Ki jan yo enstale, konfigirasyon Tripwire IDS sou Debian 10

Tripwire IDS se yon serye sistèm deteksyon entrizyon ki idantifye chanjman ki fèt nan fichye espesifik ak anyè. Tripwire IDS Detekte entrizyon nan analize sistèm operasyon ak aplikasyon, itilizasyon resous, ak lòt aktivite sistèm.

Nan fen gid sa a, ou pral konnen ki jan yo enstale Tripwire IDS sou Debian 10 Buster ou a sistèm opere.

Pre-requisites

  • OS rekòmande: Debian 10 Buster
  • Kont itilizatè: Yon kont itilizatè ki gen aksè sudo oswa rasin.

Anvan ou kòmanse, asire w ke sistèm operasyon Debian 10 ou a ajou:

sudo apt update && sudo apt upgrade -y

reklam


Kouman enstale

Tripwire vini kòm yon pake default nan depo Debian yo, sa ki fè li ideyal epi fasil pou enstale. Pou kòmanse enstalasyon Tripwire, egzekite lòd sa a:

sudo apt install tripwire -y

Tape epi antre (Y) pou kontinye enstalasyon an.

ki jan yo enstale tripwire sou Debian 10

Kòm enstalasyon an kòmanse, w ap jwenn yon ekran konfigirasyon postfix ki parèt anba a:

ki jan yo enstale tripwire sou Debian 10

Kontinye pa peze (TAB) mete aksan sou la (Dakò) seleksyon epi frape antre pou kontinye enstalasyon enstalasyon an.

ki jan yo enstale tripwire sou Debian 10

Nan pwochen ekran an, chwazi opsyon konfigirasyon postfix ki adapte ak bezwen ou yo epi peze (ANTRE) pou kontinye nan pwochen ekran an pou kreye yon non sistèm.

ki jan yo enstale tripwire sou Debian 10

Koulye a, ou ka bay non pa lapòs sistèm ou a ak frape (ANTRE) pou kontinye nan pwochen ekran an pou antre nan fraz pas kle sit ou a. Anvan fraz pas la, w ap remake yon avètisman jan pou pi ba a:

ki jan yo enstale tripwire sou Debian 10

Sa a se yon avètisman jenerik ke pandan montan enstalasyon an, pwochen ekran kote ou mete pasfraz ou a pral dekode pou yon ti tan, sa ki lakòz potansyèlman eksplwate. Sa a pa ta dwe afekte pifò moun si sistèm ou an nouvo epi, pi bon toujou, ki deja egziste ak yon konfigirasyon an sekirite.

Aparèy yo enstale sou rezo komen kote brèch ak lòt itilizatè yo prezan, oswa malveyan oswa frajilite yo ap aktivman eksplwate bezwen enkyete sou sa.

Peze tab pou chwazi (Dakò) ak frape (ANTRE) pou ale nan ekran pasfraz la:

ki jan yo enstale tripwire sou Debian 10

Si ou pa vle mete yon pasfraz, peze bouton kle tab ou a epi chwazi (Non), sinon si w fè sa, frape (ENTER) sou (WI) pou ale nan pwochen ekran an, ki se yon lòt kopi avètisman anvan an ou te wè a.

ki jan yo enstale tripwire sou Debian 10

Kòm ou ka wè, li eksplike pwosesis la nan lè l sèvi avèk pè nan kle yo siyen nan divès dosye ak tou avètisman an sou pwosesis la enstalasyon nan kle a yo te chiffres pandan enstale. Peze kle tab ou a pou chwazi (Dakò) ak frape (ANTRE) pou kontinye kreye pasfraz la.

ki jan yo enstale tripwire sou Debian 10

Peze la (ANTRE) bouton bouton pou kontinye rebati fichye konfigirasyon Tripwire la.

ki jan yo enstale tripwire sou Debian 10

Antre pasfraz sit ou a epi frape (TAB) kle epi antre pou kontinye nan ekran an konfime:

ki jan yo enstale tripwire sou Debian 10

Re-tape pasfraz sit la epi frape la (TAB) kle pou chwazi (Dakò) ak laprès (ANTRE) pou kontinye nan pwochen ekran an, ki pral mande w pou rebati tripwire, men fwa sa a ak dezyèm opsyon kle a, kle lokal la:

ki jan yo enstale tripwire sou Debian 10

Peze la (ANTRE) kle pou kontinye nan pwochen ekran pasfraz kle lokal tripwire la:

ki jan yo enstale tripwire sou Debian 10

Menm jan anvan ak fraz pas kle sit la, peze (ANTRE) pou kontinye nan pwochen ekran tape epi konfime pasfraz ou a menm jan ou te fè ak la (kle sit). Yon fwa w fini, w ap jwenn Dènye Ekran Tripwire enstale:

ki jan yo enstale tripwire sou Debian 10

Peze la (ANTRE) kle pou dènye fwa pou konplete enstalasyon an.

