Installieren und verwenden Sie Tripwire, um geänderte Dateien in Ubuntu 17 zu erkennen

Wenn wir Teams mit Linux-Distributionen unter unserer Verantwortung haben, ist es wichtig, ein klares Wissen über die Hunderte oder Tausende von Tools zu haben, die wir zur Verfügung haben, um alle Parameter des Systems sowohl auf der Ebene der Sicherheit, des Zugriffs, der Kontrolle als auch anderer zu optimieren.

Einer der wichtigsten Punkte, die wir heute verwalten müssen, ist die Sicherheit, die zu einem komplexen Problem wird, wenn wir Server online verwalten müssen, da es schwierig ist, Firewalls , Fail2Ban-Richtlinien, sichere Dienste und Blockanwendungen zu konfigurieren , obwohl dies möglich ist Sicher, wenn jeder Angriff effektiv geblockt wurde und dies zu kritischen Problemen für die Benutzer und zum allgemeinen Verhalten der Organisation führen kann.

Wenn Sie darüber nachdenken, bringt TechnoWikis heute ein wertvolles Hilfsprogramm namens Tripwire für die Implementierung in Ubuntu-Umgebungen mit, in diesem Fall Ubuntu 17.10, und hat somit die Gewissheit, dass wir ein sichereres Tool unter unserer Verwaltung haben.

Was ist Tripwire?
Tripwire ist ein völlig kostenloses Open-Source-Intrusion-Detection-System (IDS).
Tripwire ist ein Sicherheitstool, mit dem wir Änderungen an den Dateien im Betriebssystem überwachen und warnen können.

Tripwire ist ein leistungsstarkes IDS, das das System vor unerwünschten Änderungen schützen soll. Mit diesem Tool ist es möglich, die Systemdateien einschließlich der Dateien der Website zu überwachen, sodass Tripwire das System überprüft und uns benachrichtigt, wenn eine unerwünschte Dateiänderung in einer der zu überwachenden Dateien vorliegt konfiguriert.

Ein Host-basiertes Intrusion Detection-System (HIDS) sammelt Details zum Dateisystem und zur Konfiguration Ihres Computers und speichert diese Informationen, um auf den aktuellen Status des Systems zu verweisen und diesen zu validieren. Wenn Änderungen zwischen dem bekannten und dem aktuellen Status festgestellt werden, kann dies ein Zeichen dafür sein, dass die Sicherheit gefährdet ist, und es ist dringend erforderlich, die erforderlichen Verwaltungsmaßnahmen zu ergreifen.

Tripwire-Funktionen
Bei der Verwendung dieses Tools haben wir einige Eigenschaften wie:

  • Echtzeiterkennung: Tripwire ist für die Erfassung und Begrenzung des Schadens durch Bedrohungen, Anomalien und verdächtige Änderungen verantwortlich.
  • Integrität von Sicherheits- und IT-Anwendungen
  • Änderungsinformationen in Echtzeit: Tripwire bietet die umfassendste Dateiintegritätslösung für Unternehmen jeder Größe. Tripwire wurde entwickelt, um Änderungen zu erkennen und zu beurteilen und Sicherheitsrisiken mit Integrationen zu priorisieren, die Warnmeldungen für große und kleine Änderungen bereitstellen. Tripwire bietet eine robuste Lösung zur Überwachung der Dateiintegrität (FIM), mit der die detaillierte Integrität des Systems überwacht werden kann: Dateien, Verzeichnisse, Register, Konfigurationsparameter, DLLs, Ports, Dienste, Protokolle usw.
  • Härtungs- und Compliance-Verbesserungssystem: Tripwire verfügt über die größte und umfassendste Bibliothek von Richtlinien und Plattformen, die mit mehr als 800 Richtlinien kompatibel sind, und deckt eine Vielzahl von Betriebssystemversionen und -geräten ab.
  • Sicherheitsautomatisierung und -korrektur: Tripwires Korrekturfunktion automatisiert Aufgaben und hilft uns bei der schnellen Reparatur fehlerhafter Systeme und falscher Sicherheitskonfigurationen. Arbeitsabläufe können durch Integration in SIEM-, IT-GRC- und Change-Management-Systeme automatisiert werden.
See also  So platzieren Sie ein Gif in den WhatsApp-Status

Voraussetzungen
Für die ideale Installation, Konfiguration und Verwendung von Tripwire ist Folgendes erforderlich:

