Tripwire linux как работает
Обновлено: 07.07.2024
Системы обнаружения вторжений
Системы обнаружения вторжений, которые в дальнейшем будут называться IDS, представляют собой программные приложения, которые отслеживают любую подозрительную активность в сети, ключевым словом здесь является «мониторинг». Разница между IDS и брандмауэром состоит в том, что первый обычно просто сообщает о любой необычной активности, а брандмауэр - это приложение, созданное для остановки указанной активности. Так что это в основном случай пассивного и активного. Как мы уже говорили выше, хотя вы можете использовать IDS в сети SOHO, ее истинная ценность проявляется в более крупных сетях с большим количеством подсетей и ценных данных. Существуют также IDPS, где дополнительная буква «P» означает предотвращение, что означает, что IDPS также будет пытаться перенастройте брандмауэр, чтобы, например, отразить новую угрожающую ситуацию, чтобы в этом случае пассивный активный. Мы позволим вам глубже изучить обширную документацию по этому вопросу, поскольку безопасность в целом не является решающим фактором. объект нашей статьи, и мы постараемся сосредоточиться на типах IDS, чтобы мы могли добраться до нашей темы, которая tripwire.
Основные типы IDS
Есть NIDS и HIDS, то есть IDS сети и IDS на основе хоста. Первый пытается обнаружить злоумышленников, отслеживая сетевой трафик (например, Snort), в то время как HIDS отслеживать изменения файлов в отслеживаемых системах, системные вызовы, списки контроля доступа и т. д., чтобы добиться того же результат. Иногда HIDS можно настроить также для мониторинга сетевых пакетов, как и NIDS, но это статья не об общей классификации IDS. Существуют разные мнения об эффективности различных типов IDS, но мы говорим, что используйте правильный инструмент для правильной работы. HIDS были первым типом разработанного программного обеспечения для обнаружения вторжений, и, как легко предположить, он более уместен, когда трафик с внешним миром менее частый. (поскольку в то время сетевой трафик был в лучшем случае довольно разреженным), либо структура сети такова, что позволяет использовать как HIDS, так и NIDS, в зависимости от трафика (подумайте DMZ).
Прежде чем мы начнем, очень важный совет: попробуйте установить tripwire сразу после установки. систему, потому что в этом случае больше шансов, что она будет чистой, без злонамеренных частные лица. Tripwire создает базу данных информации, относящейся к вашей системе, а затем сравнивает ее с тем, что он находит при регулярном запуске, что ему следует, чтобы извлечь из этого реальную пользу.
Debian
Вы можете найти tripwire в репозиториях Debian, его легко установить как
Мы говорим просто, потому что сценарий configure задает вам несколько основных вопросов конфигурации, таких как общесистемные пароли, чтобы вам было легче начать. dpkg-reconfigure поможет вам, если что-то пойдет не так и вы захотите выполнить сброс. Как вы увидите ниже, вам нужно будет инициализировать базу данных tripwire, и это применимо ко всем системам, на которых Tripwire может компилироваться.
Fedora
В репозиториях Fedora также есть tripwire, поэтому
вы установите ее в мгновение ока (tripwire - это небольшая базовая программа для зависимостей, написанная на C ++). Вы можете использовать
для аналогичной утилиты, что и сценарий конфигурации Debian, плюс обязательная инициализация базы данных. Мы не будем везде повторять часть инициализации, но помните, что это обязательно.
Gentoo
установит для вас tripwire, если у вас настроены необходимые USE-флаги, особенно ssl. Перед –init необходимо запустить
Slackware
Tripwire работает с использованием режимы. По сути, режим - это функция, которую может выполнять tripwire. Мы уже говорили о первом используемом режиме - режиме инициализации. Все режимы tripwire также можно рассматривать как действия, и каждый флаг, связанный с действием (например, –init), имеет короткий эквивалент с префиксом -m. Итак, чтобы инициализировать базу данных, мы могли бы написать
Очевидно, что после всего этого разговора кто-то захочет использовать tripwire, так что это можно сделать с помощью режима проверки:
Один из флагов, который вы можете часто использовать в режиме проверки, - это -I, что означает интерактивный. Вы обнаружите огромное количество проблем, обнаруженных tripwire при сканировании, но не паникуйте. И, конечно, не полагайтесь Только на HIDS, чтобы проверить целостность вашей системы. Программное обеспечение IDS, как известно, генерирует ложноотрицательные / положительные результаты, поэтому к отчетам таких систем следует относиться с недоверием. Итак, наша команда режима проверки становится
Прежде чем мы перейдем в режим обновления базы данных, мы должны напомнить вам о необходимости проверить руководство. У каждого режима есть свои особые параметры, которые вы, скорее всего, найдете полезными, а также другие параметры, общие для всех или некоторых режимов, например -v, -c или -f (мы приглашаем вас узнать, что они делают). На сайте Tripwire на sourceforge также есть руководство в формате pdf, если вам не нравится команда «человек». Излишне говорить, что, поскольку вам придется часто использовать эти команды, вы должны использовать cron или любой другой инструмент, который вы используете для планирования. Например, эта строка в crontab root сделает свое дело:
который будет запускать команду ежедневно в 04:45.
