Securitatea este una dintre cele mai critice probleme cu care trebuie să ne confruntăm zilnic și asta pentru că nu numai în organizațiile noastre, ci și la nivel personal, avem numeroase fișiere și setări care, dacă sunt utilizate în mod abuziv, pot provoca daune ireparabile.
Știm diferite instrumente care pot fi utile pentru a monitoriza comportamentul zilnic al sistemului și de data aceasta vom vorbi despre unul numit în special Tripwire.
Ce este TripWireTripWire este un instrument puternic și gratuit a cărui funcție specifică este Intrusion Detection (IDS) care actualizează constant fișierele de sistem critice și rapoartele de control în cazul în care au fost modificate sau șterse de către un hacker sau intrus.
TripWire va trimite un mesaj administratorului de sistem în cazul unei defecțiuni a sistemului. TripWire este un instrument open source care va permite notificarea zonei IT în cazul oricărei modificări a sistemului Linux, în acest caz Debian 8.
Operațiune de bază TripWire este următorul:
- În primul rând, instrumentul efectuează o analiză și creează un punct de referință pentru toate fișierele critice dintr-un fișier criptat, sporind securitatea.
- Ulterior, monitorizează orice schimbare anormală și o compară cu valoarea de referință, inclusiv detalii precum data și ora, permisiunile, printre altele.
Pentru această analiză vom folosi o echipă cu Debian 8.
1. Sistem de actualizare
Mai întâi vom introduce comanda:
apt-get updatePentru a actualiza toate pachetele disponibile pe sistem.
NotăPrevenim sudo în cazul în care nu ne-am conectat ca utilizatori root.
Pe computerele cu CentOS 7 sau RHEL trebuie să introducem comanda:
yum actualizareCu aceasta, vom actualiza pachetele.
2. Descărcați și instalați TripWire
Odată ce avem sistemul actualizat, continuăm să introducem următoarea comandă pentru a descărca și instala TripWire:
apt-get install tripwireÎn echipe cu CentOS 7 vom introduce comanda:
instalează tripwire
Putem vedea că următorul expert este afișat acolo unde acceptăm mesajul:
Odată ce acest mesaj este acceptat, se afișează următoarea fereastră unde trebuie să definim când să creăm cheile de parolă. Tripwire.
Vom vedea următoarele:
Apăsăm A accepta și trebuie să configurăm cheia locală.
Faceți clic pe Da și vom vedea în fereastra următoare calea în care va fi salvată configurația TripWire.
În continuare vom vedea ruta liniilor directoare TripWire.
Faceți clic pe opțiunea necesară și procesul de instalare va continua.
Mai târziu vom vedea următoarea fereastră în care trebuie să introducem cheia de site pentru TripWire.
Trebuie să confirmăm parola și apoi să introducem parola locală.
Reconfirmăm parola și în cele din urmă vom vedea că instalarea a fost finalizată corect.
Apăsăm A accepta pentru a ieși din vrăjitor. În cazul în care expertul nu este afișat, trebuie să introducem următoarele pentru a configura atât site-ul, cât și cheile locale:
twadmin -m G -L /etc/tripwire/dummy-local.key -S /etc/tripwire/site.keyCheia site-ului.
3. Porniți TripWire Service
Odată ce instrumentul TripWire a fost instalat, continuăm să pornim serviciul folosind următoarea comandă:
tripwire -initȘi trebuie să introducem parola locală pe care am creat-o mai devreme.
Până acum am văzut cum se instalează și se pornește Tripwire, faceți clic pe pagina următoare puțin mai jos pentru a afla cum să o configurați.
4. Modificați fișierul de configurare Tripwire
Următorul pas este configurați fișierul twpol.txt folosind editorul care ne place cel mai mult.
În acest caz, vom introduce următoarea comandă:
sudo nano /etc/tripwire/twpol.txtVa fi afișată următoarea fereastră:
Acolo vom localiza următoarele linii:
Aceste linii sunt legate de baza de date creată mai devreme când Serviciu TripWire. Acolo trebuie să activăm aceste linii folosind pictograma #, pur și simplu nu selectăm următoarele linii:
/root/.bashrc /root/.bash_profile
În același mod, trebuie să activăm următoarele linii:
Salvăm modificările folosind combinația de taste:
Ctrl + O
Și lăsăm editorul folosind combinația:
Ctrl + X
5. Modificați șabloanele TripWire
Apoi vom introduce următoarea cale pentru a modifica șablonul instrumentului:
twadmin -m P /etc/tripwire/twpol.txt
Vedem că politica de fișiere a fost scrisă corect. Odată ce acești parametri au fost configurați, trebuie să folosim din nou comanda:
tripwire -initPentru ca modificările să fie făcute.
6. Verificare TripWire
Pentru a verifica parametrii fișierului instrument tripwire vom introduce următoarea comandă:
tripwire -verificare
Putem extinde puțin mai mult textul și îl vom găsi în Row Rule Rezumă obiectele scanate de instrument și posibilele încălcări sau efecte asupra acestora.
7. Automatizați rapoartele TripWire în Debian 8
Unul dintre parametrii utilizați de TripWire, așa cum am menționat mai devreme, este că instrumentul creează un punct de restaurare pentru fișierele critice.
Pentru aceasta putem folosi următoarele:
crontab -eVom vedea următoarele:
La sfârșitul consolei trebuie să introducem parametrii pentru a face copii de rezervă ale informațiilor:
În acest fel, configurăm că prin e-mail primim notificări cu privire la orice modificare a fișierelor.
Salvăm modificările folosind combinația de taste Ctrl + O.
După cum am văzut cu instrument tripwire putem conta pe posibilitatea asigurării integritatea și securitatea fișierelor sistemelor noastre Linux.
CentOS 7 Audit