Kako instalirati, konfigurirati Tripwire IDS na Debian 10

Tripwire IDS je pouzdan sustav za otkrivanje upada Da identificira promjene napravljene na određenim datotekama i direktorijima. Tripwire IDS Otkriva upade analizirajući operacijske sustave i aplikacije, korištenje resursa i druge aktivnosti sustava.

Na kraju ovog vodiča znat ćete kako instalirati Tripwire IDS na vaš Debian 10 Buster operacijski sustav.

Preduvjeti

  • Preporučeni OS: Debian 10 Buster
  • Korisnički račun: Korisnički račun sa sudo ili root pristupom.

Prije nego što počnete, provjerite je li vaš operativni sustav Debian 10 ažuriran:

sudo apt update && sudo apt upgrade -y

Oglas


Kako instalirati

Tripwire dolazi kao zadani paket u Debianovim spremištima, što ga čini idealnim i jednostavnim za instalaciju. Da biste započeli instalaciju Tripwirea, izvedite sljedeću naredbu:

sudo apt install tripwire -y

Upišite i unesite (Y) za nastavak instalacije.

kako instalirati tripwire na debian 10

Kako instalacija započne, dobit ćete skočni prozor za konfiguraciju postfixa kao što je prikazano u nastavku:

kako instalirati tripwire na debian 10

Nastavite pritiskom (TAB) kako bi istaknuli (U redu) odabir i pritisnite enter za nastavak postavljanja instalacije.

kako instalirati tripwire na debian 10

Na sljedećem zaslonu odaberite opciju postfix konfiguracije koja odgovara vašim potrebama i pritisnite (UNESI) za nastavak na sljedeći zaslon za kreiranje naziva sustava.

kako instalirati tripwire na debian 10

Sada možete dati ime svoje e-pošte sustava i pogoditi (UNESI) da biste nastavili na sljedeći zaslon unosa šifre ključa web-lokacije. Prije šifre, primijetit ćete upozorenje kao što je dolje:

kako instalirati tripwire na debian 10

Ovo je generičko upozorenje da će tijekom instalacije sljedeći zaslon na kojem ste postavili svoju lozinku biti privremeno nešifriran, što će dovesti do potencijalnog iskorištavanja. To ne bi trebalo utjecati na većinu ljudi ako je vaš sustav nov i, još bolje, postoji sa sigurnim postavljanjem.

Uređaji koji se instaliraju na uobičajenim mrežama gdje su prisutne rupe i drugi korisnici, ili se zlonamjerni softver ili ranjivosti aktivno iskorištavaju, moraju brinuti o tome.

Pritisnite tab za odabir (U redu) i pogodio (UNESI) da nastavite na zaslon zaporke:

kako instalirati tripwire na debian 10

Ako ne želite postaviti šifru, pritisnite tipku tab i odaberite (Ne), inače ako to učinite, pritisnite (ENTER) na (DA) za nastavak na sljedeći zaslon, koji je još jedna kopija prethodnog upozorenja koje ste vidjeli.

kako instalirati tripwire na debian 10

Kao što možete vidjeti, objašnjava postupak korištenja para ključeva za prijavu u različite datoteke, kao i upozorenje o procesu instalacije ključa koji je šifriran tijekom instalacije. Pritisnite tipku tab za odabir (U redu) i pogodio (UNESI) za nastavak na kreiranje šifre.

kako instalirati tripwire na debian 10

Pritisnite (UNESI) tipku gumba za nastavak obnavljanja Tripwire konfiguracijske datoteke.

kako instalirati tripwire na debian 10

Unesite šifru za svoju web lokaciju i zatim pritisnite (TAB) pritisnite i unesite za nastavak na zaslon za potvrdu:

kako instalirati tripwire na debian 10

Ponovno upišite šifru web-mjesta i pritisnite (TAB) tipka za odabir (U redu) i pritisnite (UNESI) za nastavak na sljedeći zaslon, koji će od vas tražiti da ponovno izgradite tripwire, ali ovaj put s drugom opcijom tipke, lokalnim ključem:

kako instalirati tripwire na debian 10

Pritisnite (UNESI) ključ za nastavak na sljedeći zaslon lozinke lokalnog ključa tripwire:

kako instalirati tripwire na debian 10

Kao i prije s šifrom ključa web-mjesta, pritisnite (UNESI) da biste nastavili na sljedeći zaslon za tipkanje i potvrdili svoju šifru kao što ste učinili s (ključ web-mjesta). Kada završite, dobit ćete konačnu snimku zaslona instaliranog Tripwirea:

kako instalirati tripwire na debian 10

Pritisnite (UNESI) pritisnite posljednji put za dovršetak instalacije.

