Kiedy mamy pod swoją odpowiedzialność zespoły z dystrybucjami Linuksa, ważne jest, aby mieć jasną wiedzę o setkach lub tysiącach narzędzi, które mamy do dyspozycji, aby zoptymalizować wszystkie parametry systemu, zarówno pod względem bezpieczeństwa, dostępu, kontroli lub inne.
Jednym z głównych punktów, którymi musimy dziś zarządzać, jest bezpieczeństwo, co sprawia, że jest to złożony problem, gdy musimy zarządzać serwerami online, ponieważ chociaż można skonfigurować zapory ogniowe, polityki fail2ban, bezpieczne usługi i blokować aplikacje, trudno to rozpoznać z pewnością, czy każdy atak został skutecznie zablokowany, co może skutkować krytycznymi problemami dla użytkowników i ogólnym zachowaniem organizacji.
Myśląc o tym, Solvetic oferuje dziś cenne narzędzie o nazwie Tripwire do jego implementacji w środowiskach Ubuntu, w tym przypadku Ubuntu 17.10, a tym samym ma pewność, że będzie mieć jeszcze jedno narzędzie bezpieczeństwa pod naszą administracją.
Co to jest TripwireTripwire to darmowy, otwarty system wykrywania włamań (IDS).
Tripwire to narzędzie zabezpieczające, które da nam możliwość monitorowania i ostrzegania o wszelkich zmianach dokonywanych w plikach w systemie operacyjnym.
Tripwire to potężny system IDS, który został zaprojektowany w celu ochrony systemu przed niepożądanymi zmianami. Za pomocą tego narzędzia będzie można monitorować pliki systemowe, w tym pliki stron internetowych, dzięki czemu w przypadku niepożądanej zmiany dowolnego z monitorowanych plików Tripwire sprawdzi system i powiadomi nas, jeśli to zrobiliśmy.
System wykrywania włamań oparty na hoście (HIDS) działa, gromadząc szczegółowe informacje o systemie plików i konfiguracji zakupionego komputera, a następnie przechowując te informacje w celu odniesienia się do bieżącego stanu systemu i sprawdzenia jego poprawności. Jeśli zostaną znalezione zmiany między stanem znanym a stanem bieżącym, może to oznaczać, że bezpieczeństwo zostało naruszone i konieczne będzie pilne podjęcie wymaganych środków administracyjnych.
Funkcje TripwireKorzystając z tego narzędzia mamy kilka funkcji, takich jak:
- Wykrywanie w czasie rzeczywistym: Tripwire zajmuje się przechwytywaniem i ograniczaniem uszkodzeń spowodowanych podejrzanymi zagrożeniami, anomaliami i zmianami.
- Integralność bezpieczeństwa i aplikacje IT
- Inteligencja zmian w czasie rzeczywistym: Tripwire oferuje najbardziej wszechstronne rozwiązanie w zakresie integralności plików dla firm dowolnej wielkości. Tripwire został opracowany w celu wykrywania i oceny zmian oraz ustalania priorytetów zagrożeń bezpieczeństwa dzięki integracjom, które zapewniają alerty o zmianach o dużej i małej liczbie. Tripwire oferuje solidne rozwiązanie do monitorowania integralności plików (FIM), zdolne do monitorowania szczegółowej integralności systemu: plików, katalogów, rejestrów, parametrów konfiguracyjnych, bibliotek DLL, portów, usług, protokołów itp.
- System zwiększania i zwiększania zgodności - Tripwire posiada największą i najbardziej wszechstronną bibliotekę zasad i platform, która obsługuje ponad 800 zasad, obejmujących różne wersje systemów operacyjnych i urządzeń platformy.
- Automatyzacja i naprawa zabezpieczeń: Możliwości naprawcze Tripwire automatyzują zadania i prowadzą nas przez szybką naprawę niezgodnych systemów i błędnych konfiguracji zabezpieczeń. Możliwe będzie zautomatyzowanie przepływów pracy poprzez integracje z systemami SIEM, IT-GRC oraz zarządzania zmianą.
