Wanneer we teams met Linux-distributies onder onze verantwoordelijkheid hebben, is het belangrijk om een duidelijke kennis te hebben van de honderden of duizenden tools die we tot onze beschikking hebben om alle systeemparameters te optimaliseren, zowel op het gebied van beveiliging, toegang, controle of anderen.
Een van de belangrijkste punten die we vandaag moeten beheren, is beveiliging, wat het een complex probleem maakt wanneer we online servers moeten beheren, aangezien, hoewel het mogelijk is om firewalls, fail2ban-beleid, veilige services en blokkering van applicaties te configureren, het moeilijk is om te weten met zekerheid of elke aanval effectief is geblokkeerd en dit kan leiden tot kritieke problemen voor gebruikers en het algemene gedrag van de organisatie.
Als we hierover nadenken, brengt Solvetic vandaag een waardevol hulpprogramma genaamd Tripwire voor de implementatie ervan in Ubuntu-omgevingen, in dit geval Ubuntu 17.10, en heeft dus de zekerheid dat we nog een beveiligingstool onder ons beheer hebben.
Wat is TripwireTripwire is een gratis, open source inbraakdetectiesysteem (IDS).
Tripwire is een beveiligingshulpmiddel waarmee we eventuele wijzigingen in de bestanden in het besturingssysteem kunnen controleren en waarschuwen.
Tripwire is een krachtige IDS die is ontworpen om het systeem te beschermen tegen ongewenste wijzigingen. Met deze tool is het mogelijk om systeembestanden te monitoren, inclusief websitebestanden, zodat wanneer er een ongewenste bestandswijziging is in een van de bestanden die worden gecontroleerd, Tripwire het systeem zal controleren en ons zal waarschuwen als we dit hebben geconfigureerd.
Een host-based intrusion detection system (HIDS) verzamelt details over het bestandssysteem en de configuratie van uw aangeschafte computer, en slaat deze informatie vervolgens op om de huidige status van het systeem te raadplegen en te valideren. Als er wijzigingen worden gevonden tussen de bekende staat en de huidige staat, kan dit een teken zijn dat de beveiliging is aangetast en zal het dringend zijn om de vereiste administratieve maatregelen te nemen.
Tripwire-functiesDoor deze tool te gebruiken, hebben we enkele functies, zoals:
- Realtime detectie: Tripwire zorgt voor het vastleggen en beperken van schade door verdachte bedreigingen, afwijkingen en wijzigingen.
- Beveiligingsintegriteit en IT-toepassingen
- Realtime informatie over verandering: Tripwire biedt de meest uitgebreide oplossing voor bestandsintegriteit voor bedrijven van elke omvang. Tripwire is ontwikkeld om veranderingen te detecteren en te beoordelen en om beveiligingsrisico's te prioriteren met integraties die waarschuwingen voor grote en kleine wijzigingen bieden. Tripwire biedt een robuuste File Integrity Monitoring (FIM)-oplossing die in staat is om gedetailleerde systeemintegriteit te bewaken: bestanden, mappen, registers, configuratieparameters, DLL's, poorten, services, protocollen, enz.
- Compliance-verhardings- en verbeteringssysteem - Tripwire heeft de grootste en meest uitgebreide bibliotheek van beleidsregels en platforms die meer dan 800 beleidsregels ondersteunt, die een verscheidenheid aan platformbesturingssysteemversies en apparaten dekt.
- Beveiligingsautomatisering en herstel: Tripwire's herstelvermogen automatiseert taken en begeleidt ons bij het snel herstellen van niet-conforme systemen en verkeerde beveiligingsconfiguraties. Het wordt mogelijk om workflows te automatiseren door integraties met SIEM, IT-GRC en change management systemen.
Eerdere vereistenOm Tripwire idealiter te installeren, configureren en gebruiken, hebt u het volgende nodig:
- Ubuntu 17.10-server: Ubuntu 17.10
- Heb root-rechten
1. Hoe het besturingssysteem te updaten en Tripwire te installeren op Ubuntu 17.10
Stap 1
De eerste stap die u moet nemen, is om Tripwire in het besturingssysteem te installeren, deze tool is beschikbaar in de officiële Ubuntu-repository, dus het is voldoende om de Ubuntu 17.10-repository bij te werken met de volgende opdracht:
sudo apt update
VERGROTEN
Stap 2
Nadat Ubuntu 17.10 is bijgewerkt, gaan we verder met het installeren van Tripwire door de volgende opdracht uit te voeren:
sudo apt install -y Tripwire
VERGROTEN
Stap 3
Tijdens het installatieproces wordt de volgende vraag over de Postfix SMTP-configuratie weergegeven, we selecteren de optie Internetsite en klikken op Accepteren om door te gaan met de installatie:
VERGROTEN
Stap 4
Bij het klikken op OK, in het volgende venster voor de naam van het mailsysteem, laten we de standaardwaarde staan:
VERGROTEN
Stap 5
Klik nogmaals op OK en in het volgende venster is het nodig om een nieuwe sitesleutel voor Tripwire aan te maken, in dit geval selecteren we Ja en drukken op Enter om verder te gaan:
VERGROTEN
Stap 6
We kunnen zien dat deze sleutels worden geassocieerd met beveiligingsfactoren, omdat er een tijdvenster is waarbinnen de aanvaller toegang heeft. Zodra we op Ja klikken, zien we het volgende venster:
VERGROTEN
Stap 7
In dit geval hebben we de sleutelbestanden van Tripwire, in dit geval selecteren we Ja en drukken op Enter om verder te gaan. Nu moeten we bevestigen of we het Tripwire-configuratiebestand opnieuw zullen opbouwen, aangezien er wijzigingen zijn aangebracht in de sleutelbestanden. We selecteren Ja en drukken op Enter om door te gaan met het proces.
