Installera och använd Tripwire för att upptäcka ändrade filer i Ubuntu 17

När vi har team med Linux distros under vårt ansvar är det viktigt att ha en klar kunskap om de hundratals, eller tusentals, verktyg som vi har till vårt förfogande för att optimera alla systemparametrar, både när det gäller säkerhet, åtkomst, kontroll eller andra.

En av de viktigaste punkterna som vi måste hantera idag är säkerhet, vilket gör det till ett komplext problem när vi måste hantera onlineservrar, men även om det är möjligt att konfigurera brandväggar, fail2ban -policyer, säkra tjänster och blockera applikationer, är det svårt att veta med säkerhet om varje attack effektivt har blockerats och detta kan resultera i kritiska problem för användare och organisationens allmänna beteende.

När vi tänker på detta ger Solvetic idag ett värdefullt verktyg som heter Tripwire för dess implementering i Ubuntu -miljöer, i det här fallet Ubuntu 17.10, och har därmed vissheten att ha ytterligare ett säkerhetsverktyg under vår administration.

Vad är TripwireTripwire är ett gratis, open source intrusion detection system (IDS).
Tripwire är ett säkerhetsverktyg som ger oss möjlighet att övervaka och varna för eventuella ändringar som görs i filerna i operativsystemet.

Tripwire är en kraftfull IDS som har utformats för att skydda systemet mot oönskade förändringar. Med det här verktyget kommer det att vara möjligt att övervaka systemfiler, inklusive webbplatsfiler, så att när det sker en oönskad filändring i någon av filerna som övervakas, kommer Tripwire att kontrollera systemet och varna oss om vi har gjort det.

Ett värdbaserat intrångsdetekteringssystem (HIDS) fungerar genom att samla in information om filsystemet och konfigurationen av din inköpta dator och lagrar sedan denna information för att referera och validera systemets nuvarande tillstånd. Om det finns förändringar mellan den kända staten och den nuvarande staten kan det vara ett tecken på att säkerheten har äventyrats och det kommer att bli brådskande att vidta nödvändiga administrativa åtgärder.

Tripwire -funktionerGenom att använda det här verktyget har vi några funktioner som:

• Realtidsdetektering: Tripwire tar hand om att fånga och begränsa skador från misstänkta hot, avvikelser och förändringar.

• Säkerhetsintegritet och IT -applikationer

• Realtidsintelligens om förändring: Tripwire erbjuder den mest omfattande filintegritetslösningen för företag av alla storlekar. Tripwire har utvecklats för att upptäcka och bedöma förändringar och prioritera säkerhetsrisker med integrationer som ger varningar om hög volym och låg volym. Tripwire erbjuder en robust lösning för filintegritetsövervakning (FIM), som kan övervaka detaljerad systemintegritet: filer, kataloger, register, konfigurationsparametrar, DLL -filer, portar, tjänster, protokoll, etc.

• Compliance Hardening and Enhancement System - Tripwire har det största och mest omfattande biblioteket av policyer och plattformar som stöder mer än 800 policyer, som täcker en mängd olika plattformsoperativsystemversioner och enheter.

• Säkerhetsautomation och sanering: Tripwires avhjälpningsförmåga automatiserar uppgif.webpter och guidar oss genom snabba avhjälpningar av system som inte uppfyller kraven och felkonfigurationer i säkerheten. Det kommer att vara möjligt att automatisera arbetsflöden genom integreringar med SIEM, IT-GRC och förändringshanteringssystem.

Tidigare kravFör att helst installera, konfigurera och använda Tripwire behöver du följande:

• Ubuntu 17.10 Server: Ubuntu 17.10

• Har roträttigheter

1. Hur man uppdaterar operativsystemet och installerar Tripwire på Ubuntu 17.10

Steg 1
Det första steget att ta är att installera Tripwire i operativsystemet, det här verktyget är tillgängligt i det officiella Ubuntu -förvaret, så det räcker med att uppdatera Ubuntu 17.10 -förvaret med följande kommando:

 sudo apt uppdatering

FÖRSTORA

Steg 2
När Ubuntu 17.10 har uppdaterats fortsätter vi att installera Tripwire genom att utföra följande kommando:

 sudo apt install -y Tripwire

FÖRSTORA

Steg 3
Under installationsprocessen visas följande fråga om Postfix SMTP -konfiguration, vi väljer alternativet Internet Site och klickar på Acceptera för att fortsätta med installationen:

FÖRSTORA

Steg 4
När du klickar på OK, i följande fönster för namnet på e -postsystemet, lämnar vi standardvärdet:

FÖRSTORA

Steg 5
Klicka på OK igen och i nästa fönster är det nödvändigt att skapa en ny webbplatsnyckel för Tripwire, i det här fallet väljer vi Ja och trycker på Enter för att fortsätta:

