Installieren und verwenden Sie Tripwire, um modifizierte Dateien in Ubuntu 17 . zu erkennen

Wenn wir Teams mit Linux-Distributionen unter unserer Verantwortung haben, ist es wichtig, die Hunderte oder Tausende von Tools zu kennen, die uns zur Verfügung stehen, um alle Systemparameter in Bezug auf Sicherheit, Zugriff und Kontrolle zu optimieren oder andere.

Einer der wichtigsten Punkte, die wir heute verwalten müssen, ist die Sicherheit, was es zu einem komplexen Problem macht, wenn wir Online-Server verwalten müssen, da es zwar möglich ist, Firewalls, Fail2Ban-Richtlinien, sichere Dienste zu konfigurieren und Anwendungen zu blockieren, es jedoch schwer zu wissen ist mit Sicherheit, ob jeder Angriff effektiv abgewehrt wurde und dies zu kritischen Problemen für Benutzer und das allgemeine Verhalten der Organisation führen kann.

In Anbetracht dessen bringt Solvetic heute ein wertvolles Dienstprogramm namens Tripwire für seine Implementierung in Ubuntu-Umgebungen, in diesem Fall Ubuntu 17.10, und hat somit die Gewissheit, ein weiteres Sicherheitstool unter unserer Verwaltung zu haben.

Was ist Tripwire?Tripwire ist ein kostenloses Open Source Intrusion Detection System (IDS).
Tripwire ist ein Sicherheitstool, das uns die Möglichkeit gibt, alle Änderungen, die an den Dateien im Betriebssystem vorgenommen werden, zu überwachen und darauf aufmerksam zu machen.

Tripwire ist ein leistungsstarkes IDS, das entwickelt wurde, um das System vor unerwünschten Änderungen zu schützen. Mit diesem Tool wird es möglich sein, Systemdateien, einschließlich Website-Dateien, zu überwachen, so dass Tripwire das System überprüft, wenn eine unerwünschte Dateiänderung in einer der überwachten Dateien auftritt, und uns benachrichtigt, wenn wir dies getan haben.

Ein hostbasiertes Intrusion Detection System (HIDS) erfasst Details über das Dateisystem und die Konfiguration Ihres gekauften Computers und speichert diese Informationen dann, um den aktuellen Status des Systems zu referenzieren und zu validieren. Werden Änderungen zwischen dem bekannten Zustand und dem aktuellen Zustand festgestellt, kann dies ein Zeichen dafür sein, dass die Sicherheit kompromittiert wurde und es dringend erforderlich ist, die erforderlichen administrativen Maßnahmen zu ergreifen.

Tripwire-FunktionenDurch die Verwendung dieses Tools haben wir einige Funktionen wie:

  • Echtzeiterkennung: Tripwire kümmert sich um die Erfassung und Begrenzung von Schäden durch verdächtige Bedrohungen, Anomalien und Änderungen.
  • Sicherheitsintegrität und IT-Anwendungen
  • Echtzeit-Intelligenz von Änderungen: Tripwire bietet die umfassendste Dateiintegritätslösung für Unternehmen jeder Größe. Tripwire wurde entwickelt, um Änderungen zu erkennen und zu beurteilen und Sicherheitsrisiken mit Integrationen zu priorisieren, die Warnmeldungen zu großen und kleinen Änderungen bereitstellen. Tripwire bietet eine robuste File Integrity Monitoring (FIM)-Lösung, die die detaillierte Systemintegrität überwachen kann: Dateien, Verzeichnisse, Registrierungen, Konfigurationsparameter, DLLs, Ports, Dienste, Protokolle usw.
  • Compliance Hardening and Enhancement System – Tripwire verfügt über die größte und umfassendste Bibliothek von Richtlinien und Plattformen, die mehr als 800 Richtlinien unterstützt und eine Vielzahl von Plattformbetriebssystemversionen und -geräten abdeckt.
  • Sicherheitsautomatisierung und -behebung: Die Behebungsfunktion von Tripwire automatisiert Aufgaben und führt uns durch die schnelle Behebung nicht konformer Systeme und Sicherheitsfehlkonfigurationen. Durch Integrationen mit SIEM-, IT-GRC- und Change-Management-Systemen wird es möglich sein, Arbeitsabläufe zu automatisieren.

