Jak nainstalovat a nakonfigurovat Tripwire IDS na Debian 10

Tripwire je bezplatný a otevřený systém Linux Intrusion Detection System. Používá se k detekci a hlášení jakékoli neoprávněné změny souborů a adresářů v systému Linux. Také vám zašle upozornění na e-mail o změnách souboru/adresáře. Tripwire funguje tak, že porovnává aktuální stav souborového systému se známým základním stavem a hlásí, pokud zjistí nějaké změny.

V tomto příspěvku vám ukážeme, jak nainstalovat a nakonfigurovat Tripwire na Debian 10.

Předpoklady

• Server se systémem Debian 10.
• Na serveru je nakonfigurováno heslo uživatele root.

Začínáme

Nejprve aktualizujte systémové balíčky na aktualizovanou verzi spuštěním následujícího příkazu:

apt-get update -y

Jakmile jsou všechny balíčky aktualizovány, můžete přejít k dalšímu kroku.

Instalovat Tripwire

Ve výchozím nastavení je balíček Tripwire dostupný ve výchozím úložišti Debian 10. Můžete jej nainstalovat pomocí následujícího příkazu:

apt-get install tripwire -y

Během instalace budete požádáni o výběr konfigurace e-mailu, jak je uvedeno níže:

Vyberte požadovanou možnost a stiskněte ENTER . Budete požádáni, abyste nastavili název systémové pošty, jak je uvedeno níže:

Zadejte název systémové pošty a stiskněte ENTER . Budete požádáni o vytvoření přístupové fráze klíče webu, jak je uvedeno níže:

Vyberte Ano a stiskněte ENTER . Budete požádáni, abyste znovu vytvořili konfigurační soubor Tripwire, jak je znázorněno níže:

Vyberte Ano a stiskněte ENTER . Budete požádáni, abyste znovu vytvořili soubor zásad Tripwire, jak je znázorněno níže:

Vyberte Ano a stiskněte ENTER . Budete požádáni o zadání přístupového hesla pro klíč webu, jak je uvedeno níže:

Zadejte své heslo a stiskněte ENTER . Budete požádáni o nastavení přístupového hesla místního klíče, jak je uvedeno níže:

Zadejte své heslo a stiskněte ENTER . Po instalaci Tripwire byste měli vidět následující obrazovku:

Klikněte na OK dokončete instalaci.

Konfigurovat Tripwire

Dále budete muset vygenerovat klíče Tripwire a inicializovat databázi. Nejprve změňte adresář na Tripwire a vypište všechny klíče a soubory pomocí následujícího příkazu:

cd /etc/tripwire/
ls

Měli byste vidět následující výstup:

debian10-local.key site.key tw.cfg twcfg.txt tw.pol twpol.txt

Dále upravte konfigurační soubor Tripwire a nastavte REPORTLEVEL na 4

nano /etc/tripwire/twcfg.txt

Změňte následující řádek:

REPORTLEVEL =4

Po dokončení uložte a zavřete soubor.

Dále vygenerujte nový konfigurační soubor pomocí následujícího příkazu:

twadmin -m F -c tw.cfg -S site.key twcfg.txt

Budete požádáni o zadání přístupového hesla webu, jak je uvedeno níže:

Zadejte přístupovou frázi svého webu:Napsal konfigurační soubor:/etc/tripwire/tw.cfg

Dále vytvořte soubor twpolmake.pl pro optimalizaci zásad Tripwire.

nano twpolmake.pl

Přidejte následující řádky:

#!/usr/bin/perl$POLFILE=$ARGV[0];open(POL,"$POLFILE") or die "open error:$POLFILE";my($myhost,$thost);my( $ostrá,$tcesta,$kond);my($INRULE) =0;zatímco () { chomp; if (($thost) =/^NÁZEV HOSTITELE\s*=\s*(.*)\s*;/) { $myhost =`název hostitele`; chomp($myhost); if ($thost ne $myhost) { $_="HOSTNAME=\"$myhost\";"; } } elsif ( /^{/ ) { $INRULE=1; } elsif ( /^}/ ) { $INRULE=0; } elsif ($INRULE ==1 a ($ostrá,$tcesta,$kond) =/^(\s*\#?\s*)(\/\S+)\b(\s+->\s+.+ )$/) { $ret =($ostrý =~ s/\#//g); if ($tpath eq '/sbin/e2fsadm' ) { $cond =~ s/;\s+(tune2fs.*)$/; \#$1/; } if (! -s $tpath) { $_ ="$ostrý#$tpath$cond" if ($ret ==0); } else { $_ ="$ostrá$tcesta$kond"; } } print "$_\n";}zavřít(POL); 

