So installieren Sie TripWire (Intrusion Detection System) Linux

Sicherheit ist eines der kritischsten Themen, denen wir uns täglich stellen müssen, und dies, weil wir nicht nur in unseren Organisationen, sondern auch auf persönlicher Ebene zahlreiche Dateien und Einstellungen haben, die bei Missbrauch irreparable Schäden verursachen können.

Wir kennen verschiedene Tools, die nützlich sein können, um das tägliche Verhalten des Systems zu überwachen, und dieses Mal werden wir insbesondere über eines namens . sprechen Stolperdraht.

Was ist TripWireTripWire ist ein leistungsstarkes und kostenloses Tool, dessen spezifische Funktion die Intrusion Detection (IDS) ist. die kritische Systemdateien und Kontrollberichte ständig aktualisiert, falls sie von einem Hacker oder Eindringling geändert oder gelöscht wurden.

TripWire sendet im Falle eines Systemausfalls eine Nachricht an den Systemadministrator. TripWire ist ein Open-Source-Tool, mit dem der IT-Bereich im Falle einer Änderung des Linux-Systems, in diesem Fall Debian 8, benachrichtigt werden kann.

Das TripWire-Grundbedienung ist das Folgende:

  • Zunächst führt das Tool eine Analyse durch und erstellt einen Referenzpunkt aller kritischen Dateien in einer verschlüsselten Datei, wodurch die Sicherheit erhöht wird.
  • Später überwacht es jede anomale Änderung und vergleicht sie mit dem Benchmark, einschließlich Details wie Datum und Uhrzeit, Berechtigungen usw.

Für diese Analyse verwenden wir ein Team mit Debian 8.

1. System aktualisieren


Zuerst geben wir den Befehl ein:
 apt-get-Update
Um alle auf dem System verfügbaren Pakete zu aktualisieren.

NotizWir stellen sudo voran, falls Sie sich nicht als Root-Benutzer angemeldet haben.

Auf Computern mit CentOS 7 oder RHEL müssen wir den Befehl eingeben:

 leckeres Update
Damit haben wir die Pakete aktualisiert.

2. TripWire herunterladen und installieren


Sobald wir das aktualisierte System haben, geben wir den folgenden Befehl ein, um TripWire herunterzuladen und zu installieren:
 apt-get install tripwire
In Teams mit CentOS 7 wir geben den Befehl ein:
 yum installiere tripwire

Wir können sehen, dass der folgende Assistent angezeigt wird, in dem wir die Nachricht akzeptieren:

Sobald diese Nachricht akzeptiert wurde, wird das folgende Fenster angezeigt, in dem wir definieren müssen, wann die Kennwortschlüssel erstellt werden sollen. Stolperdraht.

Wir werden folgendes sehen:

Wir drücken Akzeptieren und wir müssen den lokalen Schlüssel konfigurieren.

Klicken Sie auf Ja und wir sehen im nächsten Fenster den Pfad, in dem die TripWire-Konfiguration gespeichert wird.

Als nächstes sehen wir die Route der TripWire-Richtlinien.

Klicken Sie auf die gewünschte Option und der Installationsvorgang wird fortgesetzt.

Später sehen wir das folgende Fenster, in dem wir den Site-Schlüssel für TripWire eingeben müssen.

Wir müssen das Passwort bestätigen und dann das lokale Passwort eingeben.

Wir bestätigen das Passwort erneut und sehen schließlich, dass die Installation korrekt abgeschlossen wurde.

Wir drücken Akzeptieren um den Assistenten zu beenden. Falls der Assistent nicht angezeigt wird, müssen wir Folgendes eingeben, um sowohl den Site- als auch den lokalen Schlüssel zu konfigurieren:

 twadmin -m G -L /etc/tripwire/dummy-local.key -S /etc/tripwire/site.key
Site-Schlüssel.

3. TripWire-Dienst starten


Sobald das TripWire-Tool installiert wurde, starten wir den Dienst mit dem folgenden Befehl:
 Stolperdraht -init
Und wir müssen das lokale Passwort eingeben, das wir zuvor erstellt haben.

Bisher haben wir gesehen So installieren und starten Sie Tripwire, Klicken Sie auf die nächste Seite etwas weiter unten, um zu erfahren, wie Sie es konfigurieren können.

4. Tripwire-Konfigurationsdatei ändern


Der nächste Schritt ist twpol.txt-Datei konfigurieren mit dem Editor, der uns am besten gefällt.

In diesem Fall geben wir folgenden Befehl ein:

 sudo nano /etc/tripwire/twpol.txt
Das folgende Fenster wird angezeigt:

Dort finden wir die folgenden Zeilen:

Diese Zeilen beziehen sich auf die Datenbank, die zuvor erstellt wurde, wenn die TripWire-Dienst. Dort müssen wir diese Zeilen mit dem #-Symbol aktivieren, wir wählen nur die folgenden Zeilen nicht aus:

 /root/.bashrc /root/.bash_profile

Auf die gleiche Weise müssen wir die folgenden Zeilen aktivieren:

Wir speichern die Änderungen mit der Tastenkombination:

Strg + Aus

Und wir verlassen den Editor mit der Kombination:

Strg + X

5. TripWire-Vorlagen ändern


Als nächstes geben wir den folgenden Pfad ein, um die Vorlage des Tools zu ändern:
 twadmin -m P /etc/tripwire/twpol.txt

Wir sehen, dass die Dateirichtlinie richtig geschrieben wurde. Nachdem diese Parameter konfiguriert wurden, müssen wir den Befehl erneut verwenden:

 Stolperdraht -init
Damit die Änderungen vorgenommen werden.

6. TripWire-Verifizierung


Um die Parameter des zu überprüfen Stolperdraht-Tool wir geben den folgenden Befehl ein:
 Stolperdraht -check

Wir können den Text noch etwas erweitern und finden in der Zeilenregel-Zusammenfassung der vom Tool gescannten Objekte und der möglichen Verletzungen oder Auswirkungen auf sie.

7. Automatisieren Sie TripWire-Berichte in Debian 8


Einer der Parameter, die TripWire verwendet, ist, wie bereits erwähnt, dass das Tool einen Wiederherstellungspunkt für kritische Dateien erstellt.

Dazu können wir Folgendes verwenden:

 crontab -e
Wir werden folgendes sehen:

Am Ende der Konsole müssen wir die Parameter eingeben, um die Informationen zu sichern:

Auf diese Weise konfigurieren wir, dass wir per E-Mail Benachrichtigungen über jede Änderung in den Dateien erhalten.

Wir speichern die Änderungen mit der Tastenkombination Strg + O.

Wie wir bei der gesehen haben Stolperdraht-Tool wir können uns auf die Möglichkeit verlassen, die Integrität und Sicherheit der Dateien unserer Linux-Systeme.

CentOS 7-Audit

wave wave wave wave wave