Įdiekite ir naudokite „Tripwire“, kad aptiktumėte pakeistus failus „Ubuntu 17“

Kai mes esame atsakingi už komandas, kuriose yra „Linux“ distribucijos, svarbu aiškiai žinoti šimtus ar tūkstančius turimų įrankių, kad galėtume optimizuoti visus sistemos parametrus tiek saugumo, tiek prieigos, tiek kontrolės požiūriu. ar kiti.

Vienas iš pagrindinių dalykų, kuriuos šiandien turime valdyti, yra saugumas, todėl tai yra sudėtinga problema, kai turime valdyti internetinius serverius, nes, nors galima sukonfigūruoti ugniasienes, fail2ban politiką, saugias paslaugas ir blokuoti programas, sunku žinoti užtikrintai, jei kiekviena ataka buvo veiksmingai užblokuota ir dėl to gali kilti kritinių problemų vartotojams ir bendram organizacijos elgesiui.

Galvodamas apie tai, „Solvetic“ šiandien atneša vertingą įrankį, vadinamą „Tripwire“, skirtą įdiegti „Ubuntu“ aplinkoje, šiuo atveju - „Ubuntu 17.10“, ir tokiu būdu yra tikras, kad mūsų administruojama dar viena saugos priemonė.

Kas yra „Tripwire“„Tripwire“ yra nemokama atviro kodo įsibrovimo aptikimo sistema (IDS).
„Tripwire“ yra saugos priemonė, suteikianti mums galimybę stebėti ir įspėti apie visus operacinės sistemos failų pakeitimus.

„Tripwire“ yra galingas IDS, sukurtas apsaugoti sistemą nuo nepageidaujamų pakeitimų. Naudojant šį įrankį bus galima stebėti sistemos failus, įskaitant svetainės failus, kad, kai bet kuris stebimas failas pasikeistų nepageidaujamai, „Tripwire“ patikrintų sistemą ir įspėtų, jei tai padarėme.

Prieglobos pagrindu veikianti įsilaužimo aptikimo sistema (HIDS) veikia rinkdama išsamią informaciją apie įsigyto kompiuterio failų sistemą ir konfigūraciją, tada saugo šią informaciją, kad būtų pateikta nuoroda ir patvirtinta dabartinė sistemos būsena. Jei nustatomi žinomos ir dabartinės būsenos pokyčiai, tai gali būti ženklas, kad saugumui buvo pakenkta ir reikės skubiai imtis reikiamų administracinių priemonių.

„Tripwire“ funkcijosNaudodami šį įrankį turime keletą funkcijų, tokių kaip:

• Aptikimas realiuoju laiku: „Tripwire“ rūpinasi įtartinų grėsmių, anomalijų ir pokyčių padarytos žalos užfiksavimu ir apribojimu.

• Saugumo vientisumas ir IT programos

• Realaus laiko informacija apie pokyčius: „Tripwire“ siūlo išsamiausią failų vientisumo sprendimą bet kokio dydžio įmonėms. „Tripwire“ buvo sukurta siekiant aptikti ir įvertinti pokyčius bei nustatyti saugumo rizikos prioritetus, naudojant integracijas, kurios teikia įspėjimus apie didelės ir mažos apimties pokyčius. „Tripwire“ siūlo tvirtą failų vientisumo stebėjimo (FIM) sprendimą, galintį stebėti išsamų sistemos vientisumą: failus, katalogus, registrus, konfigūracijos parametrus, DLL, prievadus, paslaugas, protokolus ir kt.

• Atitikties grūdinimo ir patobulinimų sistema - „Tripwire“ turi didžiausią ir plačiausią politikos ir platformų biblioteką, palaikančią daugiau nei 800 strategijų, apimančių įvairias platformų operacinės sistemos versijas ir įrenginius.

• Saugos automatizavimas ir pašalinimas: „Tripwire“ ištaisymo galimybės automatizuoja užduotis ir padeda greitai pašalinti neatitinkančias sistemas ir netinkamas saugumo konfigūracijas. Bus galima automatizuoti darbo eigą integruojant su SIEM, IT-GRC ir pokyčių valdymo sistemomis.