Uložte a zavřete soubor a poté vytvořte konfigurační soubor pomocí následujícího příkazu:

perl twpolmake.pl twpol.txt> twpol.txt.new 
twadmin -m P -c tw.cfg -p tw.pol -S site.key twpol.txt.new

Měli byste vidět následující výstup:

Zadejte přístupovou frázi svého webu:Napsal soubor zásad:/etc/tripwire/tw.pol

Dále vytvořte databázi Tripwire pomocí následujícího příkazu:

tripwire -m i -s -c tw.cfg

Měli byste vidět následující výstup:

Zadejte místní přístupovou frázi:### Varování:Chyba systému souborů.### Název souboru:/var/lib/tripwire/debian10.twd### Žádný takový soubor nebo adresář### Pokračování... 

 Vygenerovanou databázi můžete také zobrazit pomocí následujícího příkazu:
 
twprint -m d -d /var/lib/tripwire/debian10.twd
 

 Měli byste vidět následující výstup:
 
Open Source Tripwire(R) 2.4.3.7 Databáze databáze vygenerována:rootDatabase vygenerována dne:Ne 9. května 2021 08:39:18 UTCDatabase naposledy aktualizována dne:Nikdy==================================================================================Shrnutí databáze:=================================================================================Jméno hostitele:debian10Host IP adresa:45.58.38.142Host ID:None Použitý soubor zásad:/etc/tripwire/tw.pol Použitý konfigurační soubor:/etc/tripwire/tw.cfg Použitý databázový soubor:/var/lib/tripwire/debian10.twdCommand line used:tripwire -m i -s -c tw.cfg ==================================================================================Shrnutí objektu:==================================================================================------------------------------- -------------------------------------------------# Sekce:Unix File System-------------------------------------- -----------------------------------------
 

 Pokud chcete aktualizovat databázi Tripwire, spusťte následující příkaz:
 
tripwire --update --accept-all
 

 Měli byste získat následující výstup:
 
### Chyba:Soubor nelze otevřít.### Název souboru:/var/lib/tripwire/report/debian10-20210509-084141.twr### Žádný takový soubor nebo adresář### Ukončování... 
 

 Nyní otestujte Tripwire pomocí následujícího příkazu:
 
tripwire -m c -s -c /etc/tripwire/tw.cfg
 

 Měli byste vidět následující výstup:
 
Open Source Tripwire(R) 2.4.3.7 Zpráva o kontrole integrity Zpráva vygenerovaná uživatelem:rootReport vytvořen dne:Ne 9. května 2021 08:42:15 UTCDatabase naposledy aktualizována dne:Nikdy==================================================================================Shrnutí přehledu:=================================================================================Hostitel jméno:debian10Host IP adresa:45.58.38.142Host ID:None Použitý soubor zásad:/etc/tripwire/tw.pol Použitý konfigurační soubor:/etc/tripwire/tw.cfg Použitý databázový soubor:/var/lib/tripwire/debian10.twdCommand line used :tripwire -m c -s -c /etc/tripwire/tw.cfg ==================================================================================Shrnutí pravidel:==================================================================================----------------------- -------------------------------------------------- ------ Sekce:Unix File System--------------- -------------------------------------------------- -------------- Název pravidla Úroveň závažnosti Přidáno Odebráno Upraveno --------- -------------- ----- - ------ -------- Jiné binární soubory 66 0 0 0 Binární soubory Tripwire 100 0 0 0 Jiné knihovny 66 0 0 0 Spustitelné soubory kořenového souborového systému 100 0 0 0 * Datové soubory Tripwire 100 1 0 0 Systém změny spouštění 100 0 0 0 Kořenové knihovny souborového systému 100 0 0 0 (/lib) Kritické spouštěcí soubory systému 100 0 0 0 * Jiné konfigurační soubory 66 0 0 1 (/etc) Spouštěcí skripty 100 0 0 0 Kontrola zabezpečení 66 0 0 0 Kořenové konfigurační soubory 100 0 0 0 Informace o zařízeních a jádru 100 0 0 0 (/dev) Invariantní adresáře 66 0 0 0 Celkový počet zkontrolovaných objektů:27975 Celkový počet nalezených porušení:2==================================================================================Shrnutí objektu:==================================================================================---------------------------------------------- ---------------------------------# Sekce:Unix File System------------ -------------------------------------------------- -------------------------------------------------- ----------------------------------------------- Název pravidla:Datové soubory Tripwire (/var/lib/tripwire/debian10.twd) Úroveň závažnosti:100-------------------------------- ------------------------------------------- ------
 