Poprzednie wymaganiaAby idealnie zainstalować, skonfigurować i używać Tripwire, będziesz potrzebować:
- Serwer Ubuntu 17.10: Ubuntu 17.10
- Miej uprawnienia administratora
1. Jak zaktualizować system operacyjny i zainstalować Tripwire na Ubuntu 17.10?
Krok 1
Pierwszym krokiem do wykonania jest zainstalowanie Tripwire w systemie operacyjnym, to narzędzie jest dostępne w oficjalnym repozytorium Ubuntu, więc wystarczy zaktualizować repozytorium Ubuntu 17.10 za pomocą następującego polecenia:
aktualizacja sudo apt
POWIĘKSZAĆ
Krok 2
Po zaktualizowaniu Ubuntu 17.10 przystępujemy do instalacji Tripwire, wykonując następujące polecenie:
sudo apt install -y Tripwire
POWIĘKSZAĆ
Krok 3
Podczas procesu instalacji zostanie wyświetlone następujące pytanie dotyczące konfiguracji Postfix SMTP, wybierzemy opcję Witryna internetowa i klikniemy Akceptuj, aby kontynuować instalację:
POWIĘKSZAĆ
Krok 4
Po kliknięciu OK, w następującym oknie dla nazwy systemu pocztowego zostawimy wartość domyślną:
POWIĘKSZAĆ
Krok 5
Kliknij ponownie OK i w następnym oknie konieczne będzie utworzenie nowego klucza witryny dla Tripwire, w tym przypadku wybieramy Yes i naciskamy Enter, aby kontynuować:
POWIĘKSZAĆ
Krok 6
Widzimy, że te klucze są powiązane z czynnikami bezpieczeństwa, ponieważ istnieje okno czasowe, w którym atakujący może uzyskać dostęp. Po kliknięciu Tak zobaczymy następujące okno:
POWIĘKSZAĆ
Krok 7
W tym przypadku mamy pliki kluczy Tripwire, w tym przypadku wybieramy Yes i naciskamy Enter, aby kontynuować. Teraz musimy potwierdzić, czy przebudujemy plik konfiguracyjny Tripwire, ponieważ dokonano zmian w plikach kluczy. Wybieramy Tak i wciskamy Enter, aby kontynuować proces.
POWIĘKSZAĆ
Ten sam proces, który uruchamiamy, aby przebudować dyrektywy:
POWIĘKSZAĆ
Krok 8
Po kliknięciu Tak, wybrany proces zostanie przeprowadzony:
POWIĘKSZAĆ
Później musimy przypisać klucz witryny, ponieważ nie istnieje:
POWIĘKSZAĆ
NotatkaMusimy zapamiętać to hasło, ponieważ nie mamy do niego dostępu w przypadku zapomnienia.
Krok 9
Kliknij OK i musimy potwierdzić wprowadzone hasło:
POWIĘKSZAĆ
Krok 10
Następnym krokiem jest przypisanie i potwierdzenie hasła do klucza lokalnego:
POWIĘKSZAĆ
Po przypisaniu tego hasła i tym samym zakończeniu procesu instalacji Tripwire w Ubuntu 17.10:
POWIĘKSZAĆ
2. Jak skonfigurować zasady Tripwire w Ubuntu 17.10
Krok 1
Po zainstalowaniu narzędzia w systemie konieczne będzie skonfigurowanie Tripwire dla naszego systemu Ubuntu 17, cała konfiguracja związana z Tripwire znajduje się w katalogu / etc / tripwire.
Po zainstalowaniu Tripwire konieczne będzie zainicjowanie systemu bazy danych poleceniem:
sudo tripwire -initTam wprowadzimy hasło administratora, a następnie hasło lokalne, które zostało skonfigurowane podczas instalacji:
POWIĘKSZAĆ
Krok 2
Spowoduje to uruchomienie bazy danych, w której zobaczymy:
POWIĘKSZAĆ
Krok 3
W efekcie końcowym będzie to następująca. Widzimy błąd Plik lub katalog nie istnieje, więc aby rozwiązać ten błąd, musimy edytować plik konfiguracyjny Tripwire i ponownie wygenerować konfigurację.
