Kada imamo timove s Linux distribucijama pod našom odgovornošću, važno je imati jasno znanje o stotinama ili tisućama alata koje imamo na raspolaganju za optimizaciju svih parametara sustava, kako u pogledu sigurnosti, pristupa, kontrole ili drugi.
Jedna od glavnih točaka s kojima danas moramo upravljati je sigurnost, što čini složen problem kada moramo upravljati mrežnim poslužiteljima, jer je, iako je moguće konfigurirati vatrozide, fail2ban politike, sigurne usluge i blokirati aplikacije, teško znati sa sigurnošću ako je svaki napad učinkovito blokiran, a to može rezultirati kritičnim problemima za korisnike i općenito ponašanje organizacije.
Razmišljajući o tome, Solvetic danas donosi vrijedan uslužni program pod nazivom Tripwire za njegovu implementaciju u Ubuntu okruženjima, u ovom slučaju Ubuntu 17.10, i na taj način ima sigurnost da će pod našom administracijom imati još jedan sigurnosni alat.
Što je TripwireTripwire je besplatni sustav otvorenog koda za otkrivanje upada (IDS).
Tripwire je sigurnosni alat koji će nam omogućiti praćenje i upozoravanje na sve promjene koje se izvrše u datotekama u operativnom sustavu.
Tripwire je moćan IDS koji je dizajniran za zaštitu sustava od neželjenih promjena. Pomoću ovog alata bit će moguće nadzirati sistemske datoteke, uključujući datoteke web stranica, tako da će, kad dođe do neželjene promjene datoteke u bilo kojoj od datoteka koje se nadziru, Tripwire provjeriti sustav i upozoriti nas ako smo to učinili. Konfigurirane.
Sustav za otkrivanje upada (HIDS) na hostu radi prikupljanjem pojedinosti o datotečnom sustavu i konfiguraciji vašeg kupljenog računala, a zatim pohranjuje te podatke radi upućivanja i provjere trenutnog stanja sustava. Ako se pronađu promjene između poznatog stanja i trenutnog stanja, to bi mogao biti znak da je sigurnost ugrožena i bit će hitno poduzeti potrebne administrativne mjere.
Značajke Tripwire -aKorištenjem ovog alata imamo neke značajke kao što su:
- Otkrivanje u stvarnom vremenu: Tripwire se brine za hvatanje i ograničavanje štete od sumnjivih prijetnji, anomalija i promjena.
- Sigurnosni integritet i IT aplikacije
- Inteligencija promjena u stvarnom vremenu: Tripwire nudi najsveobuhvatnije rješenje za integritet datoteka za tvrtke bilo koje veličine. Tripwire je razvijen za otkrivanje i prosuđivanje promjena i davanje prioriteta sigurnosnim rizicima s integracijama koje pružaju upozorenja o promjenama velikog i niskog volumena. Tripwire nudi robusno rješenje za nadzor integriteta datoteka (FIM) koje može nadzirati detaljan integritet sustava: datoteke, direktorije, registre, konfiguracijske parametre, DLL -ove, portove, usluge, protokole itd.
- Sustav za jačanje i poboljšanje usklađenosti - Tripwire ima najveću i najopsežniju biblioteku pravila i platformi koja podržava više od 800 pravila koja pokrivaju različite verzije i uređaje operativnih sustava platformi.
- Sigurnosna automatizacija i sanacija: Sposobnost Tripwirea za sanaciju automatizira zadatke i vodi nas kroz brzo otklanjanje neusklađenih sustava i sigurnosnih pogrešnih konfiguracija. Bit će moguće automatizirati tijekove rada kroz integracije sa SIEM-om, IT-GRC-om i sustavima upravljanja promjenama.