Со временем файлы в системе меняются. Обновления системы, новые установки - все это увеличивает расхождения между реальным и тем, что Tripwire знает о вашей системе (базе данных). Следовательно, базу данных необходимо регулярно обновлять, чтобы отчеты были как можно более точными. Мы можем легко сделать это, набрав
Если вы хотите увидеть базу данных в ее текущем виде, на помощь приходит twprint:
Итак, объект - это в основном папка в вашей системе, и здесь вторая строка показывает, как вы должны указать tripwire оставить каталог / data1 в покое, используя оператор «!» (C, кто-нибудь?). Что касается объектов, обратите внимание, что такие имена, как $ HOME или
Наконец, тестовый режим. Что хорошего в инструменте мониторинга, если он не может правильно отчитываться перед вами? Это то, что делает тестовый режим. Он отправляет электронное письмо администратору на основе настроек, найденных в файле конфигурации (первый пример) или в качестве параметра командной строки (второй пример), и, если почта получена правильно, жизнь в порядке. Это, конечно, предполагает, что ваша почтовая система настроена правильно. Посмотрим :
Tripwire не устанавливает много файлов: как мы уже говорили, он довольно маленький. Делая
в системе OpenSUSE - 31, включая справочные страницы. Для людей, которые не используют rpm, приведенная выше команда перечисляет файлы, установленные пакетом, указанным в качестве аргумента. Хотя он устанавливает небольшое количество файлов, некоторые из них очень важны при настройке tripwire, особенно файлы, которые находятся в / etc / tripwire в большинстве систем Linux. На нашей машине sid Debian следующие файлы находятся в / etc / tripwire (после настройки и генерации ключа):
Конечно, $ hostname - это вывод команды hostname в любом Linux-компьютере. Теперь два файла .key являются общесайтовыми и локальными ключами для tripwire, и, как вы можете видеть, есть два файла .txt и два файла .cfg. Если присмотреться, можно заметить закономерность в именах этих четырех файлов, и вы правы. Файлы .cfg создаются из соответствующих файлов .txt, например:
Это сгенерирует файлы tw.cfg и tw.pol соответственно, которые, как мы уже сказали, необходимы для настройки tripwire. tw.cfg - это файл, с помощью которого настраивается программа, а tw.pol определяет политику. Давайте немного посмотрим на синтаксис.
tw.cfg
Подзаголовок намеренно вводит в заблуждение, потому что tw.cfg создается из текстового файла, почти так же, как выполняется конфигурация sendmail, и является двоичным, нечитаемым для обычных людей. Итак, что нужно сделать, это изменить значения объектов в twcfg.txt, а затем «перекомпилировать» tw.cfg. Вы увидите, что вариантов для изменения не так много, учитывая характер программы. Вот несколько первых строк нашей настройки:
Вам снова предлагается открыть файл twcfg.txt как root и настроить его по своему вкусу.
tw.pol
Бинарная история и текстовая история здесь тоже актуальны, поэтому мы не будем повторять это снова. Вместо этого мы сконцентрируемся на некоторых полезных значениях в файле twpol.txt, которые вы, возможно, захотите изменить. Общий синтаксис такой же, как указано выше. Теперь одно значение, которое вы можете захотеть изменить здесь и в twcfg.txt (там вы увидите его как ROOT-объект, здесь как TWBIN) - это место, где находятся исполняемые файлы. Если вы установили с помощью диспетчера пакетов, такого как aptitude или yum, скорее всего, это будет / usr / sbin. Но если вы установили из исходного кода, поскольку, как вы видели, не все используют tripwire для своего дистрибутива, возможно, вы установили в / usr / local, и если вы не измените эти места, ничего не будет работать, так как это должен. Однако мы предлагаем использовать символические ссылки:
Как и любой такой файл, политика определяет, какие местоположения в вашей системе имеют важное значение (например, / boot имеет решающее значение). В этом суть того, что делает файл политики. Вы, конечно, можете изменить значения, но мы рекомендуем проявить осторожность и по очень уважительной причине. Например, критический раздел безопасности определяется как
После определения всех категорий безопасности twpol.cfg определяет важность безопасности каждого важного места, как показано выше. Файл политики состоит почти из 300 строк, но хорошо прокомментирован, чтобы облегчить вам жизнь. Надеюсь, ваша первая установка tripwire не будет запущена в производство, поэтому поэкспериментируйте с определениями политик, пока не найдете нужное место.
Эта поездка (!) В IDS-land была короткой, учитывая, сколько вещей можно узнать о предмете, вариантах использования, реальных примерах, тестировании и так далее. Мы всего лишь хотели познакомить вас с tripwire и системами обнаружения вторжений в целом, предоставив вам возможность подумать о том, какие сценарии безопасности лучше всего подходят для вашего сайта.
LinuxConfig ищет технических писателей, специализирующихся на технологиях GNU / Linux и FLOSS. В ваших статьях будут представлены различные руководства по настройке GNU / Linux и технологии FLOSS, используемые в сочетании с операционной системой GNU / Linux.
Ожидается, что при написании статей вы сможете идти в ногу с технологическим прогрессом в вышеупомянутой технической области. Вы будете работать самостоятельно и сможете выпускать как минимум 2 технических статьи в месяц.
Как получить доступ к страницам руководства для команд Linux
Обычно при написании команды - как простой, так и сложной - захочется получить доступ к более подробной информации о команде и ее доступных параметрах. На страницах справочника Linux имеется обширная информация, которая предоставляется бесплатно и.
Mint 20: лучше, чем Ubuntu и Microsoft Windows?
Как давний пользователь Microsoft Windows, Fedora, Ubuntu и Linux Mint, я видел некоторые из наиболее запутанных истерик, которые может вызвать операционная система Windows или Linux. Моя первая установка Mint 20 была в начале апреля 2020 года, ещ.
Как отразить экран вашего мобильного Android на Linux
Использование экрана удаленного компьютера часто предполагает использование VNC (виртуальных сетевых вычислений) или других решений для удаленного рабочего стола. Они бывают как коммерческими, так и с открытым исходным кодом. Но как сделать зеркал.
Инсталляция типичного Red Hat Linux сервера включает в среднем около 30400 файлов. Администратор не в состоянии проконтролировать целостность всех системных файлов, и если хакер получит доступ к серверу и сможет модифицировать какие-либо файлы, то вы можете об этом не узнать. Для решения этих проблем было создано несколько программ.
Как только такая базовая база данных создана, администратор может запускать Tripwire для проверки целостности системы в любое время. Она сканирует текущую систему и сравнивает результаты со своей базой. Tripwire определяет и рапортует о любых дополнения, удаления и изменениях произошедших среди контролируемых ею файлов. Если изменения правильные, то администратор может обновить базу данных новой информацией. Если были найдены злонамеренный изменения, то администратор будет знать на какую часть системы было оказано воздействие.
Эта версия Tripwire имеет значительные изменения по сравнению с предыдущей. Некоторые расширения включают:
Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам "/var/tmp" (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем "root".
Tripwire версии 2.2.1
Конфигурирование файла "/var/tmp/install.cfg".
Помните, что Tripwire не является программой с открытыми исходными кодами, поэтому процесс компиляции не выглядит как обычно; вместо этого, вы должны модифицировать файл "install.cfg" (который будет автоматически инсталлировать Tripwire), чтобы определить в нем все необходимые пути. Мы должны это сделать так, чтобы он был совместим со структурой файловой системы Red Hat и исполняемые файлы Tripwire попали под переменную PATH.
Редактируйте файл install.cfg (vi install.cfg) и измените этот файл следующим образом:
ЗАМЕЧАНИЕ. Файл "install.cfg" используются Bourne shell скриптом при инсталляции для определения конфигурационных переменных. Они определяют места куда устанавливаются файлы и предпринимаемые действия, если подобные файлы существуют.
Сейчас мы должны запустить инсталляционный скрипт для установки исполняемых и сопутствующих файлов Tripwire.