POWIĘKSZAĆ
Krok 4
Przed edycją konfiguracji Tripwire musimy sprawdzić, który katalog nie istnieje, co można zrobić za pomocą następującego polecenia:
sudo sh -c "tripwire --check | grep Nazwa pliku> no-directory.txt"Później możemy zobaczyć zawartość tego pliku, wykonując następujące czynności:
kot no-directory.txt
POWIĘKSZAĆ
Tam zobaczymy listę brakujących katalogów.
3. Jak skonfigurować katalogi Tripwire
Krok 1
Następnym krokiem jest przejście do katalogu konfiguracyjnego Tripwire i edycja pliku konfiguracyjnego twpol.txt, uruchamiając następujące polecenie:
cd / etc / tripwire / nano twpol.txtZobaczymy:
POWIĘKSZAĆ
Krok 2
Tam wykonamy następujące czynności: W regule Boot Scripts skomentujemy linię
/etc/rc.boot -> $ (SEC_BIN);
POWIĘKSZAĆ
Krok 3
W wierszu System Boot Changes skomentujemy następujące wiersze:
# / var / blokada -> $ (SEC_CONFIG); # / var / uruchom -> $ (SEC_CONFIG); # demona PID
POWIĘKSZAĆ
Krok 4
W linii Root Config Files skomentujemy następujące linie:
/ root -> $ (SEC_CRIT); # Przechwyć wszystkie dodatki do / root # / root / mail -> $ (SEC_CONFIG); # / root / Poczta -> $ (SEC_CONFIG); # / root / .xsession-errors -> $ (SEC_CONFIG); # / root / .xauth -> $ (SEC_CONFIG); # / root / .tcshrc -> $ (SEC_CONFIG); # / root / .sawfish -> $ (SEC_CONFIG); # / root / .pinerc -> $ (SEC_CONFIG); # / root / .mc -> $ (SEC_CONFIG); # / root / .gnome_private -> $ (SEC_CONFIG); # / root / .gnome-desktop -> $ (SEC_CONFIG); # / root / .gnome -> $ (SEC_CONFIG); # / root / .esd_auth -> $ (SEC_CONFIG); # / root / .elm -> $ (SEC_CONFIG); # / root / .cshrc -> $ (SEC_CONFIG); /root/.bashrc -> $ (SEC_CONFIG); # / root / .bash_profile -> $ (SEC_CONFIG); # / root / .bash_logout -> $ (SEC_CONFIG); /root/.bash_history -> $ (SEC_CONFIG); # / root / .amandahosts -> $ (SEC_CONFIG); # / root / .addressbook.lu -> $ (SEC_CONFIG); # / root / .addressbook -> $ (SEC_CONFIG); # / root / .Xresources -> $ (SEC_CONFIG); # / root / .Xauthority -> $ (SEC_CONFIG) -i; # Zmienia numer i-węzła przy logowaniu # / root / .ICEauthority -> $ (SEC_CONFIG);
POWIĘKSZAĆ
Krok 5
W regule Device and Kernel information musimy dodać:
/ dev -> $ (urządzenie); / dev / pts -> $ (urządzenie); / dev / shm -> $ (urządzenie); / dev / hugepages -> $ (urządzenie); / dev / mqueue -> $ (urządzenie); # / proc -> $ (urządzenie); / proc / urządzenia -> $ (Urządzenie); /proc/net -> $ (Urządzenie); / proc / tty -> $ (urządzenie); / proc / cpuinfo -> $ (Urządzenie); / proc / moduły -> $ (Urządzenie); / proc / mounts -> $ (urządzenie); / proc / dma -> $ (Urządzenie); / proc / systemy plików -> $ (urządzenie); / proc / przerwania -> $ (Urządzenie); / proc / ioports -> $ (urządzenie); / proc / scsi -> $ (Urządzenie); / proc / kcore -> $ (Urządzenie); / proc / self -> $ (urządzenie); / proc / kmsg -> $ (urządzenie); / proc / stat -> $ (Urządzenie); / proc / loadavg -> $ (urządzenie); / proc / uptime -> $ (Urządzenie); /proc/locks -> $ (Urządzenie); / proc / meminfo -> $ (Urządzenie); / proc / różne -> $ (Urządzenie);
POWIĘKSZAĆ
Po zarejestrowaniu tych zmian zapiszemy je za pomocą klawiszy Ctrl + O i wyjdziemy za pomocą klawiszy Ctrl + X.
Krok 6
Po edycji pliku konfiguracyjnego zaimplementujemy wszystkie zmiany, ponownie ładując zaszyfrowany plik polityki za pomocą polecenia twadmin w następujący sposób. Tam zostaną wykonane trzy kroki weryfikacyjne.
sudo tripwire -update-policy -secure-mode niski /etc/tripwire/twpol.txt
POWIĘKSZAĆ
Krok 7
Aby zregenerować plik konfiguracyjny Tripwire, wykonamy następujący wiersz:
sudo twadmin -m P /etc/tripwire/twpol.txt
POWIĘKSZAĆ
4. Jak korzystać z Tripwire
Krok 1
Aby rozpocząć analizę za pomocą tego narzędzia, najpierw wykonamy następujące czynności:
sudo tripwire -sprawdź
POWIĘKSZAĆ
Krok 2
Tam rozpocznie się proces analizy, który da następujący wynik:
POWIĘKSZAĆ
Krok 3
Dzięki Tripwire będzie można przeskanować tylko jeden katalog, na przykład, aby przeskanować katalog / home wykonamy następujące czynności:
sudo tripwire -check / home
POWIĘKSZAĆ
Krok 4
Na dole możemy zobaczyć szczegółowe dane katalogu:
POWIĘKSZAĆ
Krok 5
Dodaliśmy nowy plik w katalogu / dev i po uruchomieniu testu Tripwire widzimy, że wykryto naruszenie:
POWIĘKSZAĆ
Mamy tam poziom ważności i liczbę zmodyfikowanych plików.
5. Jak skonfigurować powiadomienia e-mail Tripwire
W przypadku powiadomień e-mail Tripwire oferuje w ustawieniach funkcję „emailto”. Tripwire używa Postfix do wysyłania powiadomień e-mail, które są instalowane automatycznie podczas procesu instalacji narzędzia.
Przed skonfigurowaniem powiadomień e-mail możemy przetestować powiadomienie Tripwire za pomocą następującego polecenia:
tripwire --test --e-mail [email protected]
POWIĘKSZAĆ
Teraz, aby ostatecznie skonfigurować pocztę, ponownie uzyskamy dostęp do pliku twpol.txt i pod sekcją Wordpress Data dodamy:
# Reguły dla aplikacji internetowej (rulename = "Wordpress Rule", ważność = $ (SIG_HI), emailto = [email protected])Po zapisaniu tego procesu musimy ponownie wygenerować plik, wykonując następujące wiersze:
sudo twadmin -m P /etc/tripwire/twpol.txt sudo tripwire -initWreszcie mamy możliwość użycia crona do wykonywania okresowych zadań za pomocą Tripwire.
W tym celu wykonamy następującą linię, za pomocą której zostanie utworzony nowy cron:
sudo crontab -e -u rootPo uzyskaniu dostępu do pliku dodamy na końcu następującą linię:
0 0 * * * tripwire --check --email-raportW ten sposób określamy terminy i dołączamy raport do wysłania na maila. Możemy zapisać zmiany za pomocą klawiszy Ctrl + O i wyjść z edytora za pomocą klawiszy Ctrl + X.
Ponownie uruchamiamy crona, wykonując następujące czynności:
systemctl restart cronW ten sposób Tripwire jest sojusznikiem w wykrywaniu zmian w plikach systemowych w dystrybucjach Linuksa.
