Sicherheit ist eines der wichtigsten Themen, mit denen wir uns täglich auseinandersetzen müssen, da wir nicht nur in unseren Organisationen, sondern auch auf persönlicher Ebene zahlreiche Dateien und Konfigurationen haben, die bei Missbrauch irreparablen Schaden anrichten können.
Wir kennen verschiedene Tools, die nützlich sein können, um das tägliche Verhalten des Systems zu überwachen. Dieses Mal werden wir uns mit einem speziellen Tool namens TripWire befassen .
TripWire sendet im Falle eines Systemfehlers eine Nachricht an den Systemadministrator. TripWire ist ein Open-Source-Tool, mit dem der IT-Bereich im Falle von Änderungen am Linux-System, in diesem Fall Debian 8 , benachrichtigt werden kann.
Die Grundbedienung von TripWire ist wie folgt:
- Zunächst führt das Tool eine Analyse durch und erstellt einen Bezugspunkt für alle kritischen Dateien in einer verschlüsselten Datei, um die Sicherheit zu erhöhen.
- Später überwacht es jede anormale Änderung und vergleicht sie mit dem Referenzpunkt, einschließlich Details wie Datum und Uhrzeit, Berechtigungen usw.
Für diese Analyse werden wir ein Team mit Debian 8 verwenden.
1. System aktualisieren
Geben Sie zuerst den Befehl ein:
apt-get update
So aktualisieren Sie alle verfügbaren Pakete im System.
In Teams mit CentOS 7 oder RHEL müssen wir den Befehl eingeben:
leckeres Update
Damit haben wir die Pakete aktualisiert.
2. Laden Sie TripWire herunter und installieren Sie es
Sobald wir das aktualisierte System haben, geben wir den folgenden Befehl zum Herunterladen und Installieren von TripWire ein:
Apt-Get Tripwire installieren
In Teams mit CentOS 7 geben wir den Befehl ein:
yum installiere tripwire
Wir können sehen, dass der folgende Assistent angezeigt wird, in dem wir die Nachricht akzeptieren:
Sobald diese Nachricht akzeptiert wurde, wird das folgende Fenster angezeigt, in dem wir definieren müssen, wann die TripWire- Schlüssel erstellt werden sollen.
Wir werden folgendes sehen:
Wir drücken OK und müssen den lokalen Schlüssel konfigurieren.
Wenn Sie auf Ja klicken, wird im nächsten Fenster die Route angezeigt, auf der die TripWire-Konfiguration gespeichert wird.
Als nächstes sehen wir die Route der TripWire-Richtlinien.
Wir drücken die gewünschte Option und der Installationsprozess wird fortgesetzt.
Später sehen wir das nächste Fenster, in dem wir das Site-Passwort für TripWire eingeben müssen.
Wir müssen das Passwort bestätigen und dann das lokale Passwort eingeben.
Wir bestätigen das Passwort erneut und werden schließlich feststellen, dass die Installation korrekt abgeschlossen wurde.
Drücken Sie OK , um den Assistenten zu beenden. Falls der Assistent nicht bereitgestellt wird, müssen Sie Folgendes eingeben, um sowohl den Standort- als auch den lokalen Schlüssel zu konfigurieren:
twadmin -m G -L /etc/tripwire/dummy-local.key -S /etc/tripwire/site.key
Site-Code
3. Starten Sie den TripWire-Dienst
Nachdem das TripWire-Tool installiert wurde, starten wir den Dienst mit dem folgenden Befehl:
tripwire -init
Und wir müssen das lokale Passwort eingeben, das wir zuvor erstellt haben.
Bisher haben wir gesehen, wie Tripwire installiert und gestartet wird. Klicken Sie auf die nächste Seite, um zu erfahren, wie Sie Tripwire konfigurieren .
4. Ändern Sie die Tripwire-Konfigurationsdatei
Der nächste Schritt besteht darin , die Datei twpol.txt mit dem Editor zu konfigurieren, der uns am besten gefällt.
In diesem Fall geben wir den folgenden Befehl ein:
sudo nano /etc/tripwire/twpol.txt
Das folgende Fenster wird angezeigt:
Dort finden wir folgende Zeilen:
Diese Zeilen beziehen sich auf die Datenbank, die zuvor beim Starten des TripWire-Dienstes erstellt wurde. Dort müssen wir diese Zeilen mit dem Icon # aktivieren, nur wählen wir folgende Zeilen nicht aus:
/root/.bashrc /root/.bash_profile
Ebenso müssen wir folgende Zeilen aktivieren:
Wir speichern die Änderungen mit der Tastenkombination:
+ O Strg + O
Und wir haben den Editor mit der Kombination verlassen:
+ X Strg + X
5 Ändern Sie TripWire-Vorlagen
Als Nächstes geben wir die folgende Route ein, um die Werkzeugvorlage zu ändern:
twadmin -m P /etc/tripwire/twpol.txt
Wir sehen, dass die Dateirichtlinie korrekt geschrieben wurde. Sobald diese Parameter konfiguriert sind, müssen wir den Befehl erneut verwenden:
tripwire -init
Änderungen müssen vorgenommen werden.
6. Überprüfung von TripWire
Geben Sie den folgenden Befehl ein, um die Parameter des TripWire-Tools zu überprüfen:
tripwire -check
Wir können den Text etwas mehr anzeigen und finden in der Zeile Regelzusammenfassung die Objekte, die vom Tool gescannt wurden, und die möglichen Verstöße oder Beeinträchtigungen in ihnen .
7. Automatisieren Sie TripWire-Berichte unter Debian 8
Einer der von TripWire verwendeten Parameter ist, wie oben erwähnt, dass das Tool einen Wiederherstellungspunkt für kritische Dateien erstellt.
Dafür können wir Folgendes verwenden:
crontab -e
Wir werden folgendes sehen:
Am Ende der Konsole müssen wir die Parameter für die Sicherung der Informationen eingeben:
Auf diese Weise konfigurieren wir, dass wir per E-Mail Benachrichtigungen über Änderungen in den Dateien erhalten.
+ O . Wir speichern die Änderungen mit der Tastenkombination Strg + O.
Wie wir mit dem TripWire-Tool gesehen haben, können wir auf die Möglichkeit zählen, die Integrität und Sicherheit der Dateien auf unseren Linux-Systemen zu gewährleisten.
CentOS-Audit 7