Kako konfigurirati

Sada je dugo putovanje beskrajnih skočnih prozora završeno, a sada je vrijeme da konfigurirate osnove svoje Tripwire instalacije na vašem Debian operativnom sustavu.

Prva stvar koju trebate učiniti je generirati Tripwire ključeve i inicijalizirati bazu podataka. Za konfiguraciju Tripwirea možete koristiti bilo koji uređivač teksta na Debianu. Za vodič ćemo koristiti nano.

Idite na imenik i donesite svoj (twcfg.txt) konfiguracijsku datoteku izvršavanjem sljedeće naredbe:

cd /etc/tripwire/ && sudo nano twcfg.txt
kako instalirati debian 10 tripwire id

Zadane postavke su ovdje u redu i preporučuje se da promijenite zadanu (REPORTLEVEL=3) u (REPORTLEVEL=4). Kada završite, udarite (CTRL+O) spasiti tada (CTRL+X) izaći.

Sada ćete generirati novu konfiguracijsku datoteku izvršavanjem sljedeće terminalske naredbe:

sudo twadmin -m F -c tw.cfg -S site.key twcfg.txt

Od vas će se tražiti šifra vaše web lokacije kao u primjeru u nastavku, unesite šifru i pritisnite enter:

kako instalirati debian 10 tripwire id

Primjer rezultata:

kako instalirati debian 10 tripwire id

Sada ćete stvoriti sljedeću datoteku (twpolmake.pl) datoteku za optimizaciju pravila Tripwire pomoću uređivača nano teksta.

sudo nano twpolmake.pl

Zatim unesite sljedeći kod u svoju datoteku:

#!/usr/bin/perl
$POLFILE=$ARGV[0];

open(POL,"$POLFILE") or die "open error: $POLFILE" ;
my($myhost,$thost) ;
my($sharp,$tpath,$cond) ;
my($INRULE) = 0 ;

while () {
     chomp;     if (($thost) = /^HOSTNAME\s*=\s*(.*)\s*;/) {
         $myhost = `hostname` ; chomp($myhost) ;
         if ($thost ne $myhost) {             
           $_="HOSTNAME=\"$myhost\";" ;         
         }
     }
         elsif ( /^{/ ) {
          $INRULE=1 ;

     }   elsif ( /^}/ ) {
          $INRULE=0 ;
     }
         elsif ($INRULE == 1 and ($sharp,$tpath,$cond) = /^(\s*\#?\s*)(\/\S+)\b(\s+->\s+.+)$/) {
          $ret = ($sharp =~ s/\#//g) ;
          if ($tpath eq '/sbin/e2fsadm' ) {
          $cond =~ s/;\s+(tune2fs.*)$/; \#$1/ ;
           }
           if (! -s $tpath) {
             $_ = "$sharp#$tpath$cond" if ($ret == 0) ;
           }
         else {
             $_ = "$sharp$tpath$cond" ;
           }
     }
    print "$_\n" ;
}
close(POL) ;

Kada završite, spremite datoteku (CTRL+O) zatim izađite iz nano uređivača (CTRL+X). Zatim izvršite naredbu:

sudo perl twpolmake.pl twpol.txt > twpol.txt.new / 
sudo twadmin -m P -c tw.cfg -p tw.pol -S site.key twpol.txt.new

Vidjet ćete sljedeći izlaz:

Please enter your site passphrase:  
Wrote policy file: /etc/tripwire/tw.pol

Sada ćete stvoriti novu Tripwire bazu podataka izvršavanjem sljedeće naredbe u vašem terminalu:

sudo tripwire -m i -s -c tw.cfg

Primjer rezultata:

Please enter your local passphrase:
### Warning: File system error.
### Filename: /var/lib/tripwire/debian10.twd
### No such file or directory ### Continuing...