Bisherige AnforderungenUm Tripwire optimal zu installieren, zu konfigurieren und zu verwenden, benötigen Sie Folgendes:

  • Ubuntu 17.10-Server: Ubuntu 17.10
  • Root-Rechte haben

1. So aktualisieren Sie das Betriebssystem und installieren Tripwire unter Ubuntu 17.10

Schritt 1
Der erste Schritt ist die Installation von Tripwire im Betriebssystem, dieses Tool ist im offiziellen Ubuntu-Repository verfügbar, es reicht also aus, das Ubuntu 17.10-Repository mit dem folgenden Befehl zu aktualisieren:

 sudo apt-Update

VERGRÖSSERN

Schritt 2
Sobald Ubuntu 17.10 aktualisiert ist, fahren wir mit der Installation von Tripwire fort, indem wir den folgenden Befehl ausführen:

 sudo apt install -y Tripwire

VERGRÖSSERN

Schritt 3
Während des Installationsvorgangs wird die folgende Frage zur Postfix SMTP-Konfiguration angezeigt, wir wählen die Option Internet Site und klicken auf Akzeptieren, um mit der Installation fortzufahren:

VERGRÖSSERN

Schritt 4
Beim Klick auf OK belassen wir im folgenden Fenster für den Namen des Mailsystems den Standardwert:

VERGRÖSSERN

Schritt 5
Klicken Sie erneut auf OK und im nächsten Fenster müssen Sie einen neuen Site-Schlüssel für Tripwire erstellen. In diesem Fall wählen wir Ja und drücken die Eingabetaste, um fortzufahren:

VERGRÖSSERN

Schritt 6
Wir sehen, dass diese Schlüssel mit Sicherheitsfaktoren verbunden sind, da es ein Zeitfenster gibt, in dem der Angreifer zugreifen kann. Sobald wir auf Ja klicken, sehen wir das folgende Fenster:

VERGRÖSSERN

Schritt 7
In diesem Fall haben wir die Schlüsseldateien von Tripwire, in diesem Fall wählen wir Ja und drücken die Eingabetaste, um fortzufahren. Jetzt müssen wir bestätigen, ob wir die Tripwire-Konfigurationsdatei neu erstellen, da Änderungen an den Schlüsseldateien vorgenommen wurden. Wir wählen Ja und drücken die Eingabetaste, um den Vorgang fortzusetzen.

VERGRÖSSERN

Der gleiche Prozess, den wir ausführen, um die Direktiven neu zu erstellen:

VERGRÖSSERN

Schritt 8
Wenn Sie auf Ja klicken, wird der ausgewählte Vorgang ausgeführt:

VERGRÖSSERN

Später müssen wir einen Site-Schlüssel zuweisen, da er nicht existiert:

VERGRÖSSERN

NotizWir müssen uns dieses Passwort merken, da wir keine Möglichkeit haben, darauf zuzugreifen, falls es vergessen wird.

Schritt 9
Klicken Sie auf OK und wir müssen das eingegebene Passwort bestätigen:

VERGRÖSSERN

Schritt 10
Der nächste Schritt besteht darin, das Passwort für den lokalen Schlüssel zu vergeben und zu bestätigen:

VERGRÖSSERN

Nachdem dieses Passwort vergeben wurde und wir damit den Installationsvorgang von Tripwire in Ubuntu 17.10 abgeschlossen haben:

VERGRÖSSERN

2. So konfigurieren Sie Tripwire-Richtlinien in Ubuntu 17.10

Schritt 1
Sobald das Tool auf dem System installiert ist, muss Tripwire für unser Ubuntu 17-System konfiguriert werden. Die gesamte Konfiguration von Tripwire befindet sich im Verzeichnis / etc / tripwire.

Nach der Installation von Tripwire muss das Datenbanksystem mit folgendem Befehl initialisiert werden:

 sudo tripwire -init
Dort geben wir das Administrator-Passwort ein und dann das lokale Passwort, das bei der Installation konfiguriert wurde:

VERGRÖSSERN

Schritt 2
Dadurch wird die Datenbank gestartet, in der wir Folgendes sehen:

VERGRÖSSERN

Schritt 3
Als Endergebnis wird es folgendes sein. Wir können den Fehler sehen Die Datei oder das Verzeichnis existiert nicht. Um diesen Fehler zu beheben, müssen wir die Tripwire-Konfigurationsdatei bearbeiten und die Konfiguration neu generieren.

VERGRÖSSERN

Schritt 4
Bevor wir die Tripwire-Konfiguration bearbeiten, müssen wir überprüfen, welches Verzeichnis nicht existiert, was mit dem folgenden Befehl erledigt werden kann:

 sudo sh -c "tripwire --check | grep Dateiname> no-directory.txt"
Später können wir den Inhalt dieser Datei sehen, indem wir Folgendes ausführen:
 cat no-directory.txt

VERGRÖSSERN

Dort sehen wir die Liste der fehlenden Verzeichnisse.

3. So konfigurieren Sie Tripwire-Verzeichnisse

Schritt 1
Der nächste Schritt besteht darin, zum Tripwire-Konfigurationsverzeichnis zu gehen und die Konfigurationsdatei twpol.txt zu bearbeiten, indem Sie Folgendes ausführen:

 cd / etc / tripwire / nano twpol.txt
Wir werden folgendes sehen:

VERGRÖSSERN

Schritt 2
Dort machen wir folgendes: In der Boot Scripts Regel kommentieren wir die Zeile

 /etc/rc.boot -> $ (SEC_BIN);

VERGRÖSSERN

Schritt 3
In der Zeile System Boot Changes kommentieren wir die folgenden Zeilen:

 # / var / lock -> $ (SEC_CONFIG); # / var / ausführen -> $ (SEC_CONFIG); # Daemon-PIDs 

VERGRÖSSERN

Schritt 4
In der Zeile Root Config Files kommentieren wir die folgenden Zeilen:

 /root -> $ (SEC_CRIT); # Alle Zusätze zu /root # /root/mail abfangen -> $ (SEC_CONFIG); # / root / Mail -> $ (SEC_CONFIG); # / root / .xsession-errors -> $ (SEC_CONFIG); # / root / .xauth -> $ (SEC_CONFIG); # / root / .tcshrc -> $ (SEC_CONFIG); # / root / .sawfish -> $ (SEC_CONFIG); # / root / .pinerc -> $ (SEC_CONFIG); # / root / .mc -> $ (SEC_CONFIG); # / root / .gnome_private -> $ (SEC_CONFIG); # / root / .gnome-desktop -> $ (SEC_CONFIG); # / root / .gnome -> $ (SEC_CONFIG); # /root / .esd_auth -> $ (SEC_CONFIG); # /root /.elm -> $ (SEC_CONFIG); # / root / .cshrc -> $ (SEC_CONFIG); /root/.bashrc -> $ (SEC_CONFIG); # / root / .bash_profile -> $ (SEC_CONFIG); # / root / .bash_logout -> $ (SEC_CONFIG); /root/.bash_history -> $ (SEC_CONFIG); # / root / .amandahosts -> $ (SEC_CONFIG); # / root / .addressbook.lu -> $ (SEC_CONFIG); # / root / .addressbook -> $ (SEC_CONFIG); # / root / .Xresources -> $ (SEC_CONFIG); # / root / .Xauthority -> $ (SEC_CONFIG) -i; # Ändert die Inode-Nummer beim Login # / root / .ICEauthority -> $ (SEC_CONFIG); 

VERGRÖSSERN

Schritt 5
In der Regel für Geräte- und Kernelinformationen müssen wir Folgendes hinzufügen:

 /dev -> $ (Gerät); /dev/pts -> $ (Gerät); /dev/shm -> $ (Gerät); /dev/hugepages -> $ (Gerät); /dev/mqueue -> $ (Gerät); # / proc -> $ (Gerät); /proc/geräte -> $ (Gerät); /proc/net -> $ (Gerät); /proc/tty -> $ (Gerät); /proc/cpuinfo -> $ (Gerät); /proc/module -> $ (Gerät); /proc/mounts -> $ (Gerät); /proc/dma -> $ (Gerät); /proc/Dateisysteme -> $ (Gerät); /proc/interrupts -> $ (Gerät); /proc/ioports -> $ (Gerät); /proc/scsi -> $ (Gerät); /proc/kcore -> $ (Gerät); /proc/self -> $ (Gerät); /proc/kmsg -> $ (Gerät); /proc/stat -> $ (Gerät); /proc/loadavg -> $ (Gerät); /proc/uptime -> $ (Gerät); /proc/locks -> $ (Gerät); /proc/meminfo -> $ (Gerät); /proc/misc -> $ (Gerät); 

VERGRÖSSERN

Sobald diese Änderungen registriert sind, speichern wir die Änderungen mit den Tasten Strg + O und verlassen sie mit den Tasten Strg + X.

