github代码外泄监控——Hawkeye

Hawkeye

监控github代码库，及时发现员工托管公司代码到GitHub行为并预警，下降代码泄露风险。

特色

优势

• 邮箱告警通知
• 黑名单添加
• 爬虫任务设置

缺点

• spider经过关键词在github进行模糊搜索，搜索结果会比较杂

依赖

• Python 3.x（Hawkeye支持Python3.x on Linux and macOS；2.x兼容性 需自行修改测试）
• MongoDB
• Flask
• github帐号
• 告警邮件发送邮箱

支持平台

• Linux
• Mac

安装

克隆代码到本地

git clone https://github.com/0xbug/Hawkeye.git --depth 1

部署python3.5环境

wget https://www.python.org/ftp/python/3.5.4/Python-3.5.4.tgz

tar zxf Python-3.5.4.tgz

cd Python-3.5.4

./configure --prefix=/usr/local/python3

make && make install

ln -s /usr/local/python3/bin/python3 /usr/bin/python3

ln -s /usr/local/python3/bin/pip3.5 /usr/bin/pip3

ln -s /usr/local/python3/bin/virtualenv /usr/bin/virtualenv3

python虚拟环境

cd Hawkeye
pip3 install virtualenv
virtualenv3 --python=/usr/bin/python3 venv
source venv/bin/activate
pip3 install -r deploy/requirements.txt

配置并运行Hawkeye

文档：https://github.com/0xbug/Hawkeye

cp config.ini.example config.ini
vim config.ini
[GitHub]
USERNAME = test@163.com
PASSWORD = test
ERROR = We could not perform this search

[MongoDB]
HOST = localhost
PORT = 27017
ACCOUNT = git
PASSWORD = 123456

[Leakage]
NODES = //*[@id="code_search_results"]/div[1]/div[*]
DATETIME = //*[@id="code_search_results"]/div[1]/div[{}]/div[1]/div/span[2]/relative-time
LINK = //*[@id="code_search_results"]/div[1]/div[{}]/div[1]/a[2]
PROJECT = //*[@id="code_search_results"]/div[1]/div[{}]/div[1]/a[1]
USERNAME = //*[@id="code_search_results"]/div[1]/div[{}]/a
RAW = //*[@id="code_search_results"]/div[1]/div[{}]/div[1]/a[2]
FILENAME = //*[@id="code_search_results"]/div[1]/div[{}]/div[1]/a[2]

[Notice]
ENABLE = 1
MAIL_SERVER = smtp.163.com
MAIL_PORT = 25
FROM = test@163.com
PASSWORD = test


#运行
python3 Hawkeye.py

说明：Hawkeye主程序运行后会自动将spider程序加入时间任务，计划任务的规则可在web管理页面直接设置。

使用管理

web访问：localhost:5000

• GitHub监控平台，即该平台的仪表盘
• 概览：显示spider抓取的数据量
• 配置：进行爬取关键词、黑名单、邮件告警、定时任务的管理

关键词和时间任务配置

• 关键词

* 右上角的+：直接添加关键词，关键词支持or/and/not语法
* 搜索语法：高级关键词配置方法

• 时间任务

安装并配置supervisor管理

#安装
easy_install supervisor

#建立supervisor文件
mkdir /etc/supervisor
echo_supervisord_conf > /etc/supervisor/supervisord.conf

vim /etc/supervisor/supervisord.conf 
  [include]
  files = /etc/supervisor/config.d/*.ini
  
#添加supervisor任务管理：
vim /etc/supervisor/config.d/hawkeye.ini
[program:Hawkeye]
directory=/home/workspace/Hawkeye/
command=/usr/bin/python3 /home/workspace/Hawkeye/Hawkeye.py
autostart=true
autorestart=true

redirect_stderr=true
stdout_logfile=/home/workspace/Hawkeye/hawkeye.log
stdout_logfile_maxbytes=50MB
stdout_logfile_backups=3
stopasgroup=false
killasgroup=false