 Ve výchozím nastavení jsou soubory zpráv Tripwire umístěny na /var/lib/tripwire/report/:
 
ls /var/lib/tripwire/report/
 

 Výstup:
 
debian10-20210509-084215.twr
 

 Tuto sestavu můžete zkontrolovat pomocí následujícího příkazu:
 
twprint -m r -t 4 -r /var/lib/tripwire/report/debian10-20210509-084215.twr
 
Ověřit Tripwire IDS
 

 V tomto okamžiku je Tripwire nainstalován a nakonfigurován. Nyní je čas zkontrolovat, zda Tripwire funguje nebo ne.
 

 Nejprve vytvořte ve svém systému několik souborů pomocí následujícího příkazu:
 
dotkněte se fil1 soubor2 soubor3 soubor4 soubor5
 

 Nyní spusťte Tripwire a zkontrolujte, zda Tripwire detekuje tyto soubory nebo ne:
 
tripwire --check --interactive
 

 Nově vytvořené soubory byste měli vidět v následujícím výstupu:
 
Open Source Tripwire(R) 2.4.3.7 Zpráva o kontrole integrity Zpráva vygenerovaná uživatelem:rootReport vytvořen dne:Ne 9. května 2021 08:46:36 UTCDatabase naposledy aktualizována dne:Nikdy==================================================================================Shrnutí přehledu:=================================================================================Hostitel jméno:debian10Host IP adresa:45.58.38.142Host ID:None Použitý soubor zásad:/etc/tripwire/tw.pol Použitý konfigurační soubor:/etc/tripwire/tw.cfg Použitý databázový soubor:/var/lib/tripwire/debian10.twdCommand line used :tripwire --check --interactive=================================================================================------------- -------------------------------------------------- ---------------- Název pravidla:Jiné konfigurační soubory (/etc) Úroveň závažnosti:66-------------------- -------------------------------------------------- ---------Odstranit "x" ze sousedního pole, aby se zabránilo aktualizaci databáze novými hodnotami pro tento objekt. Upraveno:[x] "/etc/tripwire"------------------- -------------------------------------------------- ---------- Název pravidla:Kořenové konfigurační soubory (/root) Úroveň závažnosti:100-------------------------- -------------------------------------------------- ---Odstraňte "x" ze sousedního pole, abyste zabránili aktualizaci databáze novými hodnotami pro tento objekt.Přidáno:[x] "/root/file4"[x] "/root/file3"[x] "/root /fil1"[x] "/root/file2"[x] "/root/file5"Upraveno:[x] "/root"==================================================================================
 

 Vygenerovanou sestavu můžete také zkontrolovat později pomocí následujícího příkazu:
 
twprint --print-report --twrfile /var/lib/tripwire/report/debian10-20210509-084636.twr
 
Automatizace zprávy Tripwire
 

 Můžete také nastavit úlohu cron pro spuštění Tripwire v určitou dobu. Můžete to udělat pomocí následujícího příkazu:
 
crontab -e
 

 Přidejte následující řádky:
 
00 06 * * * /usr/sbin/tripwire --check
 

 Po dokončení uložte a zavřete soubor.
 

 Výše uvedený soubor spustí Tripwire každé ráno v 06:00. Vygenerovaný přehled můžete zkontrolovat na adrese /var/lib/tripwire/report/ .
 
Závěr
 

 Gratulujeme! úspěšně jste nainstalovali a nakonfigurovali Tripwire IDS na Debianu 10. Doufám, že vám to pomůže zkontrolovat, které soubory nebo adresáře jsou ve vašem systému změněny.