Hvernig á að setja upp, stilla Tripwire IDS á Debian 10

Tripwire IDS er áreiðanlegt kerfi til að uppgötva afskipti að auðkennir breytingar sem gerðar eru á tilgreindum skrám og möppum. Tripwire IDS Greinir innbrot með því að greina stýrikerfi og forrit, auðlindanýtingu og aðra kerfisvirkni.

Í lok þessarar handbókar muntu vita hvernig á að setja upp Tripwire IDS á Debian 10 Buster þínum stýrikerfi.

Forkröfur

  • Mælt með stýrikerfi: Debian 10 Buster
  • Notendareikningur: Notendareikningur með sudo eða rót aðgang.

Áður en þú byrjar skaltu ganga úr skugga um að Debian 10 stýrikerfið þitt sé uppfært:

sudo apt update && sudo apt upgrade -y

Fáðu


Hvernig til Setja í embætti

Tripwire kemur sem sjálfgefinn pakki í geymslum Debian, sem gerir það tilvalið og auðvelt að setja upp. Til að hefja uppsetningu á Tripwire skaltu framkvæma eftirfarandi skipun:

sudo apt install tripwire -y

Sláðu inn og sláðu inn (Y) til að halda uppsetningunni áfram.

hvernig á að setja upp tripwire á debian 10

Þegar uppsetningin hefst færðu sprettiglugga eftirstillingarskjár eins og hér að neðan birtist:

hvernig á að setja upp tripwire á debian 10

Haltu áfram með því að ýta á (TAB) til að varpa ljósi á (Allt í lagi) vali og ýttu á enter til að halda áfram uppsetningunni.

hvernig á að setja upp tripwire á debian 10

Á næsta skjá skaltu velja postfix stillingarvalkostinn sem hentar þínum þörfum og ýta á (KOMA INN) til að halda áfram á næsta skjá til að búa til kerfisnafn.

hvernig á að setja upp tripwire á debian 10

Nú geturðu gefið upp kerfispóstnafnið þitt og ýtt á (KOMA INN) til að halda áfram á næsta skjá til að slá inn lykilorð síðunnar. Áður en lykilorðið er notað muntu taka eftir viðvörun eins og hér að neðan:

hvernig á að setja upp tripwire á debian 10

Þetta er almenn viðvörun um að á meðan uppsetningin heldur áfram verður næsti skjár þar sem þú stillir lykilorðið þitt tímabundið ódulkóðað, sem leiðir til hugsanlegrar misnotkunar. Þetta ætti ekki að hafa áhrif á flesta ef kerfið þitt er nýtt og enn betra, fyrir hendi með örugga uppsetningu.

Tæki sem verið er að setja upp á algengum netum þar sem glufur og aðrir notendur eru til staðar, eða spilliforrit eða veikleikar eru nýttir á virkan hátt þurfa að hafa áhyggjur af þessu.

Ýttu á flipann til að velja (Allt í lagi) og högg (KOMA INN) til að halda áfram á lykilorðaskjáinn:

hvernig á að setja upp tripwire á debian 10

Ef þú vilt ekki stilla lykilorð skaltu ýta á hnappinn og velja (Nei), annars ef þú gerir það skaltu ýta á (ENTER) á (JÁ) til að halda áfram á næsta skjá, sem er annað afrit af fyrri viðvöruninni sem þú sást.

hvernig á að setja upp tripwire á debian 10

Eins og þú sérð útskýrir það ferlið við að nota lyklapar til að skrá þig inn í ýmsar skrár og einnig viðvörunina um uppsetningarferlið lykilsins sem er dulkóðaður við uppsetningu. Ýttu á tab takkann til að velja (Allt í lagi) og högg (KOMA INN) til að halda áfram að búa til lykilorð.

hvernig á að setja upp tripwire á debian 10

Ýttu á (KOMA INN) takka til að halda áfram að endurbyggja Tripwire stillingarskrána.

hvernig á að setja upp tripwire á debian 10

Sláðu inn lykilorð síðunnar þinnar og ýttu síðan á (TAB) takka og slá inn til að halda áfram á staðfestingarskjáinn:

hvernig á að setja upp tripwire á debian 10

Sláðu aftur inn lykilorð vefsvæðisins og ýttu á (TAB) takkann til að velja (Allt í lagi) og ýttu (KOMA INN) til að halda áfram á næsta skjá, sem mun hvetja þig til að endurbyggja tripwire, en í þetta skiptið með seinni lykilmöguleikanum, staðarlyklinum:

hvernig á að setja upp tripwire á debian 10

Ýttu á (KOMA INN) lykill til að halda áfram á næsta skjá fyrir staðbundinn lykilorðasetningu fyrir tripwire:

hvernig á að setja upp tripwire á debian 10

Eins og áður með lykilorð síðulykils, ýttu á (KOMA INN) til að halda áfram á næsta innsláttarskjá og staðfesta lykilorðið þitt eins og þú gerðir með (síðulykill). Þegar því er lokið færðu lokaskjáskotið af Tripwire uppsett:

hvernig á að setja upp tripwire á debian 10

Ýttu á (KOMA INN) takka í síðasta sinn til að ljúka uppsetningunni.

