timesketch

virtualbox docker ubuntu

plaso의 타임라인을 시각화해서 보여주는 도구인 timesketch를 설치해서 사용해보자

원래는 서버에 설치 후 접속하려고 했으나 500 (Internal Server Error)에러가 발생했다. 버전을 변경해보고 성능을 변화시켰지만 동일했다. 슬랙에서 이유를 확인해본결과 로컬에서 설치를 해야만 정상 접속되는 것으로 보인다.

우선 virtualbox를 다운받고 ubuntu 를 설치한다. 현재 시점의 timesketch는 20.04버전의 Ubuntu 설치를 원한다.

https://releases.ubuntu.com/focal/

Ubuntu 20.04.5 LTS (Focal Fossa)

에서 Server Install Image를 다운받고 VirtualBox로 해당 이미지를 지정해서 설치한다.

이후 원격접속을 위해 openssh-server를 설치한 다음 원격 접속 툴로 접속한다.

VirtualBox에 포트포워딩을 설정해줘야 한다. 웹서버 접속을 위해 22번 뿐만 아니라 80번 포트도 동시에 열어준다.

Docker 설치

Ubuntu 서버 설치 시 docker를 자동으로 설치하도록 설정하는 단계가 있다. 설치를 안 했다면 아래 가이드를 참고해서 docker를 설치한다.

Ubuntu

https://docs.docker.com/engine/install/ubuntu/

Install Docker Engine on Ubuntu

docker-compose 설치

timesketch는 웹서버 뿐만 아니라 여러 컨테이너가 복합적으로 실행되어야한다. 이를 위해 docker-compose를 추가로 설치한다.

https://docs.docker.com/compose/install/other/

Install the Compose standalone

가이드를 참고해서 docker-compose를 설치한다. 실행 권한이 없을 수 있으므로 실행권한을 설정한다.

sudo chmod 755 /usr/local/bin/docker-compose

---

Timesketch 설치

링크를 참고해서 설치한다.

https://github.com/google/timesketch/blob/master/docs/guides/admin/install.md

GitHub - google/timesketch: Collaborative forensic timeline analysis

이후 웹브라우저를 열고 http://localhost 로 접속한다.

나는 moai라는 이름으로 계정을 생성했다. 로그인하고 test라는 이름의 새로운 Investigation을 생성해주었다.

지난 글에서 생성한 plaso 파일을 넣고 분석해보자

https://brunch.co.kr/@moaikim/56

plaso 설치