Для запуска инсталляционного скрипта и установки Tripwire, используйте следующую команду:
Замечание. Файл "install.sh" - это инсталляционный скрипт, который запускается для начала установки Tripwire.
Во время инсталляции вы будете:
- Отвечать на некоторые вопросы, связанные с инсталляцией.
- Задавать две парольные фразы (pass phrases) соответственно для ключа сервера и локального ключа.
Когда Tripwire установится на вашу систему, она скопирует файлы "License.txt", "README" и "Release_Notes" в каталог "/usr". Конечно, после прочтения, вы можете спокойно удалить их следующей командой:
Команда "rm", использованная выше, будет удалять все исходные коды, которые мы использовали при компиляции и инсталляции Tripwire. Она также удалит .tgz архив.
Конфигурации.
Для запуска Tripwire под Linux следующий файл должен быть создан или скопирован в требуемый каталог:
Копируйте файл twpol.txt в каталог "/usr/TSS/policy".
Настройка файла "/usr/TSS/policy/twpol.txt".
"/usr/TSS/policy/twpol.txt" - это текстовый файл политик Tripwire, где вы можете определить файлы и каталог для проверки. Обратите внимание, что при редактировании этого файла необходимы обширные испытания и опыты, прежде чем удастся получить работающие файлы отчетов. Следующий работающий пример вы можете использовать, как стартовую площадку для ваших настроек.
Вы должны редактировать файл политик, заданный по умолчанию, для получения вашей версии. Файл "policyguide.txt" в каталоге "/usr/TSS/policy" может вам помочь. Откройте файл "twpol.txt" в текстовом редакторе (vi /usr/TSS/policy/twpol.txt) и измените все, что нужно:
ЗАМЕЧАНИЕ. Это пример файла политик, который мы вам предоставляем, конечно, вы должны модифицировать его под вашу систему.
Так как мы уже готовы использовать наш файл политик в первый раз, инсталлируйте его следующей командой:
Организация защиты Tripwire для Linux
Важно удостовериться, что целостность системы уже не была нарушена. Для максимальной безопасности вашей основной базы данных, вы должны инсталлировать систему с оригинальных носителей. Также рекомендуется удалить текстовую копию конфигурационного файла Tripwire "twcfg.txt", расположенного в каталоге "/usr/bin", для сокрытия месторасположения файлов Tripwire и предотвращения создания альтернативного конфигурационного файла.
Дополнительная документация.
Здесь перечислены некоторые страницы руководства (man), которые могут дать вам дополнительную информацию.
$ siggen (8) - сбор сигнатур кодов для Tripwire
$ tripwire (8) - программа проверки целостности файлов UNIX систем
$ twadmin (8) - административная и инструментальная программа Tripwire
$ twconfig (4) - конфигурационный файл Tripwire
$ twfiles (5) - краткий обзор фалов используемых Tripwire и процесса
резервного копирования файлов
$ twintro (8) - введение в Tripwire
$ twpolicy (4) - файл политик Tripwire
$ twprint (8) - база данных и печать отчетов Tripwire
Команды.
Ниже приведены команды из тех, что мы часто используем в регулярной работе, но из существует много больше. Читайте страницы руководства (man) для получения большей информации.
Создание базы данных в первый раз.
Так как ваш файл с политиками инсталлирован, то наступило время создать базу данных объектов файловой системы, базирующуюся на файле с политиками. Эта база данных будет выступать как основание для дальнейших проверок целостности.
Синтаксис для перехода в режим инициализации базы данных:
Инициализируем вашу базу данных:
ЗАМЕЧАНИЕ. Когда команда выполнена, база данных готова и вы можете выполнить проверку целостности файловой системы и просматривать отчеты.
Запуск режима проверки целостности и интерактивного режима проверки.
Tripwire имеет возможность называемую "Режим проверки целостности". Сейчас, когда наша база данных инициализована, мы можем использовать этот режим для сравнения текущих объектов файловой системы с их свойствами, записанными в базу данных Tripwire. Все файлы с нарушениями будут выводится в stdout; файл генератор отчетов будет создан и может быть использован в дальнейшем с помощью утилиты twprint.
Синтаксис для режима проверки целостности:
Для запуска проверки целостности используйте команду:
Tripwire может быть также запущен в режиме "Интерактивный режим проверки". В этом режиме вы можете автоматически обновлять ваши изменения с терминала.
Для запуска интерактивного режима проверки используйте команду:
В Tripwire есть опция email, которая позволяет отправлять письма. Эта опция определяет, что отчет должен быть отправлен по электронной почте адресату, определенному в файле политик.