FÖRSTORA

Steg 6
Vi kan se att dessa nycklar är associerade med säkerhetsfaktorer eftersom det finns ett tidsfönster som angriparen kan komma åt. När vi klickar på Ja ser vi följande fönster:

FÖRSTORA

Steg 7
I det här fallet har vi nyckelfilerna för Tripwire, i det här fallet väljer vi Ja och trycker på Enter för att fortsätta. Nu måste vi bekräfta om vi kommer att bygga om Tripwires konfigurationsfil eftersom ändringar har gjorts i nyckelfilerna. Vi väljer Ja och trycker på Retur för att fortsätta processen.

FÖRSTORA

Samma process som vi kör för att bygga om direktiven:

FÖRSTORA

Steg 8
När du klickar på Ja kommer den valda processen att utföras:

FÖRSTORA

Senare måste vi tilldela en webbplatsnyckel eftersom den inte finns:

FÖRSTORA

NoteraVi måste komma ihåg det här lösenordet eftersom vi inte kan komma åt det om vi glömmer det.

Steg 9
Klicka på OK och vi måste bekräfta det angivna lösenordet:

FÖRSTORA

Steg 10
Nästa steg är att tilldela och bekräfta lösenordet för den lokala nyckeln:

FÖRSTORA

När detta lösenord har tilldelats och därmed har vi slutfört installationsprocessen för Tripwire i Ubuntu 17.10:

FÖRSTORA

2. Så här konfigurerar du Tripwire -policyer i Ubuntu 17.10

Steg 1
När verktyget är installerat på systemet kommer det att vara nödvändigt att konfigurera Tripwire för vårt Ubuntu 17 -system, all konfiguration relaterad till Tripwire finns i katalogen / etc / tripwire.

Efter installationen av Tripwire är det nödvändigt att initiera databasesystemet med följande kommando:

 sudo tripwire -init

Där anger vi administratörslösenordet och sedan det lokala lösenordet som konfigurerades under installationen:

FÖRSTORA

Steg 2
Detta kommer att starta databasen där vi kommer att se följande:

FÖRSTORA

Steg 3
Som slutresultat blir det följande. Vi kan se felet Filen eller katalogen finns inte så för att lösa detta fel måste vi redigera Tripwires konfigurationsfil och regenerera konfigurationen.

FÖRSTORA

Steg 4
Innan vi redigerar Tripwire -konfigurationen måste vi verifiera vilken katalog som inte finns, något som kan göras med följande kommando:

 sudo sh -c "tripwire --check | grep Filnamn> no -directory.txt"

Senare kan vi se innehållet i filen genom att köra följande:

 cat no-directory.txt

FÖRSTORA

Där kommer vi att se listan över saknade kataloger.

3. Så här konfigurerar du Tripwire -kataloger

Steg 1
Nästa steg är att gå till Tripwire -konfigurationskatalogen och redigera twpol.txt -konfigurationsfilen genom att köra följande:

 cd / etc / tripwire / nano twpol.txt

Vi kommer att se följande:

FÖRSTORA

Steg 2
Där kommer vi att göra följande: I regeln Boot Scripts kommer vi att kommentera raden

 /etc/rc.boot -> $ (SEC_BIN);

FÖRSTORA

Steg 3
I raden Systemstartändringar kommer vi att kommentera följande rader:

 # / var / lock -> $ (SEC_CONFIG); # / var / run -> $ (SEC_CONFIG); # daemon PIDs 

FÖRSTORA

Steg 4
På raden Root Config Files kommenterar vi följande rader:

 / root -> $ (SEC_CRIT); # Fånga alla tillägg till / root # / root / mail -> $ (SEC_CONFIG); # / root / Mail -> $ (SEC_CONFIG); # / root / .xsession -fel -> $ (SEC_CONFIG); # / root / .xauth -> $ (SEC_CONFIG); # / root / .tcshrc -> $ (SEC_CONFIG); # / root / .sågfisk -> $ (SEC_CONFIG); # / root / .pinerc -> $ (SEC_CONFIG); # / root / .mc -> $ (SEC_CONFIG); # / root / .gnome_private -> $ (SEC_CONFIG); # / root / .gnome -desktop -> $ (SEC_CONFIG); # / root / .gnome -> $ (SEC_CONFIG); # / root / .esd_auth -> $ (SEC_CONFIG); # / root / .elm -> $ (SEC_CONFIG); # / root / .cshrc -> $ (SEC_CONFIG); /root/.bashrc -> $ (SEC_CONFIG); # / root / .bash_profile -> $ (SEC_CONFIG); # / root / .bash_logout -> $ (SEC_CONFIG); /root/.bash_history -> $ (SEC_CONFIG); # / root / .amandahosts -> $ (SEC_CONFIG); # / root / .addressbook.lu -> $ (SEC_CONFIG); # / root / .adressbok -> $ (SEC_CONFIG); # / root / .Xresources -> $ (SEC_CONFIG); # / root / .Xauthority -> $ (SEC_CONFIG) -i; # Ändrar Inode -nummer vid inloggning # / root / .ICEauthority -> $ (SEC_CONFIG); 

FÖRSTORA

Steg 5
I enhets- och kärninformationsregeln måste vi lägga till följande:

 / dev -> $ (enhet); / dev / pts -> $ (enhet); / dev / shm -> $ (enhet); / dev / hugepages -> $ (Device); / dev / mqueue -> $ (enhet); # / proc -> $ (Device); / proc / devices -> $ (Device); / proc / net -> $ (enhet); / proc / tty -> $ (enhet); / proc / cpuinfo -> $ (enhet); / proc / modules -> $ (Device); / proc / mounts -> $ (enhet); / proc / dma -> $ (enhet); / proc / filsystem -> $ (enhet); / proc / avbryter -> $ (enhet); / proc / ioports -> $ (enhet); / proc / scsi -> $ (enhet); / proc / kcore -> $ (enhet); / proc / self -> $ (Device); / proc / kmsg -> $ (enhet); / proc / stat -> $ (enhet); / proc / loadavg -> $ (enhet); / proc / uptime -> $ (Device); / proc / låser -> $ (enhet); / proc / meminfo -> $ (enhet); / proc / misc -> $ (enhet); 

FÖRSTORA

När dessa ändringar har registrerats kommer vi att spara ändringarna med Ctrl + O -tangenterna och avsluta med Ctrl + X -tangenterna.

Steg 6
Efter redigeringen av konfigurationsfilen genomför vi alla ändringar genom att ladda om den krypterade policyfilen med kommandot twadmin enligt följande. Där kommer tre verifieringssteg att utföras.

 sudo tripwire -update -policy -secure -mode low /etc/tripwire/twpol.txt

FÖRSTORA

Steg 7
För att återskapa Tripwires konfigurationsfil kör vi följande rad:

 sudo twadmin -m P /etc/tripwire/twpol.txt

FÖRSTORA

4. Hur man använder Tripwire

Steg 1
För att starta en analys med det här verktyget kommer vi först att utföra följande:

 sudo tripwire -check

FÖRSTORA

Steg 2
Där startar analysprocessen som ger följande resultat:

FÖRSTORA

Steg 3
Med Tripwire är det möjligt att bara skanna en katalog, till exempel för att skanna katalogen / home kommer vi att utföra följande:

 sudo tripwire -check / home

FÖRSTORA

Steg 4
Längst ner kan vi se specifika detaljer om katalogen:

FÖRSTORA

Steg 5
Vi har lagt till en ny fil i katalogen / dev och när vi kör Tripwire -kontrollen kan vi se att överträdelsen har upptäckts:

FÖRSTORA

Där har vi svårighetsgraden och antalet ändrade filer.

5. Så här konfigurerar du e -postaviseringar för tripwire

För e -postaviseringar erbjuder Tripwire en "emailto" -funktion i inställningarna. Tripwire använder Postfix för att skicka e -postaviseringar, och detta installeras automatiskt under installationsprocessen.

Innan vi konfigurerar e -postaviseringar kan vi testa Tripwire -avisering med följande kommando:

 tripwire --test -e -post [email protected]

FÖRSTORA

Nu, för att definitivt konfigurera posten, kommer vi åt filen twpol.txt igen och under avsnittet Wordpress Data kommer vi att lägga till följande:

 # Regler för webbapp (rulename = "Wordpress Rule", svårighetsgrad = $ (SIG_HI), emailto = [email protected])

När denna process har sparats måste vi regenerera filen genom att köra följande rader:

 sudo twadmin -m P /etc/tripwire/twpol.txt sudo tripwire -init

Slutligen har vi möjlighet att använda cron för att utföra periodiska uppgif.webpter med Tripwire.
För att göra detta kör vi följande rad med vilken en ny cron skapas:

 sudo crontab -e -u root

När vi kommer åt filen kommer vi att lägga till följande rad i slutet:

 0 0 * * * tripwire --check --email-report

På detta sätt definierar vi tider och bifogar en rapport som ska skickas till posten. Vi kan spara ändringarna med Ctrl + O -tangenterna och avsluta redigeraren med Ctrl + X -tangenterna.

Vi startar om cron genom att köra följande:

 systemctl starta om cron

På detta sätt är Tripwire en allierad för att upptäcka förändringar i systemfilerna i Linux distros.