Hvernig á að stilla

Nú er hinu langa ferðalagi endalausra sprettiglugga lokið og nú er kominn tími fyrir þig að stilla grunnatriði Tripwire uppsetningar þinnar á Debian stýrikerfinu þínu.

Það fyrsta sem þú þarft að gera er að búa til Tripwire lykla og frumstilla gagnagrunninn. Þú getur notað hvaða textaritil sem er á Debian til að stilla Tripwire. Fyrir leiðsögnina munum við nota nanó.

Farðu í möppuna og færðu upp þinn (twcfg.txt) stillingarskrá með því að framkvæma eftirfarandi skipun:

cd /etc/tripwire/ && sudo nano twcfg.txt
hvernig á að setja upp debian 10 tripwire auðkenni

Sjálfgefnar stillingar eru í lagi hér, og það er mælt með því að þú breytir sjálfgefnum (REPORTLEVEL=3) í (REPORTLEVEL=4). Þegar því er lokið, ýttu á (CTRL+O) að spara þá (CTRL+X) að hætta.

Nú muntu búa til nýja stillingarskrá með því að framkvæma eftirfarandi flugstöðvaskipun:

sudo twadmin -m F -c tw.cfg -S site.key twcfg.txt

Þú verður beðinn um aðgangsorð síðunnar þinnar eins og dæmið hér að neðan, sláðu inn lykilorðið og ýttu á enter:

hvernig á að setja upp debian 10 tripwire auðkenni

Dæmi úttak:

hvernig á að setja upp debian 10 tripwire auðkenni

Nú munt þú búa til eftirfarandi skrá (twpolmake.pl) skrá til að fínstilla Tripwire stefnu með því að nota nanó textaritilinn.

sudo nano twpolmake.pl

Sláðu síðan inn eftirfarandi kóða í skrána þína:

#!/usr/bin/perl
$POLFILE=$ARGV[0];

open(POL,"$POLFILE") or die "open error: $POLFILE" ;
my($myhost,$thost) ;
my($sharp,$tpath,$cond) ;
my($INRULE) = 0 ;

while () {
     chomp;     if (($thost) = /^HOSTNAME\s*=\s*(.*)\s*;/) {
         $myhost = `hostname` ; chomp($myhost) ;
         if ($thost ne $myhost) {             
           $_="HOSTNAME=\"$myhost\";" ;         
         }
     }
         elsif ( /^{/ ) {
          $INRULE=1 ;

     }   elsif ( /^}/ ) {
          $INRULE=0 ;
     }
         elsif ($INRULE == 1 and ($sharp,$tpath,$cond) = /^(\s*\#?\s*)(\/\S+)\b(\s+->\s+.+)$/) {
          $ret = ($sharp =~ s/\#//g) ;
          if ($tpath eq '/sbin/e2fsadm' ) {
          $cond =~ s/;\s+(tune2fs.*)$/; \#$1/ ;
           }
           if (! -s $tpath) {
             $_ = "$sharp#$tpath$cond" if ($ret == 0) ;
           }
         else {
             $_ = "$sharp$tpath$cond" ;
           }
     }
    print "$_\n" ;
}
close(POL) ;

Þegar því er lokið skaltu vista skrána (CTRL+O) slepptu síðan nano ritlinum (CTRL+X). Næst skaltu framkvæma skipunina:

sudo perl twpolmake.pl twpol.txt > twpol.txt.new / 
sudo twadmin -m P -c tw.cfg -p tw.pol -S site.key twpol.txt.new

Þú munt sjá eftirfarandi úttak:

Please enter your site passphrase:  
Wrote policy file: /etc/tripwire/tw.pol

Nú munt þú búa til nýjan Tripwire gagnagrunn með því að framkvæma eftirfarandi skipun í flugstöðinni þinni:

sudo tripwire -m i -s -c tw.cfg

Dæmi úttak:

Please enter your local passphrase:
### Warning: File system error.
### Filename: /var/lib/tripwire/debian10.twd
### No such file or directory ### Continuing...