Для запуска режима проверки целостности и отправки отчета по электронной почте, используйте команду:
Если вы решили использовать "Режим проверки целостности " вместо "Интерактивного режима проверки ", вы должны обновить базу данных Tripwire, используя возможность "Режим обновления базы данных". Этот процесс позволяет вам сэкономить время, обновляя базу данных без ее полного пересоздания, и также допускается выборочное обновление, которое не может быть осуществлена через восстановление.
Синтаксис режима обновления базы данных:
Для обновления базы данных дайте команду:
ЗАМЕЧАНИЕ: В режиме обновления базы данных или режиме интерактивной проверки, Tripwire выводит отчет на вашем терминале с местом для отметки напротив каждого нарушения политики. Вы можете принять изменения в файловой системе установив знак "x" или не обновлять базу данных убрав "x". После того, как вы вышли из редактора и ввели локальную парольную фразу, Tripwire будет обновлять и записывать изменения.
Обновление файла с политиками.
Иногда вы можете захотеть изменить правила в вашей политике, чтобы отразить изменения правил и отразить расположение новых файлов и политик. Существуют специальные команды, чтобы выполнить работу по обновлению базы данных без полного обновления базы. Это поможет сохранить много времени и безопасность, сохраняя файлы политик синхронизированными с базой данных
Синтаксис для режима обновления политик:
Для обновления файла с политиками используйте команду:
Режим обновления политик по умолчанию запускается с опцией "--secure-mode high". Вы можете столкнуться с ошибкой когда запускаете Tripwire с этой опцией, если файловая система изменилась по сравнению с последним обновлением базы данных, и если эти изменения будут причиной нарушений по новым правилам политики. После уточнения, что все отчеты о нарушениях в high security режиме санкционированы, вы можете обновить файл с политиками в low security режиме для решения этой проблемы:
Работа хостовой системы обнаружения вторжений (host-based intrusion detection system, или HIDS) заключается в накоплении сведений о файловой системе и конфигурациях компьютера; она хранит эту информацию для отслеживания и проверки текущего состояния системы. Отличия между рабочим и текущим состоянием системы могут быть признаком того, что данный сервер подвержен опасности взлома.
Это руководство охватывает установку и настройку tripwire на Ubuntu 12.04.
Примечание: в связи с характером систем обнаружения вторжений данное руководство лучше выполнять на новом, недавно созданном сервере.
Установка Tripwire
К счастью, Tripwire можно найти в репозитории Ubuntu по умолчанию. Для установки программы используйте apt-get:
sudo apt-get update
sudo apt-get install tripwire
Данная установка выполнит настройку некоторых необходимых пакетов.
Затем нужно выбрать и подтвердить фразовый пароль для ключа сайта. Для защиты конфигурационных файлов Tripwire использует два ключа:
- ключ сайта; этот ключ используется для защиты конфигурационных файлов. Необходимо убедиться, что конфигурационные файлы не были изменены; в противном случае системе обнаружения нельзя доверять. Поскольку одни и те же файлы конфигурации можно использовать сразу на нескольких серверах, этот ключ вместе с файлами можно использовать на разных серверах.
- локальный ключ; он используется на каждой машине для запуска исполняемых файлов. Он гарантирует, что исполняемые файлы не запускаются без согласия пользователя.
Инициализация базы данных
После завершения установки нужно инициализировать базу данных. Как и большинство программ безопасности, Tripwire поставляется с общими, но строгими настройками по умолчанию (которые, возможно, понадобится подогнать под потребности конкретного сервера).
sudo twadmin --create-polfile /etc/tripwire/twpol.txt
Будет запрошен установленный ранее фразовый пароль.
Вышеприведенная команда создаст зашифрованный файл политики из простого текстового файла, указанного в каталоге /etc/tripwire/. Этот зашифрованный файл Tripwire читает при запуске своих проверок.
Теперь нужно инициировать базу данных, которую tripwire будет использовать для подтверждения версии системы (при этом tripwire читает только что созданный файл политики и проверяет указанные в нем точки).
Поскольку этот файл пока что не был специализирован для данной системы, будет выведено множество предупреждений, ложных срабатываний и ошибок. Их можно использовать в качестве подсказок для того, чтобы быстро отладить содержимое конфигурационного файла.
Основной способ инициировать базу данных:
sudo tripwire --init
Это создаст файл базы данных и сообщит о конфигурациях, которые необходимо скорректировать.
