Installer og bruk Tripwire til å oppdage endrede filer i Ubuntu 17

Når vi har team med Linux -distroer under vårt ansvar, er det viktig å ha en klar kunnskap om hundrevis eller tusenvis av verktøy vi har til disposisjon for å optimalisere alle systemparametrene, både når det gjelder sikkerhet, tilgang, kontroll eller andre.

Et av hovedpunktene vi må administrere i dag er sikkerhet, noe som gjør det til et komplekst problem når vi må administrere online -servere, siden det er vanskelig å vite selv om det er mulig å konfigurere brannmurer, fail2ban -retningslinjer, sikre tjenester og blokkere applikasjoner. med sikkerhet hvis hvert angrep effektivt har blitt blokkert, og dette kan resultere i kritiske problemer for brukerne og organisasjonens generelle oppførsel.

Når vi tenker på dette, bringer Solvetic i dag et verdifullt verktøy som heter Tripwire for implementering i Ubuntu -miljøer, i dette tilfellet Ubuntu 17.10, og dermed ha vissheten om å ha enda et sikkerhetsverktøy under vår administrasjon.

Hva er TripwireTripwire er et gratis, åpen kildekodeinnbruddsdeteksjonssystem (IDS).
Tripwire er et sikkerhetsverktøy som gir oss muligheten til å overvåke og varsle om endringer som gjøres i filene i operativsystemet.

Tripwire er en kraftig IDS som er designet for å beskytte systemet mot uønskede endringer. Med dette verktøyet vil det være mulig å overvåke systemfiler, inkludert nettstedfiler, slik at når det skjer en uønsket filendring i noen av filene som overvåkes, vil Tripwire sjekke systemet og varsle oss hvis vi har gjort det.

Et vertsbasert inntrengingsdeteksjonssystem (HIDS) fungerer ved å samle detaljer om filsystemet og konfigurasjonen av den kjøpte datamaskinen, og lagrer deretter denne informasjonen for å referere og validere systemets nåværende tilstand. Hvis det blir funnet endringer mellom den kjente staten og den nåværende tilstanden, kan det være et tegn på at sikkerheten er blitt kompromittert, og det vil være presserende å ta nødvendige administrative tiltak.

Tripwire -funksjonerVed å bruke dette verktøyet har vi noen funksjoner som:

• Sanntidsdeteksjon: Tripwire tar seg av å fange opp og begrense skader fra mistenkelige trusler, anomalier og endringer.

• Sikkerhetsintegritet og IT -applikasjoner

• Sanntids intelligens om endringer: Tripwire tilbyr den mest omfattende filintegritetsløsningen for bedrifter av alle størrelser. Tripwire er utviklet for å oppdage og bedømme endringer og prioritere sikkerhetsrisiko med integrasjoner som gir varsler om høy volum og lav volum. Tripwire tilbyr en robust File Integrity Monitoring (FIM) løsning som er i stand til å overvåke detaljert systemintegritet: filer, kataloger, registre, konfigurasjonsparametere, DLLer, porter, tjenester, protokoller, etc.

• Compliance Hardening and Enhancement System - Tripwire har det største og mest omfattende biblioteket med retningslinjer og plattformer som støtter mer enn 800 retningslinjer, som dekker en rekke plattformoperativsystemversjoner og enheter.

• Sikkerhetsautomatisering og sanering: Tripwires utbedringsevne automatiserer oppgaver og veileder oss gjennom rask utbedring av ikke-kompatible systemer og feilkonfigurasjoner. Det vil være mulig å automatisere arbeidsflyter gjennom integrasjoner med SIEM, IT-GRC og endringsledelsessystemer.

Tidligere kravFor å ideelt installere, konfigurere og bruke Tripwire trenger du følgende:

• Ubuntu 17.10 Server: Ubuntu 17.10

• Ha rotrettigheter

1. Slik oppdaterer du operativsystemet og installerer Tripwire på Ubuntu 17.10

Trinn 1
Det første trinnet å ta er å installere Tripwire i operativsystemet, dette verktøyet er tilgjengelig i det offisielle Ubuntu -depotet, så det er nok å oppdatere Ubuntu 17.10 -depotet med følgende kommando:

 sudo apt oppdatering

FORSTØRRE

Steg 2
Når Ubuntu 17.10 er oppdatert, fortsetter vi med å installere Tripwire ved å utføre følgende kommando:

 sudo apt install -y Tripwire

FORSTØRRE

Trinn 3
Under installasjonsprosessen vil følgende spørsmål om Postfix SMTP -konfigurasjonen vises, vi velger alternativet Internett -nettsted og klikker på Godta for å fortsette med installasjonen:

FORSTØRRE

Trinn 4
Når du klikker på OK, i det følgende vinduet for navnet på e -postsystemet, forlater vi standardverdien:

