawkeye支持Python3.x on Linux and macOS；2.x兼容性 需自行修改測試）
• MongoDB
• Flask
• github帳號
• 告警郵件發送郵箱

支持平臺

• Linux
• Mac

安裝

克隆代碼到本地

git clone https://github.com/0xbug/Hawkeye.git --depth 1

部署python3.5環境

wget https://www.python.org/ftp/python/3.5.4/Python-3.5.4.tgz

tar zxf Python-3.5.4.tgz

cd Python-3.5.4

./configure --prefix=/usr/local/python3

make && make install

ln -s /usr/local/python3/bin/python3 /usr/bin/python3

ln -s /usr/local/python3/bin/pip3.5 /usr/bin/pip3

ln -s /usr/local/python3/bin/virtualenv /usr/bin/virtualenv3

python虛擬環境

cd Hawkeye
pip3 install virtualenv
virtualenv3 --python=/usr/bin/python3 venv
source venv/bin/activate
pip3 install -r deploy/requirements.txt

配置並運行Hawkeye

文檔：https://github.com/0xbug/Hawkeye

cp config.ini.example config.ini
vim config.ini
[GitHub]
USERNAME = test@163.com
PASSWORD = test
ERROR = We could not perform this search

[MongoDB]
HOST = localhost
PORT = 27017
ACCOUNT = git
PASSWORD = 123456

[Leakage]
NODES = //*[@id="code_search_results"]/div[1]/div[*]
DATETIME = //*[@id="code_search_results"]/div[1]/div[{}]/div[1]/div/span[2]/relative-time
LINK = //*[@id="code_search_results"]/div[1]/div[{}]/div[1]/a[2]
PROJECT = //*[@id="code_search_results"]/div[1]/div[{}]/div[1]/a[1]
USERNAME = //*[@id="code_search_results"]/div[1]/div[{}]/a
RAW = //*[@id="code_search_results"]/div[1]/div[{}]/div[1]/a[2]
FILENAME = //*[@id="code_search_results"]/div[1]/div[{}]/div[1]/a[2]

[Notice]
ENABLE = 1
MAIL_SERVER = smtp.163.com
MAIL_PORT = 25
FROM = test@163.com
PASSWORD = test


#運行
python3 Hawkeye.py

說明：Hawkeye主程序運行後會自動將spider程序加入時間任務，計劃任務的規則可在web管理頁面直接設置。

使用管理

web訪問：localhost:5000

• GitHub監控平臺，即該平臺的儀表盤
• 概覽：顯示spider抓取的數據量
• 配置：進行爬取關鍵詞、黑名單、郵件告警、定時任務的管理

關鍵詞和時間任務配置

• 關鍵詞

* 右上角的+：直接添加關鍵詞，關鍵詞支持or/and/not語法
* 搜索語法：高級關鍵詞配置方法

• 時間任務

安裝並配置supervisor管理

#安裝
easy_install supervisor

#建立supervisor文件
mkdir /etc/supervisor
echo_supervisord_conf > /etc/supervisor/supervisord.conf

vim /etc/supervisor/supervisord.conf 
  [include]
  files = /etc/supervisor/config.d/*.ini
  
#添加supervisor任務管理：
vim /etc/supervisor/config.d/hawkeye.ini
[program:Hawkeye]
directory=/home/workspace/Hawkeye/
command=/usr/bin/python3 /home/workspace/Hawkeye/Hawkeye.py
autostart=true
autorestart=true

redirect_stderr=true
stdout_logfile=/home/workspace/Hawkeye/hawkeye.log
stdout_logfile_maxbytes=50MB
stdout_logfile_backups=3
stopasgroup=false
killasgroup=false


#啓動Hawkeye服務：
supervisord -c /etc/supervisor/supervisord.conf 

[root@host2 supervisor]# netstat -lntp |grep ':5000'
tcp        0      0 0.0.0.0:5000            0.0.0.0:*               LISTEN      39160/python3 
\\配置成功！

supervisor安裝、配置與解析

安裝

easy_install supervisor

建立配置文件：
mkdir /etc/supervisor
echo_supervisord_conf > /etc/supervisor/supervisord.conf

