So installieren Sie TripWire (Intrusion Detection System) Linux

administrator Leave a Comment

Sicherheit ist eines der wichtigsten Themen, mit denen wir uns täglich auseinandersetzen müssen, da wir nicht nur in unseren Organisationen, sondern auch auf persönlicher Ebene zahlreiche Dateien und Konfigurationen haben, die bei Missbrauch irreparablen Schaden anrichten können.

Wir kennen verschiedene Tools, die nützlich sein können, um das tägliche Verhalten des Systems zu überwachen. Dieses Mal werden wir uns mit einem speziellen Tool namens TripWire befassen .

Was ist TripWire?
TripWire ist ein leistungsstarkes und kostenloses Tool, dessen spezifische Funktion die Intrusion Detection (IDS) ist. Es aktualisiert ständig wichtige Systemdateien und Kontrollberichte, falls diese von einem Hacker oder Eindringling geändert oder gelöscht wurden.

TripWire sendet im Falle eines Systemfehlers eine Nachricht an den Systemadministrator. TripWire ist ein Open-Source-Tool, mit dem der IT-Bereich im Falle von Änderungen am Linux-System, in diesem Fall Debian 8 , benachrichtigt werden kann.

Die Grundbedienung von TripWire ist wie folgt:

  • Zunächst führt das Tool eine Analyse durch und erstellt einen Bezugspunkt für alle kritischen Dateien in einer verschlüsselten Datei, um die Sicherheit zu erhöhen.
  • Später überwacht es jede anormale Änderung und vergleicht sie mit dem Referenzpunkt, einschließlich Details wie Datum und Uhrzeit, Berechtigungen usw.

Für diese Analyse werden wir ein Team mit Debian 8 verwenden.

1. System aktualisieren

Geben Sie zuerst den Befehl ein: 

 apt-get update

So aktualisieren Sie alle verfügbaren Pakete im System.

Hinweis
Wir setzen das Präfix sudo, wenn Sie sich nicht als Root-Benutzer angemeldet haben.

tripwire-1.jpg

In Teams mit CentOS 7 oder RHEL müssen wir den Befehl eingeben: 

 leckeres Update

Damit haben wir die Pakete aktualisiert.

2. Laden Sie TripWire herunter und installieren Sie es

Sobald wir das aktualisierte System haben, geben wir den folgenden Befehl zum Herunterladen und Installieren von TripWire ein: 

 Apt-Get Tripwire installieren

In Teams mit CentOS 7 geben wir den Befehl ein: 

 yum installiere tripwire

tripwire-2.jpg

Wir können sehen, dass der folgende Assistent angezeigt wird, in dem wir die Nachricht akzeptieren:

See also  Liefertermine im Projekt 2013

tripwire-3.jpg

Sobald diese Nachricht akzeptiert wurde, wird das folgende Fenster angezeigt, in dem wir definieren müssen, wann die TripWire- Schlüssel erstellt werden sollen.

tripwire-4.jpg

Wir werden folgendes sehen:

tripwire-5.jpg

Wir drücken OK und müssen den lokalen Schlüssel konfigurieren.

tripwire-6.jpg

Wenn Sie auf Ja klicken, wird im nächsten Fenster die Route angezeigt, auf der die TripWire-Konfiguration gespeichert wird.

tripwire-7.jpg

Als nächstes sehen wir die Route der TripWire-Richtlinien.

tripwire-8.jpg

Wir drücken die gewünschte Option und der Installationsprozess wird fortgesetzt.

tripwire-9.jpg

Später sehen wir das nächste Fenster, in dem wir das Site-Passwort für TripWire eingeben müssen.

tripwire-10.jpg

Wir müssen das Passwort bestätigen und dann das lokale Passwort eingeben.

tripwire-11.jpg

Wir bestätigen das Passwort erneut und werden schließlich feststellen, dass die Installation korrekt abgeschlossen wurde.

