Как установить TripWire (Система обнаружения вторжений) Linux

Безопасность - это одна из наиболее важных проблем, с которыми мы сталкиваемся ежедневно, потому что не только в наших организациях, но и на личном уровне у нас есть множество файлов и конфигураций, которые в случае неправильного использования могут нанести непоправимый ущерб.

Мы знаем различные инструменты, которые могут быть полезны для мониторинга ежедневного поведения системы, и на этот раз мы поговорим об одном, в частности, под названием TripWire .

Что такое TripWire?

TripWire - это мощный и бесплатный инструмент, специфической функцией которого является обнаружение вторжений (IDS), который постоянно обновляет критические системные файлы и контрольные отчеты в случае, если они были изменены или удалены хакером или злоумышленником.

TripWire отправит сообщение системному администратору в случае сбоя системы. TripWire - это инструмент с открытым исходным кодом, который позволяет ИТ-отделу получать уведомления в случае любых изменений в системе Linux, в данном случае Debian 8.

Основная операция TripWire заключается в следующем:

• Во-первых, инструмент выполняет анализ и создает контрольную точку для всех важных файлов в зашифрованном файле, что повышает безопасность.

• Позже он отслеживает любые аномальные изменения и сравнивает их с контрольной точкой, включая, например, такие как дата и время, разрешения.

Для этого анализа мы будем использовать команду с Debian 8.

1. Обновление системы

Сначала мы введем команду:

 apt-get update 

Для обновления всех пакетов, доступных в системе.

примечание

Мы ставим sudo на случай, если вы не войдете в систему как пользователь root.

На компьютерах с CentOS 7 или RHEL мы должны ввести команду:

 ням обновление 

При этом мы будем обновлять пакеты.

2. Загрузите и установите TripWire

Получив обновленную систему, мы приступаем к вводу следующей команды для загрузки и установки TripWire:

 apt-get установить tripwire 

На компьютерах с CentOS 7 мы введем команду:

 ням установить tripwire 

Мы видим, что следующий помощник отображается там, где мы принимаем сообщение:

Как только это сообщение будет принято, появится следующее окно, в котором мы должны определить, когда создавать ключи TripWire .

Мы увидим следующее:

Нажмите OK, и мы должны настроить локальный ключ.

Нажмите Да, и мы увидим в следующем окне маршрут, где будет сохранена конфигурация TripWire.

Далее мы увидим маршрут руководства TripWire.

Нажмите нужную опцию, и процесс установки продолжится.

Позже мы увидим следующее окно, где мы должны ввести ключ сайта для TripWire.

Мы должны подтвердить пароль, а затем мы должны ввести локальный пароль.

Мы подтверждаем пароль и, наконец, увидим, что установка была завершена правильно.

Нажмите OK, чтобы выйти из мастера. В случае, если мастер не развернут, мы должны ввести следующее для настройки как сайта, так и локального ключа:

 twadmin -m G -L /etc/tripwire/dummy-local.key -S /etc/tripwire/site.key 

Ключ сайта

3. Запустите сервис TripWire

После установки инструмента TripWire мы приступаем к запуску службы с помощью следующей команды:

 tripwire –init 

И мы должны ввести локальный пароль, который мы создали ранее.

$config[ads_text6] not found

Пока мы видели, как установить и запустить Tripwire, нажмите на следующую страницу чуть дальше, чтобы узнать, как его настроить .

4. Изменить конфигурационный файл Tripwire

Следующим шагом является настройка файла twpol.txt с использованием редактора, который нам нравится больше всего.

В этом случае мы введем следующую команду:

 sudo nano /etc/tripwire/twpol.txt 

Появится следующее окно:

Там мы найдем следующие строки:

$config[ads_text5] not found

Эти строки относятся к базе данных, созданной ранее, когда была запущена служба TripWire . Там мы должны включить эти строки, используя значок #, мы просто не выбираем следующие строки:

 /root/.bashrc /root/.bash_profile 

Таким же образом мы должны активировать следующие строки:

Мы сохраняем изменения, используя комбинацию клавиш:

Ctrl + O

И мы покидаем редактор, используя комбинацию:

Ctrl + X

5 Изменить шаблоны TripWire

Далее мы введем следующий путь для изменения шаблона инструмента:

 twadmin -m P /etc/tripwire/twpol.txt 

$config[ads_text6] not found

Мы видим, что файловая политика была написана правильно. Как только эти параметры настроены, мы должны снова использовать команду:

 tripwire –init 

Для внесения изменений.

6. Проверка TripWire

Чтобы проверить параметры инструмента TripWire, мы введем следующую команду:

 tripwire –check 

Мы можем отобразить текст немного больше, и мы найдем в строке «Свод правил» объекты, которые были проверены инструментом, и возможные нарушения или последствия для них .

7. Автоматизируйте отчеты TripWire в Debian 8

Как мы упоминали ранее, один из параметров, которые использует TripWire, заключается в том, что инструмент создает точку восстановления для критических файлов.

Для этого мы можем использовать следующее:

 crontab -e 

Мы увидим следующее:

В конце консоли мы должны ввести параметры для резервного копирования информации:

Таким образом, мы настраиваем, что по электронной почте мы получаем уведомления о некоторых изменениях в файлах.

Мы сохраняем изменения, используя комбинацию клавиш Ctrl + O.

Как мы видели с помощью инструмента TripWire, мы можем рассчитывать на возможность обеспечения целостности и безопасности файлов наших систем Linux .

CentOS 7 аудит