Prethodni zahtjeviDa biste idealno instalirali, konfigurirali i koristili Tripwire, trebat će vam sljedeće:
- Ubuntu 17.10 poslužitelj: Ubuntu 17.10
- Imati root ovlasti
1. Kako ažurirati operativni sustav i instalirati Tripwire na Ubuntu 17.10
Korak 1
Prvi korak koji trebate poduzeti je instaliranje Tripwire -a u operacijski sustav, ovaj je alat dostupan u službenom spremištu Ubuntu, pa je dovoljno ažurirati spremište Ubuntu 17.10 sljedećom naredbom:
sudo apt ažuriranje
POVEĆAJTE
Korak 2
Nakon što se Ubuntu 17.10 ažurira, nastavljamo instalirati Tripwire izvršavanjem sljedeće naredbe:
sudo apt install -y Tripwire
POVEĆAJTE
Korak 3
Tijekom instalacijskog procesa prikazat će se sljedeće pitanje o Postfix SMTP konfiguraciji, odabrat ćemo opciju Internet stranica i kliknuti Prihvati za nastavak instalacije:
POVEĆAJTE
Korak 4
Kad kliknemo na U redu, u sljedećem prozoru za naziv poštanskog sustava ostavit ćemo zadanu vrijednost:
POVEĆAJTE
Korak 5
Ponovno kliknite U redu i u sljedećem prozoru bit će potrebno stvoriti novi ključ web stranice za Tripwire, u ovom slučaju odabiremo Da i pritisnemo Enter za nastavak:
POVEĆAJTE
Korak 6
Vidimo da su ti ključevi povezani sa sigurnosnim čimbenicima budući da postoji vremenski okvir u kojem napadač može pristupiti. Kada kliknemo Da, vidjet ćemo sljedeći prozor:
POVEĆAJTE
Korak 7
U ovom slučaju imamo ključne datoteke Tripwire -a, u ovom slučaju odabiremo Da i pritisnemo Enter za nastavak. Sada moramo potvrditi hoćemo li obnoviti konfiguracijsku datoteku Tripwire budući da su izvršene promjene u ključnim datotekama. Odabiremo Da i pritisnemo Enter za nastavak procesa.
POVEĆAJTE
Isti proces koji pokrećemo za obnovu direktiva:
POVEĆAJTE
Korak 8
Kada kliknete na Da, izvršit će se odabrani postupak:
POVEĆAJTE
Kasnije moramo dodijeliti ključ web stranice jer on ne postoji:
POVEĆAJTE
BilješkaMoramo zapamtiti ovu lozinku jer nemamo načina pristupiti joj u slučaju zaborava.
Korak 9
Pritisnite U redu i moramo potvrditi unesenu lozinku:
POVEĆAJTE
Korak 10
Sljedeći korak je dodjela i potvrda lozinke za lokalni ključ:
POVEĆAJTE
Nakon što je ova lozinka dodijeljena i time dovršili proces instalacije Tripwire -a u Ubuntu 17.10:
POVEĆAJTE
2. Kako konfigurirati pravila Tripwire u Ubuntu 17.10
Korak 1
Nakon što je alat instaliran na sustav, bit će potrebno konfigurirati Tripwire za naš Ubuntu 17 sustav, sva konfiguracija vezana za Tripwire nalazi se u direktoriju / etc / tripwire.
Nakon instalacije Tripwire -a bit će potrebno pokrenuti sustav baze podataka sa sljedećom naredbom:
sudo tripwire -initTamo ćemo unijeti lozinku administratora, a zatim lokalnu lozinku koja je konfigurirana tijekom instalacije:
POVEĆAJTE
Korak 2
Time će se pokrenuti baza podataka u kojoj ćemo vidjeti sljedeće:
POVEĆAJTE
Korak 3
Konačni rezultat bit će sljedeći. Možemo vidjeti pogrešku Datoteka ili direktorij ne postoje pa za rješavanje ove pogreške moramo urediti konfiguracijsku datoteku Tripwire i regenerirati konfiguraciju.