На данном этапе рекомендуется сохранить выбранные конфигурации и поместить все необходимые файлы в конфигурационный каталог. Для этого выполните проверку и разместите файлы, перечисленные в файле с именем test_results, в конфигурационном каталоге.
Просмотрев этот файл, можно увидеть такие записи:
less /etc/tripwire/test_results
Filename: /etc/rc.boot
Filename: /root/mail
Filename: /root/Mail
Filename: /root/.xsession-errors
. . .
Настройка файла политики в соответствии с системой
Теперь, когда список файлов с настройками Tripwire получен, можно перейти к файлу политики и отредактировать его, чтобы предотвратить ранее выведенные ошибки и ложные срабатывания.
Откройте простой текстовый файл политики в редакторе (нужны root-привилегии):
sudo nano /etc/tripwire/twpol.txt
Найдите все файлы, которые были выведены в test_results. Раскомментируйте нужные строки таким образом, чтобы настройки совпали.
Иногда домашний каталог root содержит огромное количество файлов, которые необходимо раскомментировать. Запомните: все, чего нет в системе, нужно раскомментировать.
Во время проверки Tripwire может пожаловаться на дескрипторы файлов файловой системы /proc. Данные файлы постоянно изменяются, что будет регулярно вызывать ложное срабатывание, если не изменить конфигурации.
(
rulename = "Devices & Kernel information",
severity = $(SIG_HI),
)
/dev -> $(Device) ;
/proc -> $(Device) ;
>
Однако, Tripwire будет проверять каждый файл данной системы, чего делать вовсе не нужно. Вместо этого удалите данную спецификацию и внесите параметры конфигурации для всех директорий системы /proc, которые обязательно нужно проверить:
Сохраните внесенные изменения и закройте файл.
sudo twadmin -m P /etc/tripwire/twpol.txt
После того, как нужный файл был создан, необходимо повторно инициализировать базу данных , чтобы новые конфигурации выполнялись:
sudo tripwire --init
Please enter your local passphrase:
Parsing policy file: /etc/tripwire/tw.pol
Generating the database.
*** Processing Unix File System ***
Wrote database file: /var/lib/tripwire/tripit.twd
The database was successfully generated.
Все выведенные ранее предупреждения теперь не должны появиться. В противном случае необходимо вернуться в /etc/tripwire/twpol.txt и отредактировать его снова таким образом, чтобы предупреждения исчезли.
Проверка конфигураций
Если при инициализации базы данных не появилось никаких жалоб на конфликты, то файл политики соответствует системным настройкам. Тем не менее, нужно запустить проверку, чтобы узнать, как выглядит отчет Tripwire, и еще раз убедиться, что никаких предупреждений действительно нет:
Базовый синтаксис запуска проверки:
sudo tripwire --check
Выведенный результат должен указать, что в данной системе не было обнаружено никаких ошибок или изменений.
Удалите созданный файл test_results:
sudo rm /etc/tripwire/test_results
Для восстановления простого текстового конфигурационного файла передайте соответствующий зашифрованный файл в twadmin (точно так же, как это делается для создания зашифрованной версии файла). Теперь просто конвертируйте его в текстовый файл:
sudo sh -c 'twadmin --print-polfile > /etc/tripwire/twpol.txt'
Попробуйте сделать это сейчас; переместите текстовую версию конфигурационного файла в хранилищ резервных копий, а затем воссоздайте его с помощью зашифрованной версии:
sudo mv /etc/tripwire/twpol.txt /etc/tripwire/twpol.txt.bak
sudo sh -c 'twadmin --print-polfile > /etc/tripwire/twpol.txt'
Если все сработало должным образом, спокойно удаляйте текстовые версии конфигурационных файлов:
sudo rm /etc/tripwire/twpol.txt
sudo rm /etc/tripwire/twpol.txt.bak
Настройка Email-уведомлений
Данное руководство показывает, как настроить tripwire, чтобы он запускался ежедневно и присылал электронные уведомления. В процессе настройки можно также научиться обновлять базу данных после внесения изменений в систему.
Чтобы активировать функцию автоматических уведомлений, используйте команду mail. На данный момент она не установлена, потому ее нужно скачать из репозиториев.
Кроме того, это отлично демонстрирует реакцию tripwire на изменения в системе.
