Beveiliging is een van de meest kritieke problemen waarmee we dagelijks te maken hebben en dit omdat we niet alleen in onze organisaties, maar ook op persoonlijk niveau tal van bestanden en instellingen hebben die, bij misbruik, onherstelbare schade kunnen veroorzaken.
We kennen verschillende tools die nuttig kunnen zijn om het dagelijkse gedrag van het systeem te volgen en deze keer zullen we het hebben over een in het bijzonder genaamd struikeldraad.
Wat is TripWireTripWire is een krachtige en gratis tool waarvan de specifieke functie Intrusion Detection (IDS) is die voortdurend kritieke systeembestanden en controlerapporten bijwerkt voor het geval ze zijn gewijzigd of verwijderd door een hacker of indringer.
TripWire stuurt bij een systeemstoring een bericht naar de systeembeheerder. TripWire is een open source-tool waarmee het IT-gebied op de hoogte kan worden gesteld van elke wijziging in het Linux-systeem, in dit geval Debian 8.
De TripWire-basisbediening is de volgende:
- Ten eerste voert de tool een analyse uit en creëert een referentiepunt van alle kritieke bestanden in een versleuteld bestand, waardoor de veiligheid toeneemt.
- Later controleert het elke afwijkende wijziging en vergelijkt het met de benchmark, inclusief details zoals datum en tijd, machtigingen, en andere.
Voor deze analyse gebruiken we een team met Debian 8.
1. Systeem bijwerken
Eerst voeren we het commando in:
apt-get updateOm alle pakketten die op het systeem beschikbaar zijn bij te werken.
OpmerkingWe zetten sudo voor in het geval dat we niet zijn ingelogd als root-gebruikers.
Op computers met CentOS 7 of RHEL moeten we de opdracht invoeren:
jammie updateHiermee hebben we de pakketten bijgewerkt.
2. Download en installeer TripWire
Zodra we het bijgewerkte systeem hebben, gaan we verder met het invoeren van de volgende opdracht om TripWire te downloaden en te installeren:
apt-get install tripwireIn teams met CentOS 7 we zullen het commando invoeren:
yum installatie tripwire
We kunnen zien dat de volgende wizard wordt weergegeven waar we het bericht accepteren:
Zodra dit bericht is geaccepteerd, wordt het volgende venster weergegeven waarin we moeten definiëren wanneer de wachtwoordsleutels moeten worden gemaakt. struikeldraad.
We zullen het volgende zien:
wij drukken op Accepteren en we moeten de lokale sleutel configureren.
Klik op Ja en we zien in het volgende venster het pad waar de TripWire-configuratie wordt opgeslagen.
Vervolgens zien we de route van de TripWire-richtlijnen.
Klik op de gewenste optie en het installatieproces gaat verder.
Later zullen we het volgende venster zien waar we de sitesleutel voor TripWire moeten invoeren.
We moeten het wachtwoord bevestigen en daarna moeten we het lokale wachtwoord invoeren.
We bevestigen het wachtwoord opnieuw en tot slot zullen we zien dat de installatie correct is voltooid.
wij drukken op Accepteren om de wizard te verlaten. Als de wizard niet wordt weergegeven, moeten we het volgende invoeren om zowel de site- als de lokale sleutels te configureren:
twadmin -m G -L /etc/tripwire/dummy-local.key -S /etc/tripwire/site.keySite sleutel.
3. TripWire-service starten
Nadat de TripWire-tool is geïnstalleerd, gaan we verder met het starten van de service met behulp van de volgende opdracht:
struikeldraad -initEn we moeten het lokale wachtwoord invoeren dat we eerder hebben gemaakt.
Tot nu toe hebben we gezien hoe Tripwire te installeren en te starten, klik op de volgende pagina een beetje hieronder om te leren hoe het te configureren.
4. Wijzig het Tripwire-configuratiebestand
De volgende stap is twpol.txt-bestand configureren met behulp van de editor die we het leukst vinden.
In dit geval voeren we het volgende commando in:
sudo nano /etc/tripwire/twpol.txtHet volgende venster wordt weergegeven:
Daar vinden we de volgende lijnen:
Deze regels zijn gerelateerd aan de database die eerder is gemaakt toen de TripWire-service. Daar moeten we deze regels inschakelen met het #-pictogram, we selecteren alleen de volgende regels niet:
/root/.bashrc /root/.bash_profile
Op dezelfde manier moeten we de volgende regels activeren:
We slaan de wijzigingen op met de toetsencombinatie:
Ctrl + O
En we verlaten de editor met de combinatie:
Ctrl + X
5. TripWire-sjablonen wijzigen
Vervolgens zullen we het volgende pad invoeren om de sjabloon van de tool te wijzigen:
twadmin -m P /etc/tripwire/twpol.txt
We zien dat het bestandsbeleid correct is geschreven. Nadat deze parameters zijn geconfigureerd, moeten we de opdracht opnieuw gebruiken:
struikeldraad -initVoor de aan te brengen wijzigingen.
6. TripWire-verificatie
Om de parameters van de . te verifiëren struikeldraad tool we zullen het volgende commando invoeren:
struikeldraad -check
We kunnen de tekst iets meer uitbreiden en we zullen vinden in de Rijregel Samenvatting de objecten die zijn gescand door de tool en de mogelijke overtredingen of effecten daarop.
7. Automatiseer TripWire-rapporten in Debian 8
Een van de parameters die TripWire gebruikt, zoals we eerder vermeldden, is dat de tool een herstelpunt maakt voor kritieke bestanden.
Hiervoor kunnen we het volgende gebruiken:
crontab -eWe zullen het volgende zien:
Aan het einde van de console moeten we de parameters invoeren om een back-up van de informatie te maken:
Op deze manier configureren we dat we via e-mail meldingen ontvangen van elke wijziging in de bestanden.
We slaan de wijzigingen op met de toetsencombinatie Ctrl + O.
Zoals we hebben gezien met de struikeldraad tool we kunnen rekenen op de mogelijkheid om de integriteit en veiligheid van de bestanden van onze Linux-systemen.
CentOS 7-audit