Athugið, til að sýna myndaða gagnagrunninn, notaðu eftirfarandi skipun:

sudo twprint -m d -d /var/lib/tripwire/debian10.twd

Dæmi úttak:

Open Source Tripwire(R) 2.4.3.7 Database 
Database generated by:        root 
Database generated on:        Tues 14 July 2021 08:06:19 AM UTC 
Database last updated on:     Never =============================================================================== 
Database Summary:  =============================================================================== 
Host name:                         debian10 Host IP address:              45.58.38.142 
Host ID:                      None 
Policy file used:             /etc/tripwire/tw.pol 
Configuration file used:      /etc/tripwire/tw.cfg 
Database file used:           /var/lib/tripwire/debian10.twd 
Command line used:            tripwire -m i -s -c tw.cfg  =============================================================================== 
Object Summary:  =============================================================================== 
------------------------------------------------------------------------------- 
# Section: Unix File System 
-------------------------------------------------------------------------------

Til að halda tripwire IDS gagnagrunninum sem þú bjóst til uppfærðum skaltu framkvæma eftirfarandi skipun:

sudo tripwire --update --accept-all

Dæmi úttak:

### Error: File could not be opened. 
### Filename: /var/lib/tripwire/report/debian10-20210509-084141.twr 
### No such file or directory 
### Exiting...

Nú er gott að prófa tripwire kerfið með því að keyra það. Framkvæmdu skipunina til að gera það:

sudo tripwire -m c -s -c /etc/tripwire/tw.cfg

Tripwire skráir skýrslur sínar á sjálfgefna staðsetningu á (/var/lib/tripwire/report/):

cd /var/lib/tripwire/report/ && ls

Athugaðu ef þú vilt skoða hvaða skýrslu sem er í skránni. Notaðu eftirfarandi prentskipun:

sudo twprint -m r -t 4 -r /var/lib/tripwire/report/<report file name>.twr

Fáðu


Hvernig á að staðfesta

Nú hefur þú sett upp og stillt tripwire kerfið þitt og það er best að gera nokkrar skyndiprófanir til að ganga úr skugga um að tripwiren virki rétt á þessum tímapunkti. Hin fullkomna leið er að búa til nokkrar skrár og keyra tripwire á móti þeim til að greina skrárnar.

Fyrst skaltu búa til nokkrar skrár:

sudo touch test1 test2 test3

Næsta skref er að keyra Tripwire til að ganga úr skugga um að Tripwire geti greint skrárnar með góðum árangri:

sudo tripwire --check --interactive

Ef þú hefur engar villur í Tripwire IDS þínum ættir þú að sjá nýstofnaðar skrárnar í eftirfarandi úttak:

framleiðsla

Athugið, þú getur líka athugað útbúnar skýrslur á hverjum tíma með því að framkvæma eftirfarandi skipun:

sudo twprint --print-report --twrfile /var/lib/tripwire/report/debian10-20210509-084636.twr

Hvernig á að setja upp Cronjob skýrslu

Til að setja upp cronjob til að hafa sjálfvirka skýrslugjöf á tilteknum tímum skaltu slá inn eftirfarandi skipun:

sudo crontab -e

Búðu nú til þann tíma sem þú vilt keyra skýrsluna þína. Ef þú ert ekki viss um hvernig á að stilla tíma skaltu nota Crontab.Guru.

Hlaupa á 12 tíma fresti dæmi:

00 */12 * * * /usr/sbin/tripwire --check

Skýrslurnar verða búnar til og geymdar á skráarstaðnum(/var/lib/tripwire/report/).


Fáðu


Athugasemdir og niðurstaða

Til að draga hlutina saman, hefurðu sett upp og stillt Tripwire IDS á Debian 10 Buster. Á heildina litið reyna tölvuþrjótar venjulega að menga rænt kerfi með tróverjum, bakdyrum og meðhöndluðum skrám. Tripwire hjálpar til við að koma í veg fyrir þetta vandamál með því að dulkóða upplýsingar (athugunarsummur, skráarstærðir, Mtime, ctime, inode, osfrv.) og mikilvægar möppur og skrár og geyma upplýsingarnar í gagnagrunni.

Ef þú hefur spurningar skaltu ekki hika við að skilja eftir athugasemd hér að neðan.

Gerast áskrifandi
Tilkynna um
0 Comments
Inline endurgjöf
Skoða allar athugasemdir
0
Vilt elska hugsanir þínar, vinsamlegast skrifaðu athugasemdir.x