FORSTØRRE

Trinn 5
Klikk OK igjen, og i det neste vinduet vil det være nødvendig å opprette en ny nettstednøkkel for Tripwire, i dette tilfellet velger vi Ja og trykker Enter for å fortsette:

FORSTØRRE

Trinn 6
Vi kan se at disse nøklene er knyttet til sikkerhetsfaktorer siden det er et tidsvindu som angriperen kan få tilgang til. Når vi klikker Ja, ser vi følgende vindu:

FORSTØRRE

Trinn 7
I dette tilfellet har vi nøkkelfilene til Tripwire, i dette tilfellet velger vi Ja og trykker Enter for å fortsette. Nå må vi bekrefte om vi vil bygge om Tripwire -konfigurasjonsfilen siden det er gjort endringer i nøkkelfilene. Vi velger Ja og trykker Enter for å fortsette prosessen.

FORSTØRRE

Den samme prosessen vi kjører for å gjenoppbygge direktivene:

FORSTØRRE

Trinn 8
Når du klikker på Ja, vil den valgte prosessen bli utført:

FORSTØRRE

Senere må vi tildele en nettstednøkkel fordi den ikke eksisterer:

FORSTØRRE

MerkVi må huske dette passordet, siden vi ikke har tilgang til det i tilfelle vi glemmer det.

Trinn 9
Klikk OK, og vi må bekrefte det angitte passordet:

FORSTØRRE

Trinn 10
Det neste trinnet er å tildele og bekrefte passordet for den lokale nøkkelen:

FORSTØRRE

Når dette passordet er tildelt og dermed har vi fullført installasjonsprosessen for Tripwire i Ubuntu 17.10:

FORSTØRRE

2. Slik konfigurerer du Tripwire -policyer i Ubuntu 17.10

Trinn 1
Når verktøyet er installert på systemet, vil det være nødvendig å konfigurere Tripwire for vårt Ubuntu 17 -system, all konfigurasjonen knyttet til Tripwire er plassert i / etc / tripwire -katalogen.

Etter installasjonen av Tripwire vil det være nødvendig å initialisere databasesystemet med følgende kommando:

 sudo tripwire -init

Der vil vi skrive inn administratorpassordet og deretter det lokale passordet som ble konfigurert under installasjonen:

FORSTØRRE

Steg 2
Dette vil starte databasen der vi vil se følgende:

FORSTØRRE

Trinn 3
Som et endelig resultat blir det følgende. Vi kan se feilen Filen eller katalogen finnes ikke, så for å løse denne feilen må vi redigere Tripwire -konfigurasjonsfilen og regenerere konfigurasjonen.

FORSTØRRE

Trinn 4
Før vi redigerer Tripwire -konfigurasjonen, må vi bekrefte hvilken katalog som ikke eksisterer, noe som kan gjøres med følgende kommando:

 sudo sh -c "tripwire --check | grep Filnavn> no -directory.txt"

Senere kan vi se innholdet i filen ved å utføre følgende:

 cat no-directory.txt

FORSTØRRE

Der vil vi se listen over manglende kataloger.

3. Slik konfigurerer du Tripwire -kataloger

Trinn 1
Det neste trinnet er å gå til Tripwire -konfigurasjonskatalogen og redigere konfigurasjonsfilen twpol.txt ved å kjøre følgende:

 cd / etc / tripwire / nano twpol.txt

Vi vil se følgende:

FORSTØRRE

Steg 2
Der vil vi gjøre følgende: I Boot Scripts -regelen vil vi kommentere linjen

 /etc/rc.boot -> $ (SEC_BIN);

FORSTØRRE

Trinn 3
I linjen System Boot Changes vil vi kommentere følgende linjer:

 # / var / lock -> $ (SEC_CONFIG); # / var / run -> $ (SEC_CONFIG); # demon PIDer 

FORSTØRRE

Trinn 4
I linjen Root Config Files vil vi kommentere følgende linjer:

 / root -> $ (SEC_CRIT); # Fang alle tillegg til / root # / root / mail -> $ (SEC_CONFIG); # / root / Mail -> $ (SEC_CONFIG); # / root / .xsession -feil -> $ (SEC_CONFIG); # / root / .xauth -> $ (SEC_CONFIG); # / root / .tcshrc -> $ (SEC_CONFIG); # / root / .sawfish -> $ (SEC_CONFIG); # / root / .pinerc -> $ (SEC_CONFIG); # / root / .mc -> $ (SEC_CONFIG); # / root / .gnome_private -> $ (SEC_CONFIG); # / root / .gnome -desktop -> $ (SEC_CONFIG); # / root / .gnome -> $ (SEC_CONFIG); # / root / .esd_auth -> $ (SEC_CONFIG); # / root / .elm -> $ (SEC_CONFIG); # / root / .cshrc -> $ (SEC_CONFIG); /root/.bashrc -> $ (SEC_CONFIG); # / root / .bash_profile -> $ (SEC_CONFIG); # / root / .bash_logout -> $ (SEC_CONFIG); /root/.bash_history -> $ (SEC_CONFIG); # / root / .amandahosts -> $ (SEC_CONFIG); # / root / .addressbook.lu -> $ (SEC_CONFIG); # / root / .adressebok -> $ (SEC_CONFIG); # / root / .Xresources -> $ (SEC_CONFIG); # / root / .Xauthority -> $ (SEC_CONFIG) -i; # Endrer Inode -nummer ved pålogging # / root / .ICEauthority -> $ (SEC_CONFIG); 

FORSTØRRE

Trinn 5
I enhets- og kjerninformasjonsregelen må vi legge til følgende:

 / dev -> $ (Device); / dev / pts -> $ (Device); / dev / shm -> $ (Device); / dev / hugepages -> $ (Device); / dev / mqueue -> $ (Device); # / proc -> $ (Device); / proc / devices -> $ (Device); / proc / net -> $ (Device); / proc / tty -> $ (Device); / proc / cpuinfo -> $ (Device); / proc / modules -> $ (Device); / proc / mounts -> $ (Device); / proc / dma -> $ (enhet); / proc / filsystemer -> $ (enhet); / proc / interrupts -> $ (Device); / proc / ioports -> $ (Device); / proc / scsi -> $ (enhet); / proc / kcore -> $ (enhet); / proc / self -> $ (Device); / proc / kmsg -> $ (Device); / proc / stat -> $ (Device); / proc / loadavg -> $ (Device); / proc / oppetid -> $ (enhet); / proc / locks -> $ (Device); / proc / meminfo -> $ (Device); / proc / misc -> $ (Device); 

FORSTØRRE

Når disse endringene er registrert, lagrer vi endringene ved hjelp av Ctrl + O -tastene og avslutter det med Ctrl + X -tastene.

Trinn 6
Etter å ha redigert konfigurasjonsfilen, implementerer vi alle endringene ved å laste inn den krypterte policyfilen på nytt med twadmin -kommandoen som følger. Der vil tre verifikasjonstrinn bli utført.

 sudo tripwire -update -policy -secure -mode low /etc/tripwire/twpol.txt

FORSTØRRE

Trinn 7
For å regenerere Tripwire -konfigurasjonsfilen vil vi utføre følgende linje:

 sudo twadmin -m P /etc/tripwire/twpol.txt

FORSTØRRE

4. Slik bruker du Tripwire

Trinn 1
For å starte en analyse med dette verktøyet, vil vi først utføre følgende:

 sudo tripwire -sjekk

FORSTØRRE

Steg 2
Der vil analyseprosessen starte som vil gi følgende resultat:

FORSTØRRE

Trinn 3
Med Tripwire vil det være mulig å skanne bare én katalog, for eksempel for å skanne katalogen / home vil vi utføre følgende:

 sudo tripwire -sjekk / hjem

FORSTØRRE

Trinn 4
Nederst kan vi se spesifikke detaljer om katalogen:

FORSTØRRE

Trinn 5
Vi har lagt til en ny fil i / dev -katalogen, og når vi kjører Tripwire -sjekken, kan vi se at bruddet er oppdaget:

FORSTØRRE

Der har vi alvorlighetsgraden av det og antall endrede filer.

5. Slik konfigurerer du tripwire -e -postvarsler

For e -postvarsler tilbyr Tripwire en e -postfunksjon i innstillingene. Tripwire bruker Postfix til å sende e -postvarsler, og dette installeres automatisk under installasjonen av verktøyet.

Før vi konfigurerer e -postvarsler, kan vi teste Tripwire -varsling ved å bruke følgende kommando:

 tripwire --test -epost [email protected]

FORSTØRRE

For å konfigurere e -posten definitivt, får vi tilgang til twpol.txt -filen igjen, og under Wordpress Data -delen vil vi legge til følgende:

 # Regler for Web-app (rulename = "Wordpress Rule", alvorlighetsgrad = $ (SIG_HI), emailto = [email protected])

Når denne prosessen er lagret, må vi regenerere filen ved å utføre følgende linjer:

 sudo twadmin -m P /etc/tripwire/twpol.txt sudo tripwire -init

Endelig har vi muligheten til å bruke cron til å utføre periodiske oppgaver med Tripwire.
For å gjøre dette vil vi utføre følgende linje som en ny cron vil bli opprettet med:

 sudo crontab -e -u root

Når vi får tilgang til filen vil vi legge til følgende linje på slutten:

 0 0 * * * tripwire-sjekk-mail-rapport

På denne måten definerer vi tider og legger ved en rapport som skal sendes til posten. Vi kan lagre endringene ved hjelp av Ctrl + O -tastene og avslutte editoren med Ctrl + X -tastene.

Vi starter cron på nytt ved å utføre følgende:

 systemctl start cron på nytt

På denne måten er Tripwire en alliert for å oppdage endringer i systemfilene i Linux -distroer.