VERGROTEN
Hetzelfde proces dat we uitvoeren om de richtlijnen opnieuw op te bouwen:
VERGROTEN
Stap 8
Als u op Ja klikt, wordt het geselecteerde proces uitgevoerd:
VERGROTEN
Later moeten we een sitesleutel toewijzen omdat deze niet bestaat:
VERGROTEN
OpmerkingWe moeten dit wachtwoord onthouden omdat we er geen toegang toe hebben in het geval van vergeten.
Stap 9
Klik op OK en we moeten het ingevoerde wachtwoord bevestigen:
VERGROTEN
Stap 10
De volgende stap is het toewijzen en bevestigen van het wachtwoord voor de lokale sleutel:
VERGROTEN
Zodra dit wachtwoord is toegewezen en we het installatieproces van Tripwire in Ubuntu 17.10 hebben voltooid:
VERGROTEN
2. Hoe Tripwire-beleid te configureren in Ubuntu 17.10
Stap 1
Zodra de tool op het systeem is geïnstalleerd, moet Tripwire worden geconfigureerd voor ons Ubuntu 17-systeem, alle configuraties met betrekking tot Tripwire bevinden zich in de directory / etc / tripwire.
Na de installatie van Tripwire zal het nodig zijn om het databasesysteem te initialiseren met het volgende commando:
sudo tripwire -initDaar zullen we het beheerderswachtwoord invoeren en vervolgens het lokale wachtwoord dat tijdens de installatie is geconfigureerd:
VERGROTEN
Stap 2
Hiermee wordt de database gestart waar we het volgende zullen zien:
VERGROTEN
Stap 3
Als eindresultaat wordt het het volgende. We kunnen de fout zien. Het bestand of de map bestaat niet, dus om deze fout op te lossen, moeten we het Tripwire-configuratiebestand bewerken en de configuratie opnieuw genereren.
VERGROTEN
Stap 4
Voordat we de Tripwire-configuratie bewerken, moeten we controleren welke map niet bestaat, iets dat kan worden gedaan met het volgende commando:
sudo sh -c "tripwire --check | grep Bestandsnaam> no-directory.txt"Later kunnen we de inhoud van het bestand zien door het volgende uit te voeren:
cat no-directory.txt
VERGROTEN
Daar zien we de lijst met ontbrekende mappen.
3. Hoe Tripwire-mappen te configureren
Stap 1
De volgende stap is om naar de Tripwire-configuratiemap te gaan en het twpol.txt-configuratiebestand te bewerken door het volgende uit te voeren:
cd / etc / struikeldraad / nano twpol.txtWe zullen het volgende zien:
VERGROTEN
Stap 2
Daar zullen we het volgende doen: In de regel Boot Scripts zullen we commentaar geven op de regel
/etc/rc.boot -> $ (SEC_BIN);
VERGROTEN
Stap 3
In de regel System Boot Changes zullen we commentaar geven op de volgende regels:
# / var / lock -> $ (SEC_CONFIG); # / var / uitvoeren -> $ (SEC_CONFIG); # daemon PID's
VERGROTEN
Stap 4
In de regel Root Config Files zullen we commentaar geven op de volgende regels:
/ root -> $ (SEC_CRIT); # Vang alle toevoegingen aan / root # / root / mail -> $ (SEC_CONFIG); # / root / Mail -> $ (SEC_CONFIG); # / root / .xsession-errors -> $ (SEC_CONFIG); # / root / .xauth -> $ (SEC_CONFIG); # / root / .tcshrc -> $ (SEC_CONFIG); # / root / .sawfish -> $ (SEC_CONFIG); # / root / .pinerc -> $ (SEC_CONFIG); # / root / .mc -> $ (SEC_CONFIG); # / root / .gnome_private -> $ (SEC_CONFIG); # / root / .gnome-desktop -> $ (SEC_CONFIG); # / root / .gnome -> $ (SEC_CONFIG); # / root / .esd_auth -> $ (SEC_CONFIG); # / root / .elm -> $ (SEC_CONFIG); # / root / .cshrc -> $ (SEC_CONFIG); /root/.bashrc -> $ (SEC_CONFIG); # / root / .bash_profile -> $ (SEC_CONFIG); # / root / .bash_logout -> $ (SEC_CONFIG); /root/.bash_history -> $ (SEC_CONFIG); # / root / .amandahosts -> $ (SEC_CONFIG); # / root / .addressbook.lu -> $ (SEC_CONFIG); # / root / .addressbook -> $ (SEC_CONFIG); # / root / .Xresources -> $ (SEC_CONFIG); # / root / .Xauthority -> $ (SEC_CONFIG) -i; # Wijzigingen Inode-nummer bij inloggen # / root / .ICEauthority -> $ (SEC_CONFIG);
VERGROTEN
Stap 5
In de apparaat- en kernelinformatieregel moeten we het volgende toevoegen:
/ dev -> $ (Apparaat); / dev / pts -> $ (Apparaat); / dev / shm -> $ (Apparaat); / dev / enorme pagina's -> $ (Apparaat); / dev / mqueue -> $ (Apparaat); # / proc -> $ (Apparaat); / proc / apparaten -> $ (apparaat); / proc / net -> $ (apparaat); / proc / tty -> $ (Apparaat); / proc / cpuinfo -> $ (Apparaat); / proc / modules -> $ (Apparaat); / proc / mounts -> $ (apparaat); / proc / dma -> $ (Apparaat); / proc / bestandssystemen -> $ (apparaat); / proc / interrupts -> $ (Apparaat); / proc / ioports -> $ (apparaat); / proc / scsi -> $ (apparaat); / proc / kcore -> $ (Apparaat); / proc / zelf -> $ (Apparaat); / proc / kmsg -> $ (apparaat); / proc / stat -> $ (apparaat); / proc / loadavg -> $ (apparaat); / proc / uptime -> $ (apparaat); / proc / locks -> $ (Apparaat); / proc / meminfo -> $ (Apparaat); / proc / misc -> $ (Apparaat);
VERGROTEN
Zodra deze wijzigingen zijn geregistreerd, zullen we de wijzigingen opslaan met behulp van de Ctrl + O-toetsen en het verlaten met de Ctrl + X-toetsen.
Stap 6
Nadat we het configuratiebestand hebben bewerkt, zullen we alle wijzigingen doorvoeren door het versleutelde beleidsbestand als volgt opnieuw te laden met het twadmin-commando. Daar worden drie verificatiestappen uitgevoerd.
sudo tripwire -update-policy -secure-mode low /etc/tripwire/twpol.txt
VERGROTEN
Stap 7
Om het Tripwire-configuratiebestand opnieuw te genereren, voeren we de volgende regel uit:
sudo twadmin -m P /etc/tripwire/twpol.txt
VERGROTEN
4. Hoe Tripwire te gebruiken?
Stap 1
Om een analyse met deze tool te starten, voeren we eerst het volgende uit:
sudo struikeldraad -check
VERGROTEN
Stap 2
Daar start het analyseproces met het volgende resultaat:
VERGROTEN
Stap 3
Met Tripwire zal het mogelijk zijn om slechts één directory te scannen, bijvoorbeeld om de / home directory te scannen zullen we het volgende uitvoeren:
sudo struikeldraad -check / home
VERGROTEN
Stap 4
Onderaan kunnen we specifieke details van de directory zien:
VERGROTEN
Stap 5
We hebben een nieuw bestand toegevoegd in de map / dev en zodra we de Tripwire-controle hebben uitgevoerd, kunnen we zien dat de overtreding is gedetecteerd:
VERGROTEN
Daar hebben we het ernstniveau ervan en het aantal gewijzigde bestanden.
5. Tripwire e-mailmeldingen instellen
Voor e-mailmeldingen biedt Tripwire een 'emailto'-functie in de instellingen. Tripwire gebruikt Postfix om e-mailmeldingen te verzenden en dit wordt automatisch geïnstalleerd tijdens het installatieproces van de tool.
Voordat we e-mailmeldingen configureren, kunnen we Tripwire-meldingen testen met de volgende opdracht:
tripwire --test --e-mail [email protected]
VERGROTEN
Om de mail definitief te configureren, zullen we opnieuw toegang krijgen tot het twpol.txt-bestand en onder de sectie Wordpress-gegevens zullen we het volgende toevoegen:
# Regels voor web-app (regelnaam = "Wordpress-regel", ernst = $ (SIG_HI), emailto = [email protected])Nadat dit proces is opgeslagen, moeten we het bestand opnieuw genereren door de volgende regels uit te voeren:
sudo twadmin -m P /etc/tripwire/twpol.txt sudo tripwire -initTen slotte hebben we de mogelijkheid om cron te gebruiken om periodieke taken met Tripwire uit te voeren.
Om dit te doen zullen we de volgende regel uitvoeren waarmee een nieuwe cron wordt gemaakt:
sudo crontab -e -u rootZodra we het bestand openen, voegen we aan het einde de volgende regel toe:
0 0 * * * struikeldraad --check --e-mail-rapportOp deze manier definiëren we tijden en voegen we een rapport toe om naar de post te sturen. We kunnen de wijzigingen opslaan met de Ctrl + O-toetsen en de editor verlaten met de Ctrl + X-toetsen.
We herstarten cron door het volgende uit te voeren:
systemctl herstart cronOp deze manier is Tripwire een bondgenoot om veranderingen in de systeembestanden in Linux-distributies te detecteren.