POVEĆAJTE
Korak 4
Prije uređivanja konfiguracije Tripwirea moramo provjeriti koji direktorij ne postoji, što se može učiniti sljedećom naredbom:
sudo sh -c "tripwire --check | grep Naziv datoteke> no -directory.txt"Kasnije možemo vidjeti sadržaj navedene datoteke izvršavanjem sljedećeg:
cat no-directory.txt
POVEĆAJTE
Tamo ćemo vidjeti popis direktorija koji nedostaju.
3. Kako konfigurirati Tripwire direktorije
Korak 1
Sljedeći korak je otići u konfiguracijski direktorij Tripwire i urediti konfiguracijsku datoteku twpol.txt pokretanjem sljedećeg:
cd / etc / tripwire / nano twpol.txtVidjet ćemo sljedeće:
POVEĆAJTE
Korak 2
Tamo ćemo učiniti sljedeće: U pravilu Boot Scripts komentirat ćemo liniju
/etc/rc.boot -> $ (SEC_BIN);
POVEĆAJTE
Korak 3
U retku Promjene pokretanja sustava komentirat ćemo sljedeće retke:
# / var / lock -> $ (SEC_CONFIG); # / var / run -> $ (SEC_CONFIG); # PID -a daemona
POVEĆAJTE
Korak 4
U retku Root Config Files komentirat ćemo sljedeće retke:
/ korijen -> $ (SEC_CRIT); # Uhvati sve dodatke u / root # / root / mail -> $ (SEC_CONFIG); # / root / Mail -> $ (SEC_CONFIG); # / root / .xsession -errors -> $ (SEC_CONFIG); # / root / .xauth -> $ (SEC_CONFIG); # / root / .tcshrc -> $ (SEC_CONFIG); # / root / .sawfish -> $ (SEC_CONFIG); # / root / .pinerc -> $ (SEC_CONFIG); # / root / .mc -> $ (SEC_CONFIG); # / root / .gnome_private -> $ (SEC_CONFIG); # / root / .gnome -desktop -> $ (SEC_CONFIG); # / root / .gnome -> $ (SEC_CONFIG); # / root / .esd_auth -> $ (SEC_CONFIG); # / root / .elm -> $ (SEC_CONFIG); # / root / .cshrc -> $ (SEC_CONFIG); /root/.bashrc -> $ (SEC_CONFIG); # / root / .bash_profile -> $ (SEC_CONFIG); # / root / .bash_logout -> $ (SEC_CONFIG); /root/.bash_history -> $ (SEC_CONFIG); # / root / .amandahosts -> $ (SEC_CONFIG); # / root / .addressbook.lu -> $ (SEC_CONFIG); # / root / .addressbook -> $ (SEC_CONFIG); # / root / .Xresources -> $ (SEC_CONFIG); # / root / .Xauthority -> $ (SEC_CONFIG) -i; # Mijenja Inode broj pri prijavi # / root / .ICEauthority -> $ (SEC_CONFIG);
POVEĆAJTE
Korak 5
U pravilo o podacima o uređaju i jezgri moramo dodati sljedeće:
/ dev -> $ (Uređaj); / dev / pts -> $ (Uređaj); / dev / shm -> $ (Uređaj); / dev / hugepages -> $ (Uređaj); / dev / mqueue -> $ (Uređaj); # / proc -> $ (Uređaj); / proc / devices -> $ (Uređaj); / proc / net -> $ (Uređaj); / proc / tty -> $ (Uređaj); / proc / cpuinfo -> $ (Uređaj); / proc / modules -> $ (Uređaj); / proc / mounts -> $ (Uređaj); / proc / dma -> $ (Uređaj); / proc / datotečni sustavi -> $ (Uređaj); / proc / interrupts -> $ (Uređaj); / proc / ioports -> $ (Uređaj); / proc / scsi -> $ (Uređaj); / proc / kcore -> $ (Uređaj); / proc / self -> $ (Uređaj); / proc / kmsg -> $ (Uređaj); / proc / stat -> $ (Uređaj); / proc / loadavg -> $ (Uređaj); / proc / uptime -> $ (Uređaj); / proc / locks -> $ (Uređaj); / proc / meminfo -> $ (Uređaj); / proc / misc -> $ (Uređaj);
POVEĆAJTE
Nakon što se promjene registriraju, spremit ćemo promjene pomoću tipki Ctrl + O i izaći iz njih pomoću tipki Ctrl + X.
Korak 6
Nakon uređivanja konfiguracijske datoteke, sve ćemo promjene implementirati ponovnim učitavanjem šifrirane datoteke politike korištenjem naredbe twadmin na sljedeći način. Tamo će se izvršiti tri koraka provjere.
sudo tripwire -update -policy -secure -mode low /etc/tripwire/twpol.txt
POVEĆAJTE
Korak 7
Za regeneriranje konfiguracijske datoteke Tripwire izvršit ćemo sljedeći redak:
sudo twadmin -m P /etc/tripwire/twpol.txt
POVEĆAJTE
4. Kako koristiti Tripwire
Korak 1
Da bismo započeli analizu s ovim alatom, prvo ćemo izvršiti sljedeće:
sudo tripwire -provjera
POVEĆAJTE
Korak 2
Tamo će započeti proces analize koji će dati sljedeće rezultate:
POVEĆAJTE
Korak 3
S Tripwireom će biti moguće skenirati samo jedan direktorij, na primjer, za skeniranje / home direktorija izvršit ćemo sljedeće:
sudo tripwire -provjera / dom
POVEĆAJTE
Korak 4
Pri dnu možemo vidjeti određene pojedinosti imenika:
POVEĆAJTE
Korak 5
Dodali smo novu datoteku u / dev direktorij i nakon što pokrenemo provjeru Tripwire možemo vidjeti da je kršenje otkriveno:
POVEĆAJTE
Tu imamo njegovu ozbiljnost i broj izmijenjenih datoteka.
5. Kako postaviti obavijesti putem tripwire e -pošte
Za obavijesti putem e -pošte Tripwire nudi značajku 'emailto' u postavkama. Tripwire koristi Postfix za slanje obavijesti e -poštom, a to se automatski instalira tijekom procesa instalacije alata.
Prije konfiguriranja obavijesti e -poštom možemo testirati obavijest Tripwire pomoću sljedeće naredbe:
tripwire --test --e -pošta [email protected]
POVEĆAJTE
Sada, za definitivno konfiguriranje pošte, ponovno ćemo pristupiti datoteci twpol.txt, a u odjeljak Wordpress podaci dodati ćemo sljedeće:
# Pravila za web-aplikaciju (rulename = "Wordpress pravilo", ozbiljnost = $ (SIG_HI), emailto = [email protected])Nakon što se ovaj proces spremi, moramo regenerirati datoteku izvršavanjem sljedećih redaka:
sudo twadmin -m P /etc/tripwire/twpol.txt sudo tripwire -initKonačno, imamo mogućnost korištenja crona za obavljanje periodičnih zadataka s Tripwireom.
Da bismo to učinili, izvršit ćemo sljedeći redak s kojim će se stvoriti novi kron:
sudo crontab -e -u korijenNakon što pristupimo datoteci, na kraju ćemo dodati sljedeći redak:
0 0 * * * tripwire --check --email-reportNa taj način definiramo vrijeme i prilažemo izvješće koje se šalje pošti. Promjene možemo spremiti pomoću tipki Ctrl + O i izaći iz uređivača pomoću tipki Ctrl + X.
Ponovno pokrećemo cron izvršavajući sljedeće:
systemctl ponovno pokrenite cronNa ovaj način Tripwire je saveznik u otkrivanju promjena u datotekama sustava u Linux distribucijama.
