Безопасность - это одна из наиболее важных проблем, с которыми мы сталкиваемся ежедневно, потому что не только в наших организациях, но и на личном уровне у нас есть множество файлов и конфигураций, которые в случае неправильного использования могут нанести непоправимый ущерб.
Мы знаем различные инструменты, которые могут быть полезны для мониторинга ежедневного поведения системы, и на этот раз мы поговорим об одном, в частности, под названием TripWire .
Что такое TripWire?
TripWire - это мощный и бесплатный инструмент, специфической функцией которого является обнаружение вторжений (IDS), который постоянно обновляет критические системные файлы и контрольные отчеты в случае, если они были изменены или удалены хакером или злоумышленником.
TripWire отправит сообщение системному администратору в случае сбоя системы. TripWire - это инструмент с открытым исходным кодом, который позволяет ИТ-отделу получать уведомления в случае любых изменений в системе Linux, в данном случае Debian 8.
Основная операция TripWire заключается в следующем:
- Во-первых, инструмент выполняет анализ и создает контрольную точку для всех важных файлов в зашифрованном файле, что повышает безопасность.
- Позже он отслеживает любые аномальные изменения и сравнивает их с контрольной точкой, включая, например, такие как дата и время, разрешения.
Для этого анализа мы будем использовать команду с Debian 8.
1. Обновление системы
Сначала мы введем команду:
apt-get updateДля обновления всех пакетов, доступных в системе.
примечание
Мы ставим sudo на случай, если вы не войдете в систему как пользователь root.
На компьютерах с CentOS 7 или RHEL мы должны ввести команду:
ням обновлениеПри этом мы будем обновлять пакеты.
2. Загрузите и установите TripWire
Получив обновленную систему, мы приступаем к вводу следующей команды для загрузки и установки TripWire:
apt-get установить tripwireНа компьютерах с CentOS 7 мы введем команду:
ням установить tripwire
Мы видим, что следующий помощник отображается там, где мы принимаем сообщение:
Как только это сообщение будет принято, появится следующее окно, в котором мы должны определить, когда создавать ключи TripWire .
Мы увидим следующее:
Нажмите OK, и мы должны настроить локальный ключ.
Нажмите Да, и мы увидим в следующем окне маршрут, где будет сохранена конфигурация TripWire.
Далее мы увидим маршрут руководства TripWire.
Нажмите нужную опцию, и процесс установки продолжится.
Позже мы увидим следующее окно, где мы должны ввести ключ сайта для TripWire.
Мы должны подтвердить пароль, а затем мы должны ввести локальный пароль.
Мы подтверждаем пароль и, наконец, увидим, что установка была завершена правильно.
Нажмите OK, чтобы выйти из мастера. В случае, если мастер не развернут, мы должны ввести следующее для настройки как сайта, так и локального ключа:
twadmin -m G -L /etc/tripwire/dummy-local.key -S /etc/tripwire/site.keyКлюч сайта
3. Запустите сервис TripWire
После установки инструмента TripWire мы приступаем к запуску службы с помощью следующей команды:
tripwire –initИ мы должны ввести локальный пароль, который мы создали ранее.$config[ads_text6] not found
Пока мы видели, как установить и запустить Tripwire, нажмите на следующую страницу чуть дальше, чтобы узнать, как его настроить .
4. Изменить конфигурационный файл Tripwire
Следующим шагом является настройка файла twpol.txt с использованием редактора, который нам нравится больше всего.
В этом случае мы введем следующую команду:
sudo nano /etc/tripwire/twpol.txtПоявится следующее окно:
Там мы найдем следующие строки:
$config[ads_text5] not foundЭти строки относятся к базе данных, созданной ранее, когда была запущена служба TripWire . Там мы должны включить эти строки, используя значок #, мы просто не выбираем следующие строки:
/root/.bashrc /root/.bash_profile
Таким же образом мы должны активировать следующие строки:
Мы сохраняем изменения, используя комбинацию клавиш:
Ctrl + O
И мы покидаем редактор, используя комбинацию:
Ctrl + X
5 Изменить шаблоны TripWire
Далее мы введем следующий путь для изменения шаблона инструмента:
twadmin -m P /etc/tripwire/twpol.txt$config[ads_text6] not found
Мы видим, что файловая политика была написана правильно. Как только эти параметры настроены, мы должны снова использовать команду:
tripwire –initДля внесения изменений.
6. Проверка TripWire
Чтобы проверить параметры инструмента TripWire, мы введем следующую команду:
tripwire –check
Мы можем отобразить текст немного больше, и мы найдем в строке «Свод правил» объекты, которые были проверены инструментом, и возможные нарушения или последствия для них .
7. Автоматизируйте отчеты TripWire в Debian 8
Как мы упоминали ранее, один из параметров, которые использует TripWire, заключается в том, что инструмент создает точку восстановления для критических файлов.
Для этого мы можем использовать следующее:
crontab -eМы увидим следующее:
В конце консоли мы должны ввести параметры для резервного копирования информации:
Таким образом, мы настраиваем, что по электронной почте мы получаем уведомления о некоторых изменениях в файлах.
Мы сохраняем изменения, используя комбинацию клавиш Ctrl + O.
Как мы видели с помощью инструмента TripWire, мы можем рассчитывать на возможность обеспечения целостности и безопасности файлов наших систем Linux .
CentOS 7 аудит
СТАТЬИ