Ki jan yo konfigirasyon

Koulye a, vwayaj la long nan pop-ups ki pa janm fini an fini, epi kounye a li lè pou ou konfigirasyon debaz yo nan enstalasyon Tripwire ou sou sistèm opere Debian ou a.

Premye bagay ou bezwen fè se jenere kle Tripwire ak inisyalize baz done a. Ou ka itilize nenpòt editè tèks sou Debian pou konfigirasyon Tripwire. Pou gid la, nou pral sèvi ak nano.

Ale nan anyè a epi pote ou (twcfg.txt) fichye konfigirasyon pa egzekite lòd sa a:

cd /etc/tripwire/ && sudo nano twcfg.txt
ki jan yo enstale debian 10 tripwire id

Anviwònman default yo byen isit la, epi li rekòmande pou w chanje default (REPORTLEVEL=3) an (REPORTLEVEL=4). Yon fwa fè, frape (CTRL+O) pou sove lè sa a (CTRL+X) sòti.

Koulye a, ou pral jenere yon nouvo dosye konfigirasyon lè w egzekite lòd tèminal sa a:

sudo twadmin -m F -c tw.cfg -S site.key twcfg.txt

Yo pral mande w pou fraz pas sit ou a kòm egzanp ki anba a, antre pasfraz la epi frape antre:

ki jan yo enstale debian 10 tripwire id

Egzanp pwodiksyon:

ki jan yo enstale debian 10 tripwire id

Koulye a, ou pral kreye dosye sa a (twpolmake.pl) dosye pou optimize politik Tripwire lè l sèvi avèk editè tèks nano.

sudo nano twpolmake.pl

Apre sa, antre kòd sa a nan dosye w la:

#!/usr/bin/perl
$POLFILE=$ARGV[0];

open(POL,"$POLFILE") or die "open error: $POLFILE" ;
my($myhost,$thost) ;
my($sharp,$tpath,$cond) ;
my($INRULE) = 0 ;

while () {
     chomp;     if (($thost) = /^HOSTNAME\s*=\s*(.*)\s*;/) {
         $myhost = `hostname` ; chomp($myhost) ;
         if ($thost ne $myhost) {             
           $_="HOSTNAME=\"$myhost\";" ;         
         }
     }
         elsif ( /^{/ ) {
          $INRULE=1 ;

     }   elsif ( /^}/ ) {
          $INRULE=0 ;
     }
         elsif ($INRULE == 1 and ($sharp,$tpath,$cond) = /^(\s*\#?\s*)(\/\S+)\b(\s+->\s+.+)$/) {
          $ret = ($sharp =~ s/\#//g) ;
          if ($tpath eq '/sbin/e2fsadm' ) {
          $cond =~ s/;\s+(tune2fs.*)$/; \#$1/ ;
           }
           if (! -s $tpath) {
             $_ = "$sharp#$tpath$cond" if ($ret == 0) ;
           }
         else {
             $_ = "$sharp$tpath$cond" ;
           }
     }
    print "$_\n" ;
}
close(POL) ;

Yon fwa fini, sove fichye a (CTRL+O) Lè sa a, sòti nano editè a (CTRL+X). Apre sa, egzekite kòmandman an:

sudo perl twpolmake.pl twpol.txt > twpol.txt.new / 
sudo twadmin -m P -c tw.cfg -p tw.pol -S site.key twpol.txt.new

Ou pral wè pwodiksyon sa a:

Please enter your site passphrase:  
Wrote policy file: /etc/tripwire/tw.pol

Koulye a, ou pral kreye yon nouvo baz done Tripwire lè w egzekite lòd sa a nan tèminal ou a:

sudo tripwire -m i -s -c tw.cfg

Egzanp pwodiksyon:

Please enter your local passphrase:
### Warning: File system error.
### Filename: /var/lib/tripwire/debian10.twd
### No such file or directory ### Continuing...