Ankstesni reikalavimaiNorėdami idealiai įdiegti, konfigūruoti ir naudoti „Tripwire“, jums reikės:

• „Ubuntu 17.10“ serveris: „Ubuntu 17.10“

• Turėti root teises

1. Kaip atnaujinti operacinę sistemą ir įdiegti „Tripwire“ „Ubuntu 17.10“

1 žingsnis
Pirmiausia reikia įdiegti „Tripwire“ operacinėje sistemoje, šis įrankis yra oficialioje „Ubuntu“ saugykloje, todėl pakanka atnaujinti „Ubuntu 17.10“ saugyklą naudojant šią komandą:

 sudo apt atnaujinimas

DIDELIS

2 žingsnis
Atnaujinus „Ubuntu 17.10“, mes pradedame diegti „Tripwire“ vykdydami šią komandą:

 sudo apt install -y Tripwire

DIDELIS

3 žingsnis
Diegimo metu bus parodytas šis klausimas apie „Postfix SMTP“ konfigūraciją, mes pasirinksime parinktį „Interneto svetainė“ ir spustelėsime „Sutikti“, kad tęstumėte diegimą:

DIDELIS

4 žingsnis
Spustelėję Gerai, šiame pašto sistemos pavadinimo lange paliksime numatytąją vertę:

DIDELIS

5 žingsnis
Dar kartą spustelėkite Gerai ir kitame lange turėsite sukurti naują „Tripwire“ svetainės raktą, šiuo atveju pasirenkame Taip ir paspaudžiame „Enter“, kad tęstumėte:

DIDELIS

6 žingsnis
Matome, kad šie raktai yra susiję su saugumo veiksniais, nes yra laiko langas, per kurį užpuolikas gali pasiekti. Spustelėję Taip, pamatysime šį langą:

DIDELIS

7 žingsnis
Šiuo atveju turime pagrindinius „Tripwire“ failus, šiuo atveju pasirenkame „Taip“ ir paspaudžiame „Enter“, kad tęstume. Dabar turime patvirtinti, ar atstatysime „Tripwire“ konfigūracijos failą, nes buvo atlikti pagrindinių failų pakeitimai. Mes pasirenkame Taip ir paspaudžiame Enter, kad tęstume procesą.

DIDELIS

Mes atliekame tą patį procesą, kad atkurtume direktyvas:

DIDELIS

8 žingsnis
Spustelėjus Taip, bus atliktas pasirinktas procesas:

DIDELIS

Vėliau turime priskirti svetainės raktą, nes jo nėra:

DIDELIS

PastabaTurime prisiminti šį slaptažodį, nes neturime galimybės jo pasiekti užmiršę.

9 veiksmas
Spustelėkite Gerai ir mes turime patvirtinti įvestą slaptažodį:

DIDELIS

10 žingsnis
Kitas žingsnis yra priskirti ir patvirtinti vietinio rakto slaptažodį:

DIDELIS

Kai šis slaptažodis bus priskirtas ir mes užbaigsime „Tripwire“ diegimo procesą „Ubuntu 17.10“:

DIDELIS

2. Kaip sukonfigūruoti „Tripwire“ politiką „Ubuntu 17.10“

1 žingsnis
Kai įrankis bus įdiegtas sistemoje, turėsite sukonfigūruoti „Tripwire“ mūsų „Ubuntu 17“ sistemai, visa su „Tripwire“ susijusi konfigūracija yra kataloge / etc / tripwire.

Įdiegę „Tripwire“, turėsite inicijuoti duomenų bazės sistemą naudodami šią komandą:

 sudo tripwire -iš pradžių

Ten įvesime administratoriaus slaptažodį ir vietinį slaptažodį, kuris buvo sukonfigūruotas diegimo metu:

DIDELIS

2 žingsnis
Bus paleista duomenų bazė, kurioje matysime šiuos dalykus:

DIDELIS

3 žingsnis
Galutinis rezultatas bus toks. Matome klaidą Failas ar katalogas neegzistuoja, todėl norėdami išspręsti šią klaidą turime redaguoti „Tripwire“ konfigūracijos failą ir iš naujo nustatyti konfigūraciją.

DIDELIS

4 žingsnis
Prieš redaguodami „Tripwire“ konfigūraciją, turime patikrinti, kurio katalogo nėra, ką galima padaryti naudojant šią komandą:

 sudo sh -c "tripwire --check | grep Failo vardas> no -directory.txt"

Vėliau galime pamatyti minėto failo turinį atlikdami šiuos veiksmus:

 katė be katalogo.txt

DIDELIS

Ten pamatysime trūkstamų katalogų sąrašą.

3. Kaip sukonfigūruoti „Tripwire“ katalogus

1 žingsnis
Kitas žingsnis - eiti į „Tripwire“ konfigūracijos katalogą ir redaguoti „twpol.txt“ konfigūracijos failą vykdant šiuos veiksmus:

 cd / etc / tripwire / nano twpol.txt

Pamatysime šiuos dalykus:

DIDELIS

2 žingsnis
Ten mes darysime taip: „Boot Scripts“ taisyklėje mes komentuosime eilutę

 /etc/rc.boot -> $ (SEC_BIN);

DIDELIS

3 žingsnis
Eilutėje Sistemos įkrovos pakeitimai komentuosime šias eilutes:

 # / var / lock -> $ (SEC_CONFIG); # / var / run -> $ (SEC_CONFIG); # demonų PID 

DIDELIS

4 žingsnis
Eilutėje „Root Config Files“ komentuosime šias eilutes:

 / root -> $ (SEC_CRIT); # Paimkite visus papildymus į / root # / root / mail -> $ (SEC_CONFIG); # / root / Mail -> $ (SEC_CONFIG); # / root / .xsession -klaidos -> $ (SEC_CONFIG); # / root / .xauth -> $ (SEC_CONFIG); # / root / .tcshrc -> $ (SEC_CONFIG); # / root / .sawfish -> $ (SEC_CONFIG); # / root / .pinerc -> $ (SEC_CONFIG); # / root / .mc -> $ (SEC_CONFIG); # / root / .gnome_private -> $ (SEC_CONFIG); # / root / .gnome -desktop -> $ (SEC_CONFIG); # / root / .gnome -> $ (SEC_CONFIG); # / root / .esd_auth -> $ (SEC_CONFIG); # / root / .elm -> $ (SEC_CONFIG); # / root / .cshrc -> $ (SEC_CONFIG); /root/.bashrc -> $ (SEC_CONFIG); # / root / .bash_profile -> $ (SEC_CONFIG); # / root / .bash_logout -> $ (SEC_CONFIG); /root/.bash_history -> $ (SEC_CONFIG); # / root / .amandahosts -> $ (SEC_CONFIG); # / root / .addressbook.lu -> $ (SEC_CONFIG); # / root / .addressbook -> $ (SEC_CONFIG); # / root / .Xresources -> $ (SEC_CONFIG); # / root / .Xauthority -> $ (SEC_CONFIG) -i; # Keičia Inodo numerį prisijungimo metu # / root / .ICEauthority -> $ (SEC_CONFIG); 

DIDELIS

5 žingsnis
Įrenginio ir branduolio informacijos taisyklėje turime pridėti:

 / dev -> $ (Įrenginys); / dev / pts -> $ (Įrenginys); / dev / shm -> $ (Įrenginys); / dev / didžiuliai puslapiai -> $ (Įrenginys); / dev / mqueue -> $ (Įrenginys); # / proc -> $ (įrenginys); / proc / devices -> $ (Įrenginys); / proc / net -> $ (Įrenginys); / proc / tty -> $ (Įrenginys); / proc / cpuinfo -> $ (Įrenginys); / proc / modules -> $ (Įrenginys); / proc / mounts -> $ (Įrenginys); / proc / dma -> $ (Įrenginys); / proc / filesystems -> $ (Įrenginys); / proc / interrupts -> $ (Įrenginys); / proc / ioports -> $ (Įrenginys); / proc / scsi -> $ (Įrenginys); / proc / kcore -> $ (Įrenginys); / proc / self -> $ (Įrenginys); / proc / kmsg -> $ (Įrenginys); / proc / stat -> $ (Įrenginys); / proc / loadavg -> $ (Įrenginys); / proc / uptime -> $ (Įrenginys); / proc / locks -> $ (Įrenginys); / proc / meminfo -> $ (Įrenginys); / proc / misc -> $ (Įrenginys); 

DIDELIS

Kai šie pakeitimai bus užregistruoti, išsaugosime pakeitimus naudodami „Ctrl“ + O klavišus ir išeisime iš jų naudodami „Ctrl“ + X klavišus.

6 žingsnis
Redagavę konfigūracijos failą, mes įgyvendinsime visus pakeitimus iš naujo įkeldami užšifruotą politikos failą naudodami „twadmin“ komandą, kaip nurodyta toliau. Ten bus atlikti trys patvirtinimo veiksmai.

 sudo tripwire -update -policy -secure -mode low /etc/tripwire/twpol.txt

DIDELIS

7 žingsnis
Norėdami atkurti „Tripwire“ konfigūracijos failą, vykdysime šią eilutę:

 sudo twadmin -m P /etc/tripwire/twpol.txt

DIDELIS

4. Kaip naudotis „Tripwire“

1 žingsnis
Norėdami pradėti analizę naudodami šį įrankį, pirmiausia atliksime šiuos veiksmus:

 sudo tripwire -patikrinkite

DIDELIS

2 žingsnis
Tada prasidės analizės procesas, kurio rezultatas bus toks:

DIDELIS

3 žingsnis
Naudojant „Tripwire“ bus galima nuskaityti tik vieną katalogą, pavyzdžiui, norėdami nuskaityti / home katalogą, atliksime šiuos veiksmus:

 sudo tripwire -check / home

DIDELIS

4 žingsnis
Apačioje matome konkrečią katalogo informaciją:

DIDELIS

5 žingsnis
Į katalogą / dev pridėjome naują failą ir, kai tik atliksime „Tripwire“ patikrinimą, pamatysime, kad pažeidimas buvo aptiktas:

DIDELIS

Čia mes turime jo sunkumo lygį ir pakeistų failų skaičių.

5. Kaip nustatyti „Tripwire“ el. Pašto pranešimus

Norėdami gauti el. Pašto pranešimus, „Tripwire“ nustatymuose siūlo funkciją „emailto“. „Tripwire“ naudoja „Postfix“ pranešimams el. Paštu siųsti, o tai automatiškai įdiegiama įrankio diegimo proceso metu.

Prieš konfigūruodami el. Pašto pranešimus, galime išbandyti „Tripwire“ pranešimą naudodami šią komandą:

 tripwire --test --email [email protected]

DIDELIS

Dabar, norėdami galutinai sukonfigūruoti paštą, dar kartą pateksime į failą twpol.txt ir skiltyje „Wordpress Data“ pridėsime:

 # Žiniatinklio programos taisyklės (rulename = "Wordpress Rule", sunkumas = $ (SIG_HI), emailto = [email protected])

Išsaugoję šį procesą, turime iš naujo sukurti failą vykdydami šias eilutes:

 sudo twadmin -m P /etc/tripwire/twpol.txt sudo tripwire -init

Galiausiai turime galimybę naudoti „cron“, kad atliktume periodines užduotis su „Tripwire“.
Norėdami tai padaryti, vykdysime šią eilutę, su kuria bus sukurtas naujas cronas:

 sudo crontab -e -u šaknis

Kai pateksime į failą, pabaigoje pridėsime šią eilutę:

 0 0 * * * tripwire-check-email-report

Tokiu būdu mes apibrėžiame laiką ir pridedame ataskaitą, kuri turi būti išsiųsta į paštą. Galime išsaugoti pakeitimus naudodami „Ctrl“ + O klavišus ir išeiti iš redaktoriaus naudodami „Ctrl“ + X klavišus.

Iš naujo paleiskite „cron“ atlikdami šiuos veiksmus:

 systemctl iš naujo paleiskite cron

Tokiu būdu „Tripwire“ yra sąjungininkas aptikti sistemos failų pakeitimus „Linux“ distribucijose.