#启动Hawkeye服务：
supervisord -c /etc/supervisor/supervisord.conf 

[root@host2 supervisor]# netstat -lntp |grep ':5000'
tcp        0      0 0.0.0.0:5000            0.0.0.0:*               LISTEN      39160/python3 
\\配置成功！

supervisor安装、配置与解析

安装

easy_install supervisor

建立配置文件：
mkdir /etc/supervisor
echo_supervisord_conf > /etc/supervisor/supervisord.conf

配置管理进程：
vim /etc/supervisor/supervisord.conf
[include]
files = /etc/supervisor/config.d/*.ini

建立管理进程：
vim /etc/supervisor/config.d/hawkeye.ini

解析

[unix_http_server]
file=/tmp/supervisor.sock   ;UNIX socket 文件，supervisorctl 会使用
;chmod=0700                 ;socket文件的mode，默认是0700
;chown=nobody:nogroup       ;socket文件的owner，格式：uid:gid

;[inet_http_server]         ;HTTP服务器，提供web管理界面
;port=127.0.0.1:9001        ;Web管理后台运行的IP和端口，若是开放到公网，须要注意安全性
;username=user              ;登陆管理后台的用户名
;password=123               ;登陆管理后台的密码

[supervisord]
logfile=/tmp/supervisord.log ;日志文件，默认是 $CWD/supervisord.log
logfile_maxbytes=50MB        ;日志文件大小，超出会rotate，默认 50MB，若是设成0，表示不限制大小
logfile_backups=10           ;日志文件保留备份数量默认10，设为0表示不备份
loglevel=info                ;日志级别，默认info，其它: debug,warn,trace
pidfile=/tmp/supervisord.pid ;pid 文件
nodaemon=false               ;是否在前台启动，默认是false，即以 daemon 的方式启动
minfds=1024                  ;能够打开的文件描述符的最小值，默认 1024
minprocs=200                 ;能够打开的进程数的最小值，默认 200

[supervisorctl]
serverurl=unix:///tmp/supervisor.sock ;经过UNIX socket链接supervisord，路径与unix_http_server部分的file一致
;serverurl=http://127.0.0.1:9001 ; 经过HTTP的方式链接supervisord

; [program:xx]是被管理的进程配置参数，xx是进程的名称
[program:xx]
command=/opt/apache-tomcat-8.0.35/bin/catalina.sh run  ; 程序启动命令
autostart=true       ; 在supervisord启动的时候也自动启动
startsecs=10         ; 启动10秒后没有异常退出，就表示进程正常启动了，默认为1秒
autorestart=true     ; 程序退出后自动重启,可选值：[unexpected,true,false]，默认为unexpected，表示进程意外杀死后才重启
startretries=3       ; 启动失败自动重试次数，默认是3
user=tomcat          ; 用哪一个用户启动进程，默认是root
priority=999         ; 进程启动优先级，默认999，值小的优先启动
redirect_stderr=true ; 把stderr重定向到stdout，默认false
stdout_logfile_maxbytes=20MB  ; stdout 日志文件大小，默认50MB
stdout_logfile_backups = 20   ; stdout 日志文件备份数，默认是10
; stdout 日志文件，须要注意当指定目录不存在时没法正常启动，因此须要手动建立目录（supervisord 会自动建立日志文件）
stdout_logfile=/opt/apache-tomcat-8.0.35/logs/catalina.out
stopasgroup=false     ;默认为false,进程被杀死时，是否向这个进程组发送stop信号，包括子进程
killasgroup=false     ;默认为false，向进程组发送kill信号，包括子进程

;包含其它配置文件
[include]
files = relative/directory/*.ini    ;能够指定一个或多个以.ini结束的配置文件

配置实例见上述：Hawkeye

参考文档

Hawkeye：https://github.com/0xbug/Hawkeye
supervisor：http://blog.csdn.net/xyang81/article/details/51555473

测试反馈：

• 功能简单易用

• 模糊匹配，须要合理的配置搜索关键词

• 发现代码后可能没法定位责任人，没法删除代码

• 有很大的局限性，代码发布到其余平台没法察觉