  • Ubuntu 17.10 Server: Ubuntu 17.10
  • Root-Rechte haben

1. So aktualisieren Sie das Betriebssystem und installieren Tripwire unter Ubuntu 17.10

Schritt 1

Der erste Schritt ist die Installation von Tripwire unter dem Betriebssystem. Dieses Tool ist im offiziellen Ubuntu-Repository verfügbar. Aktualisieren Sie das Ubuntu 17.10-Repository also einfach mit dem folgenden Befehl:

 sudo apt update 

Install-and-Use-Tripwire-Ubuntu-1.png

Schritt 2

Nach dem Update von Ubuntu 17.10 installieren wir Tripwire mit folgendem Befehl:

 sudo apt install -y Tripwire 

Install-and-Use-Tripwire-Ubuntu-2.png

Schritt 3

Während des Installationsvorgangs wird die folgende Frage zur Postfix SMTP-Konfiguration angezeigt. Wählen Sie die Option Internet-Site aus, und klicken Sie auf OK, um mit der Installation fortzufahren: Install-and-Use-Tripwire-Ubuntu-3.png

Schritt 4

Durch Klicken auf OK im folgenden Fenster für den Namen des Mailsystems übernehmen wir den Standardwert: Install-and-Use-Tripwire-Ubuntu-4.png

Schritt 5

Klicken Sie erneut auf OK und im nächsten Fenster müssen Sie einen neuen Site-Schlüssel für Tripwire erstellen. In diesem Fall wählen Sie Ja und drücken die Eingabetaste, um fortzufahren: Install-and-Use-Tripwire-Ubuntu-5.png

Schritt 6

Wir können sehen, dass diese Schlüssel mit Sicherheitsfaktoren verbunden sind, da es ein Zeitfenster gibt, auf das der Angreifer zugreifen kann. Sobald wir drücken Wenn wir folgendes Fenster sehen: Install-and-Use-Tripwire-Ubuntu-6.png

Schritt 7

In diesem Fall haben wir die Schlüsseldateien von Tripwire. In diesem Fall wählen wir Ja und drücken die Eingabetaste, um fortzufahren. Jetzt müssen wir bestätigen, ob die Tripwire-Konfigurationsdatei wiederhergestellt werden soll, da Änderungen an den Schlüsseldateien vorgenommen wurden. Wählen Sie Ja und drücken Sie die Eingabetaste, um den Vorgang fortzusetzen. Install-and-Use-Tripwire-Ubuntu-7.png

Der gleiche Prozess, den wir ausführen, um die Anweisungen zu rekonstruieren:

Install-and-Use-Tripwire-Ubuntu-8.png

Schritt 8

Mit einem Klick auf Ja wird der ausgewählte Vorgang ausgeführt: Install-and-Use-Tripwire-Ubuntu-9.png

Später müssen wir einen Site-Schlüssel zuweisen, da dieser nicht existiert:

Install-and-Use-Tripwire-Ubuntu-10.png

Hinweis
Wir müssen uns dieses Passwort merken, da wir im Falle eines Vergessens nicht darauf zugreifen können.

Schritt 9

Drücken Sie OK und wir müssen das eingegebene Passwort bestätigen: Install-and-Use-Tripwire-Ubuntu-11.png

Schritt 10

Der nächste Schritt besteht darin, das Passwort des lokalen Schlüssels zuzuweisen und zu bestätigen: Install-and-Use-Tripwire-Ubuntu-12.png

Sobald dieses Passwort vergeben ist und wir Tripwire in Ubuntu 17.10 installiert haben:

Install-and-Use-Tripwire-Ubuntu-13.png

2. So konfigurieren Sie Tripwire-Richtlinien unter Ubuntu 17.10

Schritt 1

Sobald das Tool auf dem System installiert ist, muss Tripwire für unser Ubuntu 17-System konfiguriert werden. Die gesamte Konfiguration für Tripwire befindet sich im Verzeichnis / etc / tripwire.

