Как использовать Tripwire, чтобы обнаружить проникновение на сервер Ubuntu часть I |

Как использовать Tripwire, чтобы обнаружить проникновение на сервер Ubuntu часть I

Мануал

Введение

Безопасность – невероятно сложная проблема при администрировании онлайн серверов.

В то время как возможно сконфигурировать брандмауэры, fail2ban политику, безопасные службы, и заблокировать уязвимые приложения, трудно знать наверняка, если вы эффективно блокировали и предусмотрели каждую атаку.

Основанная на системе обнаружения проникновения (HIDS) tripwire работает, собирая детали о файловой системе и конфигурации вашего компьютера.

Приложение хранит эту информацию, чтобы сослаться и проверить текущее состояние системы.

Если найдены изменения между известным  хорошем состоянии и текущим состоянием, это может предполагать, что ваша безопасность попала под угрозу.

Популярная базируемая на системе обнаружения проникновения на Linux – Tripware. Это программное обеспечение может отслеживать много различных точек данных файловой системы, чтобы обнаружить, произошли ли несанкционированные изменения.

В этой статье мы обсудим, как установить и сконфигурировать Tripware на установке Ubuntu 16.04.

Установка Tripwire

К счастью, Tripware может быть найдена в репозитариях Ubuntu по умолчанию.

Мы можем установить его введя:

# apt-get update
# apt-get install tripwire

Эта установка запустит установку довольно малого количества пакетов конфигурации которые потребуются.

Во-первых, сконфигурируется почтовое приложение, которое подтягивается как зависимость.

Если вы хотите сконфигурировать уведомления по электронной почте, выберите “internet site”.

Во время установки система спросит у вас,хотите ли вы назначить пароли во время установки.

Выберите “да” к обеим из этих подсказок.

Система спросит, хотите ли вы редактировать конфигурационный файл. Выберите “да”.

Далее пойдут вопросы по поводу конфигурации этого файла. Снова, ответьте на “да”.

Затем, вас попросят выбрать и подтвердить ключевой пароль.

Tripwire использует два ключа, чтобы защитить свои конфигурационные файлы.

  • site ket: Этот ключ используется, чтобы защитить конфигурационные файлы. Мы должны гарантировать, что конфигурационные файлы не изменены, или иначе нашей системе обнаружения нельзя доверять. Так как те же конфигурационные файлы могут использоваться для многократных серверов, этот ключ может использоваться мультисерверно.
  • local key: Этот ключ используется на каждой машине, чтобы выполнить бинарники.Это необходимо, чтобы гарантировать, что наши бинарники не выполяются без нашего согласия.

Сначала выберете и подтвердите пароль для site key , и затем для local key.

Удостоверьтесь, что вы выбрали сильные пароли.

Инициализация базы данных

После установки вы должны инициализировать и сконфигурировать свою систему обнаружения вторжений.

Как большинство программ обеспечения безопасности, tripwire устанавливается с универсальными, но строгими значениями по умолчанию, которые, возможно, должны быть подправлены для ваших требований.

Во-первых, если вы не выбрали да, чтобы собрать конфигурационный файл во время установки, вы можете сделать это теперь, выполнив команду:

# twadmin --create-polfile /etc/tripwire/twpol.txt

Вам предложат ввести пароль, который вы сконфигурировали ранее.

Это дейтсвие создает зашифрованный файл конфиг из простого текста, который мы определили в /etc/tripwire/.

Этот зашифрованный файл – то, что tripwire на самом деле читает при осуществлении ее проверок.

Теперь мы можем инициализировать базу данных, которую tripwire будет использовать, чтобы проверять нашу систему.

БД использует конфигурационный файл, что мы просто инициировали и проверяли места, которые определены в нем.

Поскольку этот файл еще не был адаптирован для нашей системы, у нас будет много предупреждений, ложных положительных ошибок.

Мы будем использовать их в качестве ссылки, чтобы подстроить наш конфигурационный файл до нужного состояния.

Основной способ инициализировать базу данных:

# tripwire --init

И осуществить проверку, результат которой будет записан в файл test_results:

# sh -c 'tripwire --check | grep Filename > test_results'

Если мы рассмотрим этот файл, мы увидим записи, которые похожи на что-то такое:
# less /etc/tripwire/test_results

. . .
Filename: /etc/rc.boot
Filename: /root/mail
Filename: /root/Mail
Filename: /root/.xsession-errors
. . .

Продолжение статьи по настройке tripwire будет скоро

 

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий