Инсталирайте и използвайте Tripwire за откриване на модифицирани файлове в Ubuntu 17

Когато имаме екипи с дистрибуции на Linux под наша отговорност, важно е да имаме ясни познания за стотиците или хилядите инструменти, с които разполагаме, за да оптимизираме всички системни параметри, както по отношение на сигурността, достъпа, контрола или други.

Един от основните моменти, които трябва да управляваме днес, е сигурността, което прави сложен проблем, когато трябва да управляваме онлайн сървърите, тъй като, въпреки че е възможно да се конфигурират защитни стени, fail2ban политики, защитени услуги и блокиране на приложения, е трудно да се знае със сигурност, ако всяка атака е била ефективно блокирана и това може да доведе до критични проблеми за потребителите и общото поведение на организацията.

Мислейки за това, Solvetic днес предлага ценна помощна програма, наречена Tripwire, за нейното внедряване в средите на Ubuntu, в този случай Ubuntu 17.10, и по този начин има сигурност, че ще има още един инструмент за сигурност под нашата администрация.

Какво е TripwireTripwire е безплатна система за откриване на проникване с отворен код (IDS).
Tripwire е инструмент за защита, който ще ни даде възможност да наблюдаваме и предупреждаваме за всички промени, които са направени във файловете в операционната система.

Tripwire е мощен IDS, предназначен за защита на системата от нежелани промени. С този инструмент ще бъде възможно да се наблюдават системни файлове, включително файлове на уебсайтове, така че когато има нежелана промяна на файла в някой от наблюдаваните файлове, Tripwire ще провери системата и ще ни предупреди, ако сме го направили. Конфигурирани.

Хост-базирана система за откриване на проникване (HIDS) работи, като събира подробности за файловата система и конфигурацията на закупения от вас компютър, след което съхранява тази информация за справка и валидиране на текущото състояние на системата. Ако бъдат установени промени между познатото състояние и текущото състояние, това може да е знак, че сигурността е компрометирана и ще бъде спешно да се предприемат необходимите административни мерки.

Характеристики на TripwireС помощта на този инструмент имаме някои функции като:

• Откриване в реално време: Tripwire се грижи за улавяне и ограничаване на щетите от подозрителни заплахи, аномалии и промени.

• Целостта на сигурността и ИТ приложенията

• Интелигентност на промените в реално време: Tripwire предлага най-изчерпателното решение за цялост на файлове за фирми от всякакъв размер. Tripwire е разработен, за да открива и преценява промените и да дава приоритет на рисковете за сигурността с интеграции, които осигуряват сигнали за промяна на голям и малък обем. Tripwire предлага стабилно решение за наблюдение на целостта на файловете (FIM), способно да следи подробна цялост на системата: файлове, директории, регистри, конфигурационни параметри, DLL, портове, услуги, протоколи и др.

• Система за затвърдяване и подобряване на съответствие - Tripwire има най -голямата и най -изчерпателна библиотека от политики и платформи, която поддържа повече от 800 политики, обхващаща различни версии на операционни системи и устройства с различни платформи.

• Автоматизация и възстановяване на защитата: Възможностите на Tripwire за отстраняване на проблеми автоматизират задачите и ни водят чрез бързо отстраняване на несъответстващи системи и неправилно конфигуриране на сигурността. Ще бъде възможно да се автоматизират работните потоци чрез интеграции със SIEM, IT-GRC и системи за управление на промените.

Предишни изискванияЗа да инсталирате, конфигурирате и използвате Tripwire в идеалния случай, ще ви трябва следното:

• Ubuntu 17.10 сървър: Ubuntu 17.10

• Имате root права

1. Как да актуализирате операционната система и да инсталирате Tripwire на Ubuntu 17.10

Етап 1
Първата стъпка, която трябва да направите, е да инсталирате Tripwire в операционната система, този инструмент е достъпен в официалното хранилище на Ubuntu, така че е достатъчно да актуализирате хранилището на Ubuntu 17.10 със следната команда:

 sudo apt актуализация

Увеличете

Стъпка 2
След като Ubuntu 17.10 се актуализира, продължаваме да инсталираме Tripwire, като изпълним следната команда:

 sudo apt install -y Tripwire

Увеличете

Стъпка 3
По време на инсталационния процес ще се покаже следният въпрос относно Postfix SMTP конфигурацията, ние ще изберем опцията Интернет сайт и щракнете върху Приемам, за да продължим с инсталацията:

Увеличете

Стъпка 4
Когато щракнете върху OK, в следния прозорец за името на пощенската система ще оставим стойността по подразбиране:

Увеличете

Стъпка 5
Кликнете отново върху OK и в следващия прозорец ще бъде необходимо да създадете нов ключ на сайта за Tripwire, в този случай избираме Да и натискаме Enter, за да продължим:

Увеличете

Стъпка 6
Можем да видим, че тези ключове са свързани с фактори за сигурност, тъй като има времеви прозорец, в който нападателят има достъп. След като щракнем върху Да, ще видим следния прозорец:

Увеличете

Стъпка 7
В този случай имаме ключовите файлове на Tripwire, в този случай избираме Да и натискаме Enter, за да продължим. Сега трябва да потвърдим дали ще възстановим конфигурационния файл на Tripwire, тъй като са направени промени в ключовите файлове. Избираме Да и натискаме Enter, за да продължим процеса.

Увеличете

Същият процес, който изпълняваме за възстановяване на директивите:

Увеличете

Стъпка 8
Когато щракнете върху Да, избраният процес ще бъде извършен:

Увеличете

По -късно трябва да присвоим ключ на сайт, защото той не съществува:

Увеличете

ЗабележкаТрябва да запомним тази парола, тъй като нямаме начин за достъп до нея в случай на забрава.

Стъпка 9
Щракнете върху OK и трябва да потвърдим въведената парола:

Увеличете

Стъпка 10
Следващата стъпка е да зададете и потвърдите паролата за локалния ключ:

Увеличете

След като тази парола бъде зададена и по този начин завършихме процеса на инсталиране на Tripwire в Ubuntu 17.10:

Увеличете

2. Как да конфигурирате правилата на Tripwire в Ubuntu 17.10

Етап 1
След като инструментът е инсталиран в системата, ще е необходимо да конфигурирате Tripwire за нашата система Ubuntu 17, цялата конфигурация, свързана с Tripwire, се намира в директорията / etc / tripwire.

След инсталирането на Tripwire ще бъде необходимо да инициализирате системата на базата данни със следната команда:

 sudo tripwire -init

Там ще въведем администраторска парола и след това локалната парола, която е конфигурирана по време на инсталацията:

Увеличете

Стъпка 2
Това ще стартира базата данни, където ще видим следното:

Увеличете

Стъпка 3
Като краен резултат ще бъде следното. Можем да видим грешката Файлът или директорията не съществуват, така че за да разрешим тази грешка, трябва да редактираме конфигурационния файл на Tripwire и да възстановим конфигурацията.

Увеличете

Стъпка 4
Преди да редактираме конфигурацията на Tripwire, трябва да проверим коя директория не съществува, нещо, което може да се направи със следната команда:

 sudo sh -c "tripwire --check | grep Име на файл> no -directory.txt"

По -късно можем да видим съдържанието на споменатия файл, като изпълним следното:

 cat no-directory.txt

Увеличете

Там ще видим списъка на липсващите директории.

3. Как да конфигурирате директориите на Tripwire

Етап 1
Следващата стъпка е да отидете в конфигурационната директория на Tripwire и да редактирате конфигурационния файл twpol.txt, като изпълните следното:

 cd / etc / tripwire / nano twpol.txt

Ще видим следното:

Увеличете

Стъпка 2
Там ще направим следното: В правилото Boot Scripts ще коментираме реда

 /etc/rc.boot -> $ (SEC_BIN);

Увеличете

Стъпка 3
В реда System Boot Changes ще коментираме следните редове:

 # / var / lock -> $ (SEC_CONFIG); # / var / run -> $ (SEC_CONFIG); # демон PID 

Увеличете

Стъпка 4
В реда Root Config Files ще коментираме следните редове:

 / root -> $ (SEC_CRIT); # Хванете всички допълнения към / root # / root / mail -> $ (SEC_CONFIG); # / root / Mail -> $ (SEC_CONFIG); # / root / .xsession -errors -> $ (SEC_CONFIG); # / root / .xauth -> $ (SEC_CONFIG); # / root / .tcshrc -> $ (SEC_CONFIG); # / root / .sawfish -> $ (SEC_CONFIG); # / root / .pinerc -> $ (SEC_CONFIG); # / root / .mc -> $ (SEC_CONFIG); # / root / .gnome_private -> $ (SEC_CONFIG); # / root / .gnome -desktop -> $ (SEC_CONFIG); # / root / .gnome -> $ (SEC_CONFIG); # / root / .esd_auth -> $ (SEC_CONFIG); # / root / .elm -> $ (SEC_CONFIG); # / root / .cshrc -> $ (SEC_CONFIG); /root/.bashrc -> $ (SEC_CONFIG); # / root / .bash_profile -> $ (SEC_CONFIG); # / root / .bash_logout -> $ (SEC_CONFIG); /root/.bash_history -> $ (SEC_CONFIG); # / root / .amandahosts -> $ (SEC_CONFIG); # / root / .addressbook.lu -> $ (SEC_CONFIG); # / root / .addressbook -> $ (SEC_CONFIG); # / root / .Xresources -> $ (SEC_CONFIG); # / root / .Xauthority -> $ (SEC_CONFIG) -i; # Променя номера на Inode при влизане # / root / .ICEauthority -> $ (SEC_CONFIG); 

Увеличете

Стъпка 5
В правилото за информация за устройството и ядрото трябва да добавим следното:

 / dev -> $ (Устройство); / dev / pts -> $ (Устройство); / dev / shm -> $ (Устройство); / dev / hugepages -> $ (Устройство); / dev / mqueue -> $ (Устройство); # / proc -> $ (Устройство); / proc / devices -> $ (Устройство); / proc / net -> $ (Устройство); / proc / tty -> $ (Устройство); / proc / cpuinfo -> $ (Устройство); / proc / modules -> $ (Устройство); / proc / mounts -> $ (Устройство); / proc / dma -> $ (Устройство); / proc / filesystems -> $ (Устройство); / proc / прекъсва -> $ (Устройство); / proc / ioports -> $ (Устройство); / proc / scsi -> $ (Устройство); / proc / kcore -> $ (Устройство); / proc / self -> $ (Устройство); / proc / kmsg -> $ (Устройство); / proc / stat -> $ (Устройство); / proc / loadavg -> $ (Устройство); / proc / uptime -> $ (Устройство); / proc / locks -> $ (Устройство); / proc / meminfo -> $ (Устройство); / proc / misc -> $ (Устройство); 

Увеличете

След като тези промени бъдат регистрирани, ние ще запазим промените с помощта на клавишите Ctrl + O и ще излезем от тях с помощта на клавишите Ctrl + X.

Стъпка 6
След редактиране на конфигурационния файл, ние ще приложим всички промени, като презаредим шифрования файл с правила, като използваме командата twadmin, както следва. Там ще бъдат изпълнени три стъпки за проверка.

 sudo tripwire -update -policy -secure -mode low /etc/tripwire/twpol.txt

Увеличете

Стъпка 7
За да регенерираме конфигурационния файл на Tripwire, ще изпълним следния ред:

 sudo twadmin -m P /etc/tripwire/twpol.txt

Увеличете

4. Как да използвате Tripwire

Етап 1
За да започнем анализ с този инструмент, първо ще изпълним следното:

 sudo tripwire -проверка

Увеличете

Стъпка 2
Там ще започне процесът на анализ, който ще даде следния резултат:

Увеличете

Стъпка 3
С Tripwire ще бъде възможно да се сканира само една директория, например за сканиране на / home директория ще изпълним следното:

 sudo tripwire -проверка / начало

Увеличете

Стъпка 4
В долната част можем да видим конкретни подробности за директорията:

Увеличете

Стъпка 5
Добавихме нов файл в директорията / dev и след като стартираме проверката на Tripwire, можем да видим, че нарушението е открито:

Увеличете

Там имаме нивото на неговата сериозност и броя на модифицираните файлове.

5. Как да настроите известия за tripwire по имейл

За известия по имейл Tripwire предлага функция „имейл до“ в настройките. Tripwire използва Postfix за изпращане на известия по имейл и това се инсталира автоматично по време на процеса на инсталиране на инструмента.

Преди да конфигурираме известията по имейл, можем да тестваме известието на Tripwire, като използваме следната команда:

 tripwire --test --имейл [email protected]

Увеличете

Сега, за да конфигурираме окончателно пощата, отново ще имаме достъп до файла twpol.txt и в секцията Данни на Wordpress ще добавим следното:

 # Правила за уеб приложение (rulename = "Правило на Wordpress", тежест = $ (SIG_HI), emailto = [email protected])

След като този процес бъде запазен, трябва да регенерираме файла, като изпълним следните редове:

 sudo twadmin -m P /etc/tripwire/twpol.txt sudo tripwire -init

И накрая, имаме възможност да използваме cron за извършване на периодични задачи с Tripwire.
За да направим това, ще изпълним следния ред, с който ще бъде създаден нов cron:

 sudo crontab -e -u корен

След като получим достъп до файла, ще добавим следния ред в края:

 0 0 * * * tripwire --check --email-report

По този начин ние определяме часовете и прикачваме отчет, който да бъде изпратен по пощата. Можем да запазим промените с помощта на клавишите Ctrl + O и да излезем от редактора с помощта на клавишите Ctrl + X.

Рестартираме cron, като изпълним следното:

 systemctl рестартирайте cron

По този начин Tripwire е съюзник за откриване на промени в системните файлове в дистрибуциите на Linux.