tripwire-12.jpg

Drücken Sie OK , um den Assistenten zu beenden. Falls der Assistent nicht bereitgestellt wird, müssen Sie Folgendes eingeben, um sowohl den Standort- als auch den lokalen Schlüssel zu konfigurieren: 

 twadmin -m G -L /etc/tripwire/dummy-local.key -S /etc/tripwire/site.key

Site-Code

3. Starten Sie den TripWire-Dienst

Nachdem das TripWire-Tool installiert wurde, starten wir den Dienst mit dem folgenden Befehl: 

 tripwire -init

Und wir müssen das lokale Passwort eingeben, das wir zuvor erstellt haben.

tripwire-13.jpg

Bisher haben wir gesehen, wie Tripwire installiert und gestartet wird. Klicken Sie auf die nächste Seite, um zu erfahren, wie Sie Tripwire konfigurieren .

4. Ändern Sie die Tripwire-Konfigurationsdatei

Der nächste Schritt besteht darin , die Datei twpol.txt mit dem Editor zu konfigurieren, der uns am besten gefällt.

In diesem Fall geben wir den folgenden Befehl ein: 

 sudo nano /etc/tripwire/twpol.txt

Das folgende Fenster wird angezeigt:

tripwire-15.jpg

Dort finden wir folgende Zeilen:

tripwire-16.jpg

Diese Zeilen beziehen sich auf die Datenbank, die zuvor beim Starten des TripWire-Dienstes erstellt wurde. Dort müssen wir diese Zeilen mit dem Icon # aktivieren, nur wählen wir folgende Zeilen nicht aus: 

 /root/.bashrc /root/.bash_profile

tripwire-17.jpg

Ebenso müssen wir folgende Zeilen aktivieren:

See also  So löschen Sie Instagram-Audionachrichten, bevor sie abgehört werden

tripwire-18.jpg

Wir speichern die Änderungen mit der Tastenkombination:

+ O Strg + O

Und wir haben den Editor mit der Kombination verlassen:

+ X Strg + X

5 Ändern Sie TripWire-Vorlagen

Als Nächstes geben wir die folgende Route ein, um die Werkzeugvorlage zu ändern: 

 twadmin -m P /etc/tripwire/twpol.txt

tripwire-20.jpg

Wir sehen, dass die Dateirichtlinie korrekt geschrieben wurde. Sobald diese Parameter konfiguriert sind, müssen wir den Befehl erneut verwenden: 

 tripwire -init

Änderungen müssen vorgenommen werden.

6. Überprüfung von TripWire

Geben Sie den folgenden Befehl ein, um die Parameter des TripWire-Tools zu überprüfen: 

 tripwire -check

tripwire-22.jpg

Wir können den Text etwas mehr anzeigen und finden in der Zeile Regelzusammenfassung die Objekte, die vom Tool gescannt wurden, und die möglichen Verstöße oder Beeinträchtigungen in ihnen .

tripwire-23.jpg

7. Automatisieren Sie TripWire-Berichte unter Debian 8

Einer der von TripWire verwendeten Parameter ist, wie oben erwähnt, dass das Tool einen Wiederherstellungspunkt für kritische Dateien erstellt.

Dafür können wir Folgendes verwenden: 

 crontab -e

Wir werden folgendes sehen:

tripwire-24.jpg

Am Ende der Konsole müssen wir die Parameter für die Sicherung der Informationen eingeben:

tripwire-25.jpg

Auf diese Weise konfigurieren wir, dass wir per E-Mail Benachrichtigungen über Änderungen in den Dateien erhalten.

+ O . Wir speichern die Änderungen mit der Tastenkombination Strg + O.

Wie wir mit dem TripWire-Tool gesehen haben, können wir auf die Möglichkeit zählen, die Integrität und Sicherheit der Dateien auf unseren Linux-Systemen zu gewährleisten.

CentOS-Audit 7

administrator

More Posts

Leave a Reply

Your email address will not be published. Required fields are marked *