Для установки файлов используйте:
sudo apt-get install mailutils
Установив команду, проверьте возможность данной системы отправлять отчеты tripwire по почте. Данный отчет будет содержать информацию об изменениях и предупреждения, поскольку только что было установлено новое программное обеспечение, о чем tripwire не был предупрежден:
Вскоре по электронной почте придет отчет с подробной информацией о новой, только что установленной программе mail. Это очень хорошо: во-первых, это означает, что Tripwire отслеживает изменения в файловой системе; во-вторых, установленное программное обеспечение также работает.
Теперь подтвердите внесенные изменения программного обеспечения путем интерактивной проверки, что обновит базу данных.
Для этого наберите:
sudo tripwire --check --interactive
Это запустит обычную процедуру проверки, но в конце данная процедура не выводит отчет на экран, а копирует его в текстовый файл и открывает в редакторе по умолчанию.
Данный отчет предоставляет подробную информацию о каждом измененном файле, что чрезвычайно полезно в случае возникновения реальных проблем безопасности, но на данный момент она, наверное, не слишком важна.
Полезную информацию можно найти в начале отчета. После короткого вступления находятся строки с флаговыми кнопками для каждого из добавленных или измененных файлов:
Rule Name: Other binaries (/usr/sbin)
Severity Level: 66
-------------------------------------------------------------------------------
Remove the "x" from the adjacent box to prevent updating the database
with the new values for this object.
Added:
[x] "/usr/sbin/maidag"
Modified:
[x] "/usr/sbin"
. . .
Указав, какие изменения нужно внести в БД, сохраните и закройте файл.
На данном этапе будет запрошен фразовый пароль, чтобы tripwire мог обновить файлы базы данных.
В случае если все изменения были приняты, то заново запрошенный отчет будет намного короче, а список изменений будет пуст.
Автоматизация Tripwire с помощью Cron
Убедившись, что все работает должным образом, можно настроить cron, который будет запускать проверку Tripwire каждый день.
Рекомендуется использовать crontab root-пользователя, поскольку правки в системном cronjob могут быть уничтожены при обновлении системы.
Проверьте, существует ли у root-пользователя crontab, выполнив команду:
Если crontab уже существует, его нужно конвертировать в файл и создать его резервную копию:
sudo sh -c 'crontab -l > crontab.bad'
Затем отредактируйте crontab, набрав:
Если crontab запущен впервые, он спросит, какой редактор использовать. Как правило, используется достаточно надежный nano.
Затем откроется файл, в котором можно настроить автоматический запуск tripwire. Чтобы спланировать ежедневный запуск tripwire, нужно просто выбрать время запуска (как правило, сервисы запускаются в непиковое время, чтобы не перегружать часы пик).
мин час * * * команда
Итак, чтобы tripwire запускался ежедневно в 3:30 am, поместите в файл подобную строку:
Отредактируйте данную строку согласно требованиям.
Итоги
Итак, теперь система обнаружения вторжений установлена на сервер, автоматически запускается и отправляет отчеты о внесенных в систему изменениях. Рекомендуется ежедневно проверять данные отчеты, вовремя обновлять базу данных tripwire, а также отслеживать подозрительную активность.
Введение
В то время как возможно сконфигурировать брандмауэры, fail2ban политику, безопасные службы, и заблокировать уязвимые приложения, трудно знать наверняка, если вы эффективно блокировали и предусмотрели каждую атаку.
Основанная на системе обнаружения проникновения (HIDS) tripwire работает, собирая детали о файловой системе и конфигурации вашего компьютера.
Приложение хранит эту информацию, чтобы сослаться и проверить текущее состояние системы.
Если найдены изменения между известным хорошем состоянии и текущим состоянием, это может предполагать, что ваша безопасность попала под угрозу.
В этой статье мы обсудим, как установить и сконфигурировать Tripware на установке Ubuntu 16.04.
Установка Tripwire
К счастью, Tripware может быть найдена в репозитариях Ubuntu по умолчанию.
Мы можем установить его введя:
Эта установка запустит установку довольно малого количества пакетов конфигурации которые потребуются.
Во-первых, сконфигурируется почтовое приложение, которое подтягивается как зависимость.
Во время установки система спросит у вас,хотите ли вы назначить пароли во время установки.
Затем, вас попросят выбрать и подтвердить ключевой пароль.
Tripwire использует два ключа, чтобы защитить свои конфигурационные файлы.
- site ket: Этот ключ используется, чтобы защитить конфигурационные файлы. Мы должны гарантировать, что конфигурационные файлы не изменены, или иначе нашей системе обнаружения нельзя доверять. Так как те же конфигурационные файлы могут использоваться для многократных серверов, этот ключ может использоваться мультисерверно.