Remake byen, pou montre baz done pwodwi a, sèvi ak lòd sa a:

sudo twprint -m d -d /var/lib/tripwire/debian10.twd

Egzanp pwodiksyon:

Open Source Tripwire(R) 2.4.3.7 Database 
Database generated by:        root 
Database generated on:        Tues 14 July 2021 08:06:19 AM UTC 
Database last updated on:     Never =============================================================================== 
Database Summary:  =============================================================================== 
Host name:                         debian10 Host IP address:              45.58.38.142 
Host ID:                      None 
Policy file used:             /etc/tripwire/tw.pol 
Configuration file used:      /etc/tripwire/tw.cfg 
Database file used:           /var/lib/tripwire/debian10.twd 
Command line used:            tripwire -m i -s -c tw.cfg  =============================================================================== 
Object Summary:  =============================================================================== 
------------------------------------------------------------------------------- 
# Section: Unix File System 
-------------------------------------------------------------------------------

Pou kenbe baz done tripwire IDS ou te kreye a ajou, egzekite lòd sa a:

sudo tripwire --update --accept-all

Egzanp pwodiksyon:

### Error: File could not be opened. 
### Filename: /var/lib/tripwire/report/debian10-20210509-084141.twr 
### No such file or directory 
### Exiting...

Kounye a, li se yon bon lide pou teste sistèm tripwire a pa kouri li. Egzekite kòmandman an pou fè sa:

sudo tripwire -m c -s -c /etc/tripwire/tw.cfg

Tripwire ranpli rapò li yo nan kote defo a nan (/var/lib/tripwire/rapò/):

cd /var/lib/tripwire/report/ && ls

Remake byen si ou renmen revize nenpòt rapò ki nan anyè a. Sèvi ak lòd enprime sa a:

sudo twprint -m r -t 4 -r /var/lib/tripwire/report/<report file name>.twr

reklam


Kijan Pou Verifye

Koulye a, ou te enstale ak konfigirasyon sistèm tripwire ou a, epi li pi bon pou fè kèk tès rapid asire w ke tripwire a ap travay kòrèkteman nan pwen sa a. Fason ideyal la se kreye kèk dosye epi kouri tripwire la kont yo pou detekte dosye yo.

Premyèman, kreye kèk dosye:

sudo touch test1 test2 test3

Pwochen etap la se kouri Tripwire a pou asire w ke Tripwire a ka detekte dosye yo avèk siksè:

sudo tripwire --check --interactive

Si ou pa gen okenn erè nan IDS Tripwire ou a, ou ta dwe wè dosye ki fèk kreye yo nan pwodiksyon sa a:

pwodiksyon

Remake byen, ou ka tcheke tou rapò pwodwi yo nan nenpòt ki lè yo egzekite lòd sa a:

sudo twprint --print-report --twrfile /var/lib/tripwire/report/debian10-20210509-084636.twr

Ki jan yo Enstalasyon Rapò Cronjob

Pou mete yon cronjob pou gen rapò otomatik nan moman ou vle, tape lòd sa a:

sudo crontab -e

Koulye a, fè moute tan an vle ou vle kouri rapò ou a. Si w pa sèten sou fason pou w fikse yon lè, sèvi ak Crontab.Guru.

Kouri chak 12 èdtan egzanp:

00 */12 * * * /usr/sbin/tripwire --check

Rapò yo pral pwodwi ak estoke nan kote dosye a(/var/lib/tripwire/rapò/).


reklam


Kòmantè ak konklizyon

Pou awondi bagay sa yo, ou genyen enstale ak konfigirasyon Tripwire IDS sou Debian 10 Buster. An jeneral, entru anjeneral eseye kontamine yon sistèm kidnape ak trwayen, backdoor, ak dosye manipile. Tripwire ede anpeche pwoblèm sa a nan chifre enfòmasyon (chèksom, gwosè dosye, Mtime, ctime, inode, elatriye) ak repèrtwar enpòtan ak fichye epi estoke enfòmasyon yo nan yon baz done.

Si ou gen kesyon, santi yo lib yo kite yon kòmantè anba a.

Ban-m pran abònman
Notifye nan
0 kòmantè
Aliye komantè
Wè tout kòmantè
0
Ta renmen panse ou, tanpri fè kòmantè.x