See also  So ändern Sie den Ordner Captures Game DVR Windows 10

Nach der Installation von Tripwire muss das Datenbanksystem mit dem folgenden Befehl initialisiert werden:

 sudo tripwire -init 

Dort geben wir das Administratorkennwort und dann den lokalen Schlüssel ein, der während der Installation konfiguriert wurde: Install-and-Use-Tripwire-Ubuntu-14.png

Schritt 2

Dadurch wird die Datenbank gestartet, in der Folgendes angezeigt wird: Install-and-Use-Tripwire-Ubuntu-15.png

Schritt 3

Das Endergebnis wird das folgende sein. Wir können den Fehler sehen. Es gibt keine Datei oder kein Verzeichnis. Um diesen Fehler zu beheben, müssen wir die Tripwire-Konfigurationsdatei bearbeiten und die Konfiguration neu generieren. Install-and-Use-Tripwire-Ubuntu-16.png

Schritt 4

Bevor Sie die Tripwire-Konfiguration bearbeiten, müssen Sie überprüfen, welches Verzeichnis nicht vorhanden ist. Dies ist mit dem folgenden Befehl möglich:

 sudo sh -c "tripwire --check | grep Dateiname> no-directory.txt" 

Später können wir den Inhalt dieser Datei sehen, indem wir Folgendes ausführen:

 cat no-directory.txt 

Install-and-Use-Tripwire-Ubuntu-17.png

Dort sehen wir die Liste der fehlenden Verzeichnisse.

3. So konfigurieren Sie die Tripwire-Verzeichnisse

Schritt 1

Im nächsten Schritt wechseln Sie in das Tripwire-Konfigurationsverzeichnis und bearbeiten die Konfigurationsdatei twpol.txt, indem Sie Folgendes ausführen:

 cd / etc / tripwire / nano twpol.txt 

Wir werden folgendes sehen: install-and-use-Tripwire-ubuntu-18.png

Schritt 2

Dort machen wir Folgendes: In der Regel Boot Scripts kommentieren wir die Zeile

 /etc/rc.boot -> $ (SEC_BIN); 

install-and-use-Tripwire-ubuntu-19.png

Schritt 3

In der Zeile System Boot Changes werden die folgenden Zeilen kommentiert:

 # / var / lock -> $ (SEC_CONFIG); # / var / run -> $ (SEC_CONFIG); # Daemon-PIDs 

install-and-use-Tripwire-ubuntu-20.png

Schritt 4

In der Zeile Root Config Files kommentieren wir die folgenden Zeilen:

 / root -> $ (SEC_CRIT); # Alle Ergänzungen zu / root abfangen # / root / mail -> $ (SEC_CONFIG); # / root / Mail -> $ (SEC_CONFIG); # / root / .xsession-errors -> $ (SEC_CONFIG); # / root / .xauth -> $ (SEC_CONFIG); # / root / .tcshrc -> $ (SEC_CONFIG); # / root / .sawfish -> $ (SEC_CONFIG); # / root / .pinerc -> $ (SEC_CONFIG); # / root / .mc -> $ (SEC_CONFIG); # / root / .gnome_private -> $ (SEC_CONFIG); # / root / .gnome-desktop -> $ (SEC_CONFIG); # / root / .gnome -> $ (SEC_CONFIG); # / root / .esd_auth -> $ (SEC_CONFIG); # / root / .elm -> $ (SEC_CONFIG); # / root / .cshrc -> $ (SEC_CONFIG); /root/.bashrc -> $ (SEC_CONFIG); # / root / .bash_profile -> $ (SEC_CONFIG); # / root / .bash_logout -> $ (SEC_CONFIG); /root/.bash_history -> $ (SEC_CONFIG); # / root / .amandahosts -> $ (SEC_CONFIG); # / root / .addressbook.lu -> $ (SEC_CONFIG); # / root / .addressbook -> $ (SEC_CONFIG); # / root / .Xresources -> $ (SEC_CONFIG); # / root / .Xauthority -> $ (SEC_CONFIG) -i; # Ändert die Inode-Nummer bei der Anmeldung # / root / .ICEauthority -> $ (SEC_CONFIG); 

install-and-use-Tripwire-ubuntu-21.png

Schritt 5

In der Geräte- und Kernel-Informationsregel müssen wir Folgendes hinzufügen:

 / dev -> $ (Gerät); / dev / pts -> $ (Gerät); / dev / shm -> $ (Gerät); / dev / hugepages -> $ (Gerät); / dev / mqueue -> $ (Gerät); # / proc -> $ (Gerät); / proc / devices -> $ (Gerät); / proc / net -> $ (Gerät); / proc / tty -> $ (Gerät); / proc / cpuinfo -> $ (Gerät); / proc / modules -> $ (Gerät); / proc / mounts -> $ (Gerät); / proc / dma -> $ (Gerät); / proc / filesystems -> $ (Gerät); / proc / interrupts -> $ (Gerät); / proc / ioports -> $ (Gerät); / proc / scsi -> $ (Gerät); / proc / kcore -> $ (Gerät); / proc / self -> $ (Gerät); / proc / kmsg -> $ (Gerät); / proc / stat -> $ (Gerät); / proc / loadavg -> $ (Gerät); / proc / uptime -> $ (Gerät); / proc / locks -> $ (Gerät); / proc / meminfo -> $ (Gerät); / proc / misc -> $ (Gerät); 

install-and-use-Tripwire-ubuntu-22.png

Sobald diese Änderungen aufgezeichnet wurden, speichern wir sie mit den Tasten Strg + O und verlassen sie mit den Tasten Strg + X.

Schritt 6

Nach dem Bearbeiten der Konfigurationsdatei werden alle Änderungen implementiert, indem die verschlüsselte Richtliniendatei mit dem Befehl twadmin wie folgt erneut geladen wird. Es gibt drei Überprüfungsschritte.

 sudo tripwire -update-policy -secure-mode low /etc/tripwire/twpol.txt 

install-and-use-Tripwire-ubuntu-23.png

Schritt 7

Um die Tripwire-Konfigurationsdatei neu zu generieren, führen wir die folgende Zeile aus:

 sudo twadmin -m P /etc/tripwire/twpol.txt 

install-and-use-Tripwire-ubuntu-24.png

4. Verwendung von Tripwire

Schritt 1

Um eine Analyse mit diesem Tool zu starten, führen wir zunächst Folgendes aus:

 sudo tripwire -check 

install-and-use-Tripwire-ubuntu-25.png

Schritt 2

Dort startet der Analyseprozess, der folgendes Ergebnis liefert: install-and-use-Tripwire-ubuntu-26.png

Schritt 3

Mit Tripwire ist es möglich, nur ein Verzeichnis zu scannen. Um beispielsweise das Verzeichnis / home zu scannen, führen wir Folgendes aus:

 sudo tripwire -check / home 

install-and-use-Tripwire-ubuntu-28.png

Schritt 4

Im unteren Teil sehen wir spezifische Details des Verzeichnisses: install-and-use-Tripwire-ubuntu-29.png

Schritt 5

Wir haben eine neue Datei im Verzeichnis / dev hinzugefügt und sobald wir die Tripwire-Prüfung durchgeführt haben, können wir feststellen, dass die Verletzung festgestellt wurde: install-and-use-Tripwire-ubuntu-30.png

See also  Wiederherstellen und Anzeigen des gespeicherten WLAN-Kennworts Windows 10, 8, 7

Dort haben wir den Schweregrad und die Menge der geänderten Dateien.

5. So konfigurieren Sie Benachrichtigungen per Tripwire-Kurier

Für E-Mail-Benachrichtigungen bietet Tripwire in der Konfiguration eine E-Mail-Funktion an. Tripwire verwendet Postfix zum Versenden von Benachrichtigungen per E-Mail. Diese werden bei der Installation des Tools automatisch installiert.

Bevor Sie E-Mail-Benachrichtigungen konfigurieren, können Sie die Tripwire-Benachrichtigung mit dem folgenden Befehl testen:

 tripwire --test --email [email protected] 

install-and-use-Tripwire-ubuntu-31.png

Um die Mail endgültig zu konfigurieren, greifen wir erneut auf die Datei twpol.txt zu und fügen im Abschnitt WordPress-Daten Folgendes hinzu:

 # Regeln für die Web-App ( rulename = "Wordpress-Regel", Schweregrad = $ (SIG_HI), emailto = [email protected] ) 

Sobald dieser Prozess gespeichert ist, müssen wir die Datei neu generieren, indem wir die folgenden Zeilen ausführen:

 sudo twadmin -m P /etc/tripwire/twpol.txt sudo tripwire -init 

Schließlich haben wir die Möglichkeit, mit cron periodische Aufgaben mit Tripwire auszuführen.
Dazu führen wir die folgende Zeile aus, mit der ein neuer Cron erstellt wird:

 sudo crontab -e -u root 

Sobald wir auf die Datei zugreifen, werden wir die folgende Zeile am Ende hinzufügen:

 0 0 * * * tripwire --check --email-report 

Auf diese Weise definieren wir Zeiten und hängen einen Bericht an die E-Mail an. Wir können die Änderungen mit den Tasten Strg + O speichern und den Editor mit den Tasten Strg + X verlassen.

Starten Sie cron neu, indem Sie Folgendes ausführen:

 systemctl cron neu starten 

Auf diese Weise ist Tripwire ein Verbündeter, um Änderungen in den Systemdateien in Linux-Distributionen zu erkennen.

administrator

Leave a Reply

Your email address will not be published. Required fields are marked *