- local key: Этот ключ используется на каждой машине, чтобы выполнить бинарники.Это необходимо, чтобы гарантировать, что наши бинарники не выполяются без нашего согласия.
Сначала выберете и подтвердите пароль для site key , и затем для local key.
Удостоверьтесь, что вы выбрали сильные пароли.
Инициализация базы данных
После установки вы должны инициализировать и сконфигурировать свою систему обнаружения вторжений.
Как большинство программ обеспечения безопасности, tripwire устанавливается с универсальными, но строгими значениями по умолчанию, которые, возможно, должны быть подправлены для ваших требований.
Во-первых, если вы не выбрали да, чтобы собрать конфигурационный файл во время установки, вы можете сделать это теперь, выполнив команду:
Вам предложат ввести пароль, который вы сконфигурировали ранее.
Это дейтсвие создает зашифрованный файл конфиг из простого текста, который мы определили в /etc/tripwire/.
Теперь мы можем инициализировать базу данных, которую tripwire будет использовать, чтобы проверять нашу систему.
БД использует конфигурационный файл, что мы просто инициировали и проверяли места, которые определены в нем.
Поскольку этот файл еще не был адаптирован для нашей системы, у нас будет много предупреждений, ложных положительных ошибок.
Мы будем использовать их в качестве ссылки, чтобы подстроить наш конфигурационный файл до нужного состояния.
Основной способ инициализировать базу данных:
И осуществить проверку, результат которой будет записан в файл test_results :
Программа Tripwire используется для наблюдения за состоянием файловой системы и обнаружения вторжений в нее. После установки она сканирует файловую систему и сохраняет информацию о каждом найденном объекте в собственную базу данных. При этом каждый старт операционной системы начинается с мониторинга и текущие значения сравниваются с уже сохраненными. Если программа находит отличия, то оповещает об этом администратора. В качестве контроля используются хэш-суммы, поэтому значения объекта не сохраняются в программе в полном виде.
Расскажем подробнее про установку Tripwire. В качестве тестовой ОС используется Ubuntu Server 18.04.
Установка
Для установки программы воспользуемся штатным менеджером:
sudo apt-get install tripwire
Во время установки появится диалоговое окно с первичной настройкой ключей:
Скриншот №1. Конфигурация ключей.
Tripwire генерирует буквенно-числовой код для защиты хэша файлов. Такой подход гарантирует, что злоумышленник не получит доступ к информации, хранящейся внутри программы. Выбираем пункт Yes дважды.
Мастер создаст два ключа: site-key и local-key.
- Первый ключ гарантирует сохранность и надежность конфигурационных файлов программы. Данный тип защиты используется на разных серверных платформах.
- Второй предназначен для защиты бинарных файлов, которые расположены на каждом хосте под наблюдением Tripwire.
Первый запуск
Конфигурирование на первом этапе окончено — инициализируем модуль:
sudo tripwire --init
Процесс занимает 5-7 минут. По окончании продукт сгенерирует хэш-суммы файловых объектов операционной системы, которые в дальнейшем будут использоваться для сравнения.
Конфигурация программного обеспечения хранится по следующему адресу: /etc/tripwire/twpol.txt. Чтобы внести изменения открываем файл при помощи текстового редактора и вносим правки. После этого сохраняем новый шаблон и обновляем политику в программе. Далее вводим в терминале:
tripwire --update-policy --secure-mode low /etc/tripwire/twpol.txt
Важно! Редактирование доступно только с правами суперпользователя. Прежде чем вносить изменения в текущую конфигурацию, рекомендуется выполнить резервное копирование файла, а также ознакомиться с правилами.
Для проверки внесенных правок, используем следующий синтаксис:
tripwire --check –interactive
Автоматизация процессов
Рассмотрим дополнительные возможности программы, в частности, автоматизацию сбора отчетов.
Любой процесс в Tripwire автоматизируется с помощью внешнего демона Cron, входящего в состав Linux по умолчанию. Создадим для примера шаблон активации проверки Tripwire два раза в день: ночью и днем. Откроем панель управления с расписанием:
Операционная система выдаст перечень доступных редакторов для открытия файла, указываем любой. В открывшемся окне прописываем следующую строку:
30 */12 * * * tripwire --check --interactive > system-$(date +"%H:%M:%S_%d-%m-%Y")
Читайте также: