Tripwire je bezplatný a otevřený systém Linux Intrusion Detection System. Používá se k detekci a hlášení jakékoli neoprávněné změny souborů a adresářů v systému Linux. Také vám zašle upozornění na e-mail o změnách souboru/adresáře. Tripwire funguje tak, že porovnává aktuální stav souborového systému se známým základním stavem a hlásí, pokud zjistí nějaké změny.
V tomto příspěvku vám ukážeme, jak nainstalovat a nakonfigurovat Tripwire na Debian 10.
Předpoklady
- Server se systémem Debian 10.
- Na serveru je nakonfigurováno heslo uživatele root.
Začínáme
Nejprve aktualizujte systémové balíčky na aktualizovanou verzi spuštěním následujícího příkazu:
apt-get update -y
Jakmile jsou všechny balíčky aktualizovány, můžete přejít k dalšímu kroku.
Instalovat Tripwire
Ve výchozím nastavení je balíček Tripwire dostupný ve výchozím úložišti Debian 10. Můžete jej nainstalovat pomocí následujícího příkazu:
apt-get install tripwire -y
Během instalace budete požádáni o výběr konfigurace e-mailu, jak je uvedeno níže:
Vyberte požadovanou možnost a stiskněte ENTER . Budete požádáni, abyste nastavili název systémové pošty, jak je uvedeno níže:
Zadejte název systémové pošty a stiskněte ENTER . Budete požádáni o vytvoření přístupové fráze klíče webu, jak je uvedeno níže:
Vyberte Ano a stiskněte ENTER . Budete požádáni, abyste znovu vytvořili konfigurační soubor Tripwire, jak je znázorněno níže:
Vyberte Ano a stiskněte ENTER . Budete požádáni, abyste znovu vytvořili soubor zásad Tripwire, jak je znázorněno níže:
Vyberte Ano a stiskněte ENTER . Budete požádáni o zadání přístupového hesla pro klíč webu, jak je uvedeno níže:
Zadejte své heslo a stiskněte ENTER . Budete požádáni o nastavení přístupového hesla místního klíče, jak je uvedeno níže:
Zadejte své heslo a stiskněte ENTER . Po instalaci Tripwire byste měli vidět následující obrazovku:
Klikněte na OK dokončete instalaci.
Konfigurovat Tripwire
Dále budete muset vygenerovat klíče Tripwire a inicializovat databázi. Nejprve změňte adresář na Tripwire a vypište všechny klíče a soubory pomocí následujícího příkazu:
cd /etc/tripwire/
ls
Měli byste vidět následující výstup:
debian10-local.key site.key tw.cfg twcfg.txt tw.pol twpol.txt
Dále upravte konfigurační soubor Tripwire a nastavte REPORTLEVEL na 4
nano /etc/tripwire/twcfg.txt
Změňte následující řádek:
REPORTLEVEL =4
Po dokončení uložte a zavřete soubor.
Dále vygenerujte nový konfigurační soubor pomocí následujícího příkazu:
twadmin -m F -c tw.cfg -S site.key twcfg.txt
Budete požádáni o zadání přístupového hesla webu, jak je uvedeno níže:
Zadejte přístupovou frázi svého webu:Napsal konfigurační soubor:/etc/tripwire/tw.cfg
Dále vytvořte soubor twpolmake.pl pro optimalizaci zásad Tripwire.
nano twpolmake.pl
Přidejte následující řádky:
#!/usr/bin/perl$POLFILE=$ARGV[0];open(POL,"$POLFILE") or die "open error:$POLFILE";my($myhost,$thost);my( $ostrá,$tcesta,$kond);my($INRULE) =0;zatímco () { chomp; if (($thost) =/^NÁZEV HOSTITELE\s*=\s*(.*)\s*;/) { $myhost =`název hostitele`; chomp($myhost); if ($thost ne $myhost) { $_="HOSTNAME=\"$myhost\";"; } } elsif ( /^{/ ) { $INRULE=1; } elsif ( /^}/ ) { $INRULE=0; } elsif ($INRULE ==1 a ($ostrá,$tcesta,$kond) =/^(\s*\#?\s*)(\/\S+)\b(\s+->\s+.+ )$/) { $ret =($ostrý =~ s/\#//g); if ($tpath eq '/sbin/e2fsadm' ) { $cond =~ s/;\s+(tune2fs.*)$/; \#$1/; } if (! -s $tpath) { $_ ="$ostrý#$tpath$cond" if ($ret ==0); } else { $_ ="$ostrá$tcesta$kond"; } } print "$_\n";}zavřít(POL);
Uložte a zavřete soubor a poté vytvořte konfigurační soubor pomocí následujícího příkazu:
perl twpolmake.pl twpol.txt> twpol.txt.new
twadmin -m P -c tw.cfg -p tw.pol -S site.key twpol.txt.new
Měli byste vidět následující výstup:
Zadejte přístupovou frázi svého webu:Napsal soubor zásad:/etc/tripwire/tw.pol
Dále vytvořte databázi Tripwire pomocí následujícího příkazu:
tripwire -m i -s -c tw.cfg
Měli byste vidět následující výstup:
Zadejte místní přístupovou frázi:### Varování:Chyba systému souborů.### Název souboru:/var/lib/tripwire/debian10.twd### Žádný takový soubor nebo adresář### Pokračování...Vygenerovanou databázi můžete také zobrazit pomocí následujícího příkazu:
twprint -m d -d /var/lib/tripwire/debian10.twdMěli byste vidět následující výstup:
Open Source Tripwire(R) 2.4.3.7 Databáze databáze vygenerována:rootDatabase vygenerována dne:Ne 9. května 2021 08:39:18 UTCDatabase naposledy aktualizována dne:Nikdy==================================================================================Shrnutí databáze:=================================================================================Jméno hostitele:debian10Host IP adresa:45.58.38.142Host ID:None Použitý soubor zásad:/etc/tripwire/tw.pol Použitý konfigurační soubor:/etc/tripwire/tw.cfg Použitý databázový soubor:/var/lib/tripwire/debian10.twdCommand line used:tripwire -m i -s -c tw.cfg ==================================================================================Shrnutí objektu:==================================================================================------------------------------- -------------------------------------------------# Sekce:Unix File System-------------------------------------- -----------------------------------------Pokud chcete aktualizovat databázi Tripwire, spusťte následující příkaz:
tripwire --update --accept-allMěli byste získat následující výstup:
### Chyba:Soubor nelze otevřít.### Název souboru:/var/lib/tripwire/report/debian10-20210509-084141.twr### Žádný takový soubor nebo adresář### Ukončování...Nyní otestujte Tripwire pomocí následujícího příkazu:
tripwire -m c -s -c /etc/tripwire/tw.cfgMěli byste vidět následující výstup:
Open Source Tripwire(R) 2.4.3.7 Zpráva o kontrole integrity Zpráva vygenerovaná uživatelem:rootReport vytvořen dne:Ne 9. května 2021 08:42:15 UTCDatabase naposledy aktualizována dne:Nikdy==================================================================================Shrnutí přehledu:=================================================================================Hostitel jméno:debian10Host IP adresa:45.58.38.142Host ID:None Použitý soubor zásad:/etc/tripwire/tw.pol Použitý konfigurační soubor:/etc/tripwire/tw.cfg Použitý databázový soubor:/var/lib/tripwire/debian10.twdCommand line used :tripwire -m c -s -c /etc/tripwire/tw.cfg ==================================================================================Shrnutí pravidel:==================================================================================----------------------- -------------------------------------------------- ------ Sekce:Unix File System--------------- -------------------------------------------------- -------------- Název pravidla Úroveň závažnosti Přidáno Odebráno Upraveno --------- -------------- ----- - ------ -------- Jiné binární soubory 66 0 0 0 Binární soubory Tripwire 100 0 0 0 Jiné knihovny 66 0 0 0 Spustitelné soubory kořenového souborového systému 100 0 0 0 * Datové soubory Tripwire 100 1 0 0 Systém změny spouštění 100 0 0 0 Kořenové knihovny souborového systému 100 0 0 0 (/lib) Kritické spouštěcí soubory systému 100 0 0 0 * Jiné konfigurační soubory 66 0 0 1 (/etc) Spouštěcí skripty 100 0 0 0 Kontrola zabezpečení 66 0 0 0 Kořenové konfigurační soubory 100 0 0 0 Informace o zařízeních a jádru 100 0 0 0 (/dev) Invariantní adresáře 66 0 0 0 Celkový počet zkontrolovaných objektů:27975 Celkový počet nalezených porušení:2==================================================================================Shrnutí objektu:==================================================================================---------------------------------------------- ---------------------------------# Sekce:Unix File System------------ -------------------------------------------------- -------------------------------------------------- ----------------------------------------------- Název pravidla:Datové soubory Tripwire (/var/lib/tripwire/debian10.twd) Úroveň závažnosti:100-------------------------------- ------------------------------------------- ------Ve výchozím nastavení jsou soubory zpráv Tripwire umístěny na /var/lib/tripwire/report/:
ls /var/lib/tripwire/report/Výstup:
debian10-20210509-084215.twrTuto sestavu můžete zkontrolovat pomocí následujícího příkazu:
twprint -m r -t 4 -r /var/lib/tripwire/report/debian10-20210509-084215.twrOvěřit Tripwire IDS
V tomto okamžiku je Tripwire nainstalován a nakonfigurován. Nyní je čas zkontrolovat, zda Tripwire funguje nebo ne.
Nejprve vytvořte ve svém systému několik souborů pomocí následujícího příkazu:
dotkněte se fil1 soubor2 soubor3 soubor4 soubor5Nyní spusťte Tripwire a zkontrolujte, zda Tripwire detekuje tyto soubory nebo ne:
tripwire --check --interactiveNově vytvořené soubory byste měli vidět v následujícím výstupu:
Open Source Tripwire(R) 2.4.3.7 Zpráva o kontrole integrity Zpráva vygenerovaná uživatelem:rootReport vytvořen dne:Ne 9. května 2021 08:46:36 UTCDatabase naposledy aktualizována dne:Nikdy==================================================================================Shrnutí přehledu:=================================================================================Hostitel jméno:debian10Host IP adresa:45.58.38.142Host ID:None Použitý soubor zásad:/etc/tripwire/tw.pol Použitý konfigurační soubor:/etc/tripwire/tw.cfg Použitý databázový soubor:/var/lib/tripwire/debian10.twdCommand line used :tripwire --check --interactive=================================================================================------------- -------------------------------------------------- ---------------- Název pravidla:Jiné konfigurační soubory (/etc) Úroveň závažnosti:66-------------------- -------------------------------------------------- ---------Odstranit "x" ze sousedního pole, aby se zabránilo aktualizaci databáze novými hodnotami pro tento objekt. Upraveno:[x] "/etc/tripwire"------------------- -------------------------------------------------- ---------- Název pravidla:Kořenové konfigurační soubory (/root) Úroveň závažnosti:100-------------------------- -------------------------------------------------- ---Odstraňte "x" ze sousedního pole, abyste zabránili aktualizaci databáze novými hodnotami pro tento objekt.Přidáno:[x] "/root/file4"[x] "/root/file3"[x] "/root /fil1"[x] "/root/file2"[x] "/root/file5"Upraveno:[x] "/root"==================================================================================Vygenerovanou sestavu můžete také zkontrolovat později pomocí následujícího příkazu:
twprint --print-report --twrfile /var/lib/tripwire/report/debian10-20210509-084636.twrAutomatizace zprávy Tripwire
Můžete také nastavit úlohu cron pro spuštění Tripwire v určitou dobu. Můžete to udělat pomocí následujícího příkazu:
crontab -ePřidejte následující řádky:
00 06 * * * /usr/sbin/tripwire --checkPo dokončení uložte a zavřete soubor.
Výše uvedený soubor spustí Tripwire každé ráno v 06:00. Vygenerovaný přehled můžete zkontrolovat na adrese /var/lib/tripwire/report/ .
Závěr
Gratulujeme! úspěšně jste nainstalovali a nakonfigurovali Tripwire IDS na Debianu 10. Doufám, že vám to pomůže zkontrolovat, které soubory nebo adresáře jsou ve vašem systému změněny.