Schritt 6
Nach dem Bearbeiten der Konfigurationsdatei implementieren wir alle Änderungen, indem wir die verschlüsselte Richtliniendatei mit dem Befehl twadmin wie folgt neu laden. Dort werden drei Verifizierungsschritte ausgeführt.

 sudo tripwire -update-policy -secure-mode low /etc/tripwire/twpol.txt

VERGRÖSSERN

Schritt 7
Um die Tripwire-Konfigurationsdatei neu zu generieren, führen wir die folgende Zeile aus:

 sudo twadmin -m P /etc/tripwire/twpol.txt

VERGRÖSSERN

4. So verwenden Sie Tripwire

Schritt 1
Um eine Analyse mit diesem Tool zu starten, führen wir zunächst Folgendes aus:

 sudo tripwire -check

VERGRÖSSERN

Schritt 2
Dort wird der Analyseprozess gestartet, der folgendes Ergebnis liefert:

VERGRÖSSERN

Schritt 3
Mit Tripwire wird es möglich sein, nur ein Verzeichnis zu scannen, zum Beispiel um das / home-Verzeichnis zu scannen, führen wir Folgendes aus:

 sudo tripwire -check / home

VERGRÖSSERN

Schritt 4
Unten sehen wir spezifische Details des Verzeichnisses:

VERGRÖSSERN

Schritt 5
Wir haben eine neue Datei im Verzeichnis /dev hinzugefügt, und sobald wir die Tripwire-Prüfung ausführen, können wir sehen, dass die Verletzung erkannt wurde:

VERGRÖSSERN

Dort haben wir den Schweregrad davon und die Anzahl der geänderten Dateien.

5. So richten Sie Tripwire-E-Mail-Benachrichtigungen ein


Für E-Mail-Benachrichtigungen bietet Tripwire in den Einstellungen eine 'emailto'-Funktion an. Tripwire verwendet Postfix zum Senden von E-Mail-Benachrichtigungen, und dies wird automatisch während des Installationsvorgangs des Tools installiert.

Bevor wir E-Mail-Benachrichtigungen konfigurieren, können wir die Tripwire-Benachrichtigung mit dem folgenden Befehl testen:

 tripwire --test --email [email protected]

VERGRÖSSERN

Um die Mail nun endgültig zu konfigurieren, greifen wir erneut auf die Datei twpol.txt zu und fügen im Abschnitt Wordpress-Daten Folgendes hinzu:

 # Regeln für Web-App (Regelname = "Wordpress-Regel", Schweregrad = $ (SIG_HI), emailto = [email protected])
Sobald dieser Vorgang gespeichert ist, müssen wir die Datei neu generieren, indem wir die folgenden Zeilen ausführen:
 sudo twadmin -m P /etc/tripwire/twpol.txt sudo tripwire -init
Schließlich haben wir die Möglichkeit, cron zu verwenden, um periodische Aufgaben mit Tripwire auszuführen.
Dazu führen wir folgende Zeile aus, mit der ein neuer Cron erstellt wird:
 sudo crontab -e -u root
Sobald wir auf die Datei zugreifen, fügen wir am Ende die folgende Zeile hinzu:
 0 0 * * * tripwire --check --email-report
Auf diese Weise definieren wir Zeiten und fügen einen Bericht an die Mail an. Wir können die Änderungen mit den Tasten Strg + O speichern und den Editor mit den Tasten Strg + X verlassen.

Wir starten cron neu, indem wir Folgendes ausführen:

 systemctl Neustart cron
Auf diese Weise ist Tripwire ein Verbündeter, um Änderungen in den Systemdateien in Linux-Distributionen zu erkennen.

wave wave wave wave wave