Napomena, za prikaz generirane baze podataka koristite sljedeću naredbu:

sudo twprint -m d -d /var/lib/tripwire/debian10.twd

Primjer rezultata:

Open Source Tripwire(R) 2.4.3.7 Database 
Database generated by:        root 
Database generated on:        Tues 14 July 2021 08:06:19 AM UTC 
Database last updated on:     Never =============================================================================== 
Database Summary:  =============================================================================== 
Host name:                         debian10 Host IP address:              45.58.38.142 
Host ID:                      None 
Policy file used:             /etc/tripwire/tw.pol 
Configuration file used:      /etc/tripwire/tw.cfg 
Database file used:           /var/lib/tripwire/debian10.twd 
Command line used:            tripwire -m i -s -c tw.cfg  =============================================================================== 
Object Summary:  =============================================================================== 
------------------------------------------------------------------------------- 
# Section: Unix File System 
-------------------------------------------------------------------------------

Kako biste tripwire IDS bazu podataka koju ste stvorili ažurnom, izvedite sljedeću naredbu:

sudo tripwire --update --accept-all

Primjer rezultata:

### Error: File could not be opened. 
### Filename: /var/lib/tripwire/report/debian10-20210509-084141.twr 
### No such file or directory 
### Exiting...

Sada je dobra ideja testirati tripwire sustav tako što ćete ga pokrenuti. Da biste to učinili, izvršite naredbu:

sudo tripwire -m c -s -c /etc/tripwire/tw.cfg

Tripwire arhivira svoja izvješća na zadanu lokaciju na (/var/lib/tripwire/report/):

cd /var/lib/tripwire/report/ && ls

Napomena ako želite pregledati bilo koje izvješće koje se nalazi u imeniku. Koristite sljedeću naredbu za ispis:

sudo twprint -m r -t 4 -r /var/lib/tripwire/report/<report file name>.twr

Oglas


Kako potvrditi

Sada ste instalirali i konfigurirali svoj tripwire sustav i najbolje je napraviti nekoliko brzih testova kako biste bili sigurni da tripwire radi ispravno u ovom trenutku. Idealan način je stvoriti nekoliko datoteka i pokrenuti tripwire protiv njih kako biste otkrili datoteke.

Prvo napravite neke datoteke:

sudo touch test1 test2 test3

Sljedeći korak je pokretanje Tripwirea kako biste bili sigurni da Tripwire može uspješno otkriti datoteke:

sudo tripwire --check --interactive

Ako nemate pogreške u vašem Tripwire IDS-u, trebali biste vidjeti novostvorene datoteke u sljedećem izlazu:

izlaz

Napomena, također možete provjeriti generirana izvješća u bilo kojem trenutku izvršavanjem sljedeće naredbe:

sudo twprint --print-report --twrfile /var/lib/tripwire/report/debian10-20210509-084636.twr

Kako postaviti Cronjob izvješće

Da biste postavili cronjob da ima automatsko izvješćivanje u željeno vrijeme, upišite sljedeću naredbu:

sudo crontab -e

Sada odredite željeno vrijeme kada želite pokrenuti svoje izvješće. Ako niste sigurni kako postaviti vrijeme, upotrijebite Crontab.Guru.

Pokreni svakih 12 sati primjer:

00 */12 * * * /usr/sbin/tripwire --check

Izvješća će biti generirana i pohranjena na lokaciji datoteke(/var/lib/tripwire/report/).


Oglas


Komentari i zaključak

Da zaokružimo stvari, imate instaliran i konfiguriran Tripwire IDS na Debian 10 Buster. Općenito, hakeri obično pokušavaju kontaminirati oteti sustav trojancima, backdoorima i manipuliranim datotekama. Tripwire pomaže u sprječavanju ovog problema šifriranjem informacija (kontrolne zbrojeve, veličine datoteka, Mtime, ctime, inode itd.) i važnih direktorija i datoteka te pohranjivanjem informacija u bazu podataka.

Ako imate pitanja, slobodno ostavite komentar ispod.

Ostavite komentar