Când avem echipe cu distribuții Linux sub responsabilitatea noastră, este important să avem o cunoaștere clară a sutelor sau a miilor de instrumente pe care le avem la dispoziție pentru a optimiza toți parametrii sistemului, atât în ceea ce privește securitatea, accesul, controlul sau altele.
Unul dintre principalele puncte pe care trebuie să le gestionăm astăzi este securitatea, ceea ce face din aceasta o problemă complexă atunci când trebuie să gestionăm servere online, întrucât, deși este posibil să se configureze firewall-uri, politici fail2ban, servicii securizate și blocarea aplicațiilor, este dificil de știut cu certitudine dacă fiecare atac a fost blocat eficient și acest lucru poate duce la probleme critice pentru utilizatori și comportamentul general al organizației.
Gândindu-ne la acest lucru, Solvetic aduce astăzi un utilitar valoros numit Tripwire pentru implementarea sa în medii Ubuntu, în acest caz Ubuntu 17.10, și astfel avem certitudinea de a avea încă un instrument de securitate sub administrarea noastră.
Ce este TripwireTripwire este un sistem gratuit, open source de detectare a intruziunilor (IDS).
Tripwire este un instrument de securitate care ne va oferi posibilitatea de a monitoriza și avertiza în legătură cu orice modificări aduse fișierelor din sistemul de operare.
Tripwire este un IDS puternic care a fost conceput pentru a proteja sistemul împotriva modificărilor nedorite. Cu acest instrument va fi posibil să monitorizați fișierele de sistem, inclusiv fișierele site-ului web, astfel încât atunci când există o modificare nedorită a fișierelor în oricare dintre fișierele monitorizate, Tripwire va verifica sistemul și ne va avertiza dacă am făcut acest lucru.
Un sistem de detectare a intruziunilor bazat pe gazdă (HIDS) funcționează prin colectarea detaliilor despre sistemul de fișiere și configurația computerului achiziționat, apoi stochează aceste informații pentru a face referință și a valida starea curentă a sistemului. Dacă se constată modificări între starea cunoscută și starea actuală, ar putea fi un semn că securitatea a fost compromisă și va fi urgent să se ia măsurile administrative necesare.
Caracteristici TripwirePrin utilizarea acestui instrument avem câteva caracteristici precum:
- Detecție în timp real: Tripwire se ocupă de captarea și limitarea daunelor cauzate de amenințări suspecte, anomalii și modificări.
- Integritatea securității și aplicațiile IT
- Informații de schimbare în timp real: Tripwire oferă cea mai cuprinzătoare soluție de integritate a fișierelor pentru companii de orice dimensiune. Tripwire a fost dezvoltat pentru a detecta și judeca schimbările și pentru a prioritiza riscurile de securitate cu integrări care furnizează alerte de modificare a volumului mare și a volumului mic. Tripwire oferă o soluție robustă de monitorizare a integrității fișierelor (FIM), capabilă să monitorizeze integritatea detaliată a sistemului: fișiere, directoare, registre, parametri de configurare, DLL-uri, porturi, servicii, protocoale etc.
- Sistem de întărire și îmbunătățire a conformității - Tripwire are cea mai mare și mai cuprinzătoare bibliotecă de politici și platforme care acceptă mai mult de 800 de politici, acoperind o varietate de versiuni și dispozitive ale sistemului de operare a platformei.
- Automatizarea și remedierea securității: capacitatea de remediere a Tripwire automatizează sarcinile și ne ghidează prin remedierea rapidă a sistemelor neconforme și a configurărilor greșite de securitate. Va fi posibilă automatizarea fluxurilor de lucru prin integrări cu SIEM, IT-GRC și sisteme de management al schimbărilor.
Cerințe anterioarePentru a instala, configura și utiliza în mod ideal Tripwire, veți avea nevoie de următoarele:
- Server Ubuntu 17.10: Ubuntu 17.10
- Aveți privilegii de root
1. Cum se actualizează sistemul de operare și se instalează Tripwire pe Ubuntu 17.10
Pasul 1
Primul pas pe care trebuie să îl faceți este să instalați Tripwire în sistemul de operare, acest instrument este disponibil în depozitul oficial Ubuntu, deci este suficient să actualizați depozitul Ubuntu 17.10 cu următoarea comandă:
actualizare sudo apt
MARI
Pasul 2
Odată ce Ubuntu 17.10 este actualizat, continuăm să instalăm Tripwire executând următoarea comandă:
sudo apt install -y Tripwire
MARI
Pasul 3
În timpul procesului de instalare, va fi afișată următoarea întrebare despre configurația SMTP Postfix, vom selecta opțiunea Site Internet și vom face clic pe Accept pentru a continua cu instalarea:
MARI
Pasul 4
Când faceți clic pe OK, în următoarea fereastră pentru numele sistemului de mail, vom lăsa valoarea implicită:
MARI
Pasul 5
Faceți clic din nou pe OK și în fereastra următoare va fi necesar să creați o nouă cheie de site pentru Tripwire, în acest caz selectăm Da și apăsați Enter pentru a continua:
MARI
Pasul 6
Putem vedea că aceste chei sunt asociate cu factori de securitate, deoarece există o fereastră de timp în care atacatorul poate accesa. După ce facem clic pe Da, vom vedea următoarea fereastră:
MARI
Pasul 7
În acest caz avem fișierele cheie ale Tripwire, în acest caz selectăm Da și apăsăm Enter pentru a continua. Acum, trebuie să confirmăm dacă vom reconstrui fișierul de configurare Tripwire, deoarece s-au făcut modificări la fișierele cheie. Selectăm Da și apăsăm Enter pentru a continua procesul.
MARI
Același proces pe care îl executăm pentru a reconstrui directivele:
MARI
Pasul 8
Când faceți clic pe Da, procesul selectat va fi efectuat:
MARI
Mai târziu trebuie să atribuim o cheie de site deoarece nu există:
MARI
NotăTrebuie să ne amintim această parolă, deoarece nu avem nicio modalitate de a o accesa în caz de uitare.
Pasul 9
Faceți clic pe OK și trebuie să confirmăm parola introdusă:
MARI
Pasul 10
Următorul pas este să atribuiți și să confirmați parola pentru cheia locală:
MARI
Odată ce această parolă a fost atribuită și astfel am finalizat procesul de instalare a Tripwire în Ubuntu 17.10:
MARI
2. Cum se configurează politicile Tripwire în Ubuntu 17.10
Pasul 1
Odată ce instrumentul este instalat pe sistem, va fi necesar să configurați Tripwire pentru sistemul nostru Ubuntu 17, toată configurația legată de Tripwire se află în directorul / etc / tripwire.
După instalarea Tripwire, va fi necesară inițializarea sistemului de baze de date cu următoarea comandă:
sudo tripwire -initAcolo vom introduce parola de administrator și apoi parola locală care a fost configurată în timpul instalării:
MARI
Pasul 2
Aceasta va porni baza de date în care vom vedea următoarele:
MARI
Pasul 3
Ca rezultat final va fi următorul. Putem vedea eroarea Fișierul sau directorul nu există, astfel încât, pentru a rezolva această eroare, trebuie să edităm fișierul de configurare Tripwire și să regenerăm configurația.
MARI
Pasul 4
Înainte de a edita configurația Tripwire, trebuie să verificăm ce director nu există, lucru care se poate face cu următoarea comandă:
sudo sh -c "tripwire --check | grep Filename> no-directory.txt"Mai târziu putem vedea conținutul fișierului menționat executând următoarele:
cat no-directory.txt
MARI
Acolo vom vedea lista directoarelor lipsă.
3. Cum se configurează directoarele Tripwire
Pasul 1
Următorul pas este să accesați directorul de configurare Tripwire și să editați fișierul de configurare twpol.txt executând următoarele:
cd / etc / tripwire / nano twpol.txtVom vedea următoarele:
MARI
Pasul 2
Acolo vom face următoarele: În regula Boot Scripts, vom comenta linia
/etc/rc.boot -> $ (SEC_BIN);
MARI
Pasul 3
În linia Modificări de pornire a sistemului vom comenta următoarele linii:
# / var / lock -> $ (SEC_CONFIG); # / var / run -> $ (SEC_CONFIG); # daemon PID-uri
MARI
Pasul 4
În linia Root Config Files vom comenta următoarele linii:
/ root -> $ (SEC_CRIT); # Prindeți toate adăugările la / root # / root / mail -> $ (SEC_CONFIG); # / root / Mail -> $ (SEC_CONFIG); # / root / .xsession-errors -> $ (SEC_CONFIG); # / root / .xauth -> $ (SEC_CONFIG); # / root / .tcshrc -> $ (SEC_CONFIG); # / root / .sawfish -> $ (SEC_CONFIG); # / root / .pinerc -> $ (SEC_CONFIG); # / root / .mc -> $ (SEC_CONFIG); # / root / .gnome_private -> $ (SEC_CONFIG); # / root / .gnome-desktop -> $ (SEC_CONFIG); # / root / .gnome -> $ (SEC_CONFIG); # / root / .esd_auth -> $ (SEC_CONFIG); # / root / .elm -> $ (SEC_CONFIG); # / root / .cshrc -> $ (SEC_CONFIG); /root/.bashrc -> $ (SEC_CONFIG); # / root / .bash_profile -> $ (SEC_CONFIG); # / root / .bash_logout -> $ (SEC_CONFIG); /root/.bash_history -> $ (SEC_CONFIG); # / root / .amandahosts -> $ (SEC_CONFIG); # / root / .addressbook.lu -> $ (SEC_CONFIG); # / root / .addressbook -> $ (SEC_CONFIG); # / root / .Xresources -> $ (SEC_CONFIG); # / root / .Xauthority -> $ (SEC_CONFIG) -i; # Modifică numărul de inod la autentificare # / root / .ICEauthority -> $ (SEC_CONFIG);
MARI
Pasul 5
În regula informațiilor despre dispozitiv și kernel trebuie să adăugăm următoarele:
/ dev -> $ (Dispozitiv); / dev / pts -> $ (Dispozitiv); / dev / shm -> $ (Dispozitiv); / dev / hugepages -> $ (Dispozitiv); / dev / mqueue -> $ (Dispozitiv); # / proc -> $ (Dispozitiv); / proc / devices -> $ (Device); / proc / net -> $ (Dispozitiv); / proc / tty -> $ (Dispozitiv); / proc / cpuinfo -> $ (Dispozitiv); / proc / modules -> $ (Dispozitiv); / proc / mounts -> $ (Dispozitiv); / proc / dma -> $ (Dispozitiv); / proc / filesystems -> $ (Device); / proc / interrupts -> $ (Dispozitiv); / proc / ioports -> $ (Dispozitiv); / proc / scsi -> $ (Dispozitiv); / proc / kcore -> $ (Dispozitiv); / proc / self -> $ (Dispozitiv); / proc / kmsg -> $ (Dispozitiv); / proc / stat -> $ (Dispozitiv); / proc / loadavg -> $ (Dispozitiv); / proc / uptime -> $ (Dispozitiv); / proc / locks -> $ (Dispozitiv); / proc / meminfo -> $ (Dispozitiv); / proc / misc -> $ (Dispozitiv);
MARI
Odată înregistrate aceste modificări, vom salva modificările folosind tastele Ctrl + O și le vom părăsi folosind tastele Ctrl + X.
Pasul 6
După editarea fișierului de configurare, vom implementa toate modificările reîncărcând fișierul de politică criptat folosind comanda twadmin după cum urmează. Acolo vor fi executați trei pași de verificare.
sudo tripwire -update-policy -secure-mode low /etc/tripwire/twpol.txt
MARI
Pasul 7
Pentru a regenera fișierul de configurare Tripwire vom executa următoarea linie:
sudo twadmin -m P /etc/tripwire/twpol.txt
MARI
4. Cum se folosește Tripwire
Pasul 1
Pentru a începe o analiză cu acest instrument, vom executa mai întâi următoarele:
sudo tripwire -check
MARI
Pasul 2
Acolo va începe procesul de analiză care va da următorul rezultat:
MARI
Pasul 3
Cu Tripwire va fi posibil să scanați un singur director, de exemplu, pentru a scana directorul / home vom executa următoarele:
sudo tripwire -check / home
MARI
Pasul 4
În partea de jos putem vedea detalii specifice ale directorului:
MARI
Pasul 5
Am adăugat un nou fișier în directorul / dev și odată ce am executat verificarea Tripwire putem vedea că încălcarea a fost detectată:
MARI
Acolo avem nivelul de severitate al acestuia și numărul de fișiere modificate.
5. Cum se configurează notificările prin e-mail tripwire
Pentru notificările prin e-mail, Tripwire oferă o funcție „emailto” în setări. Tripwire folosește Postfix pentru a trimite notificări prin e-mail, iar acest lucru este instalat automat în timpul procesului de instalare a instrumentului.
Înainte de a configura notificările prin e-mail, putem testa notificările Tripwire folosind următoarea comandă:
tripwire --test --email [email protected]
MARI
Acum, pentru a configura definitiv e-mailul, vom accesa din nou fișierul twpol.txt și în secțiunea Wordpress Data vom adăuga următoarele:
# Reguli pentru aplicația web (rulename = "Wordpress Rule", severity = $ (SIG_HI), emailto = [email protected])Odată ce acest proces este salvat, trebuie să regenerăm fișierul executând următoarele linii:
sudo twadmin -m P /etc/tripwire/twpol.txt sudo tripwire -initÎn cele din urmă avem opțiunea de a utiliza cron pentru a efectua sarcini periodice cu Tripwire.
Pentru a face acest lucru, vom executa următoarea linie cu care va fi creat un nou cron:
sudo crontab -e -u rootOdată ce accesăm fișierul, vom adăuga următoarea linie la final:
0 0 * * * tripwire --check --email-reportÎn acest fel, definim orele și atașăm un raport pentru a fi trimis la poștă. Putem salva modificările folosind tastele Ctrl + O și ieșim din editor folosind tastele Ctrl + X.
Repornim cron executând următoarele:
systemctl reporniți cronÎn acest fel, Tripwire este un aliat pentru a detecta modificările fișierelor de sistem din distribuțiile Linux.