配置管理進程：
vim /etc/supervisor/supervisord.conf
[include]
files = /etc/supervisor/config.d/*.ini

建立管理進程：
vim /etc/supervisor/config.d/hawkeye.ini

解析

[unix_http_server]
file=/tmp/supervisor.sock   ;UNIX socket 文件，supervisorctl 會使用
;chmod=0700                 ;socket文件的mode，默認是0700
;chown=nobody:nogroup       ;socket文件的owner，格式：uid:gid

;[inet_http_server]         ;HTTP服務器，提供web管理界面
;port=127.0.0.1:9001        ;Web管理後臺運行的IP和端口，若是開放到公網，須要注意安全性
;username=user              ;登陸管理後臺的用戶名
;password=123               ;登陸管理後臺的密碼

[supervisord]
logfile=/tmp/supervisord.log ;日誌文件，默認是 $CWD/supervisord.log
logfile_maxbytes=50MB        ;日誌文件大小，超出會rotate，默認 50MB，若是設成0，表示不限制大小
logfile_backups=10           ;日誌文件保留備份數量默認10，設爲0表示不備份
loglevel=info                ;日誌級別，默認info，其它: debug,warn,trace
pidfile=/tmp/supervisord.pid ;pid 文件
nodaemon=false               ;是否在前臺啓動，默認是false，即以 daemon 的方式啓動
minfds=1024                  ;能夠打開的文件描述符的最小值，默認 1024
minprocs=200                 ;能夠打開的進程數的最小值，默認 200

[supervisorctl]
serverurl=unix:///tmp/supervisor.sock ;經過UNIX socket鏈接supervisord，路徑與unix_http_server部分的file一致
;serverurl=http://127.0.0.1:9001 ; 經過HTTP的方式鏈接supervisord

; [program:xx]是被管理的進程配置參數，xx是進程的名稱
[program:xx]
command=/opt/apache-tomcat-8.0.35/bin/catalina.sh run  ; 程序啓動命令
autostart=true       ; 在supervisord啓動的時候也自動啓動
startsecs=10         ; 啓動10秒後沒有異常退出，就表示進程正常啓動了，默認爲1秒
autorestart=true     ; 程序退出後自動重啓,可選值：[unexpected,true,false]，默認爲unexpected，表示進程意外殺死後才重啓
startretries=3       ; 啓動失敗自動重試次數，默認是3
user=tomcat          ; 用哪一個用戶啓動進程，默認是root
priority=999         ; 進程啓動優先級，默認999，值小的優先啓動
redirect_stderr=true ; 把stderr重定向到stdout，默認false
stdout_logfile_maxbytes=20MB  ; stdout 日誌文件大小，默認50MB
stdout_logfile_backups = 20   ; stdout 日誌文件備份數，默認是10
; stdout 日誌文件，須要注意當指定目錄不存在時沒法正常啓動，因此須要手動建立目錄（supervisord 會自動建立日誌文件）
stdout_logfile=/opt/apache-tomcat-8.0.35/logs/catalina.out
stopasgroup=false     ;默認爲false,進程被殺死時，是否向這個進程組發送stop信號，包括子進程
killasgroup=false     ;默認爲false，向進程組發送kill信號，包括子進程

;包含其它配置文件
[include]
files = relative/directory/*.ini    ;能夠指定一個或多個以.ini結束的配置文件

配置實例見上述：Hawkeye

參考文檔

Hawkeye：https://github.com/0xbug/Hawkeye
supervisor：http://blog.csdn.net/xyang81/article/details/51555473

測試反饋：

• 功能簡單易用

• 模糊匹配，須要合理的配置搜索關鍵詞

• 發現代碼後可能沒法定位責任人，沒法刪除代碼

• 有很大的侷限性，代碼發佈到其餘平臺沒法察覺