Når vi har teams med Linux distros under vores ansvar, er det vigtigt at have et klart kendskab til de hundredvis eller tusinder af værktøjer, vi har til rådighed for at optimere alle systemparametre, både hvad angår sikkerhed, adgang, kontrol eller andre.
Et af de vigtigste punkter, vi skal styre i dag, er sikkerhed, hvilket gør det til et komplekst problem, når vi skal administrere onlineservere, da det, selvom det er muligt at konfigurere firewalls, fail2ban -politikker, sikre tjenester og blokere applikationer, er svært at vide med sikkerhed, hvis hvert angreb effektivt er blevet blokeret, og dette kan resultere i kritiske problemer for brugerne og organisationens generelle adfærd.
Når man tænker på dette, bringer Solvetic i dag et værdifuldt værktøj kaldet Tripwire til dets implementering i Ubuntu -miljøer, i dette tilfælde Ubuntu 17.10, og har dermed sikkerhed for at have endnu et sikkerhedsværktøj under vores administration.
Hvad er TripwireTripwire er et gratis, open source indtrængningsdetektionssystem (IDS).
Tripwire er et sikkerhedsværktøj, der giver os mulighed for at overvåge og advare om ændringer, der foretages i filerne i operativsystemet.
Tripwire er en kraftfuld IDS, der er designet til at beskytte systemet mod uønskede ændringer. Med dette værktøj vil det være muligt at overvåge systemfiler, herunder webstedsfiler, så når der er en uønsket filændring i nogen af de filer, der overvåges, vil Tripwire kontrollere systemet og advare os, hvis vi har gjort det. Konfigureret.
Et værtsbaseret indtrængningsdetekteringssystem (HIDS) fungerer ved at indsamle detaljer om filsystemet og konfigurationen af din købte computer og gemmer derefter disse oplysninger for at henvise til og validere systemets aktuelle tilstand. Hvis der findes ændringer mellem den kendte stat og den nuværende tilstand, kan det være et tegn på, at sikkerheden er blevet kompromitteret, og det vil være hastende at tage de nødvendige administrative foranstaltninger.
Tripwire -funktionerVed at bruge dette værktøj har vi nogle funktioner som:
- Realtidsdetektering: Tripwire tager sig af at fange og begrænse skader fra mistænkelige trusler, anomalier og ændringer.
- Sikkerhedsintegritet og it -applikationer
- Realtids intelligens om ændringer: Tripwire tilbyder den mest omfattende filintegritetsløsning til virksomheder af enhver størrelse. Tripwire er udviklet til at opdage og bedømme ændringer og prioritere sikkerhedsrisici med integrationer, der giver advarsler om ændring af store mængder og lavt volumen. Tripwire tilbyder en robust File Integrity Monitoring (FIM) løsning, der kan overvåge detaljeret systemintegritet: filer, mapper, registre, konfigurationsparametre, DLL'er, porte, tjenester, protokoller osv.
- Compliance Hardening and Enhancement System - Tripwire har det største og mest omfattende bibliotek af politikker og platforme, der understøtter mere end 800 politikker, der dækker en lang række platform -operativsystemversioner og -enheder.
- Sikkerhedsautomatisering og afhjælpning: Tripwires afhjælpningsevne automatiserer opgaver og guider os gennem hurtig afhjælpning af ikke-kompatible systemer og fejlkonfigurationer i sikkerheden. Det vil være muligt at automatisere arbejdsgange gennem integrationer med SIEM, IT-GRC og forandringsstyringssystemer.
Tidligere kravFor ideelt at installere, konfigurere og bruge Tripwire skal du bruge følgende:
- Ubuntu 17.10 Server: Ubuntu 17.10
- Har root -privilegier
1. Sådan opdateres operativsystemet og installeres Tripwire på Ubuntu 17.10
Trin 1
Det første skridt at tage er at installere Tripwire i operativsystemet, dette værktøj er tilgængeligt i det officielle Ubuntu -depot, så det er nok at opdatere Ubuntu 17.10 -depotet med følgende kommando:
sudo apt opdatering
FORSTØRRE
Trin 2
Når Ubuntu 17.10 er opdateret, fortsætter vi med at installere Tripwire ved at udføre følgende kommando:
sudo apt install -y Tripwire
FORSTØRRE
Trin 3
Under installationsprocessen vises følgende spørgsmål om Postfix SMTP -konfigurationen, vi vælger indstillingen Internet Site og klikker på Acceptér for at fortsætte med installationen:
FORSTØRRE
Trin 4
Når du klikker på OK, i det følgende vindue for navnet på mailsystemet, efterlader vi standardværdien:
FORSTØRRE
Trin 5
Klik på OK igen, og i det næste vindue er det nødvendigt at oprette en ny webstedsnøgle til Tripwire, i dette tilfælde vælger vi Ja og trykker på Enter for at fortsætte:
FORSTØRRE
Trin 6
Vi kan se, at disse nøgler er forbundet med sikkerhedsfaktorer, da der er et tidsvindue, som angriberen kan få adgang til. Når vi klikker på Ja, ser vi følgende vindue:
FORSTØRRE
Trin 7
I dette tilfælde har vi nøglefiler til Tripwire, i dette tilfælde vælger vi Ja og trykker på Enter for at fortsætte. Nu skal vi bekræfte, om vi vil genopbygge Tripwire -konfigurationsfilen, da der er foretaget ændringer i nøglefilerne. Vi vælger Ja og trykker på Enter for at fortsætte processen.
FORSTØRRE
Den samme proces, vi kører for at genopbygge direktiverne:
FORSTØRRE
Trin 8
Når du klikker på Ja, udføres den valgte proces:
FORSTØRRE
Senere skal vi tildele en webstedsnøgle, fordi den ikke findes:
FORSTØRRE
BemærkVi skal huske denne adgangskode, da vi ikke har mulighed for at få adgang til den, hvis vi glemmer den.
Trin 9
Klik på OK, og vi skal bekræfte den indtastede adgangskode:
FORSTØRRE
Trin 10
Det næste trin er at tildele og bekræfte adgangskoden til den lokale nøgle:
FORSTØRRE
Når denne adgangskode er blevet tildelt og dermed har vi afsluttet installationsprocessen for Tripwire i Ubuntu 17.10:
FORSTØRRE
2. Sådan konfigureres Tripwire -politikker i Ubuntu 17.10
Trin 1
Når værktøjet er installeret på systemet, vil det være nødvendigt at konfigurere Tripwire til vores Ubuntu 17 -system, al konfiguration relateret til Tripwire findes i biblioteket / etc / tripwire.
Efter installationen af Tripwire vil det være nødvendigt at initialisere databasesystemet med følgende kommando:
sudo tripwire -initDer vil vi indtaste administratoradgangskoden og derefter den lokale adgangskode, der blev konfigureret under installationen:
FORSTØRRE
Trin 2
Dette vil starte databasen, hvor vi vil se følgende:
FORSTØRRE
Trin 3
Som det endelige resultat vil det være følgende. Vi kan se fejlen Filen eller biblioteket findes ikke, så for at løse denne fejl skal vi redigere Tripwire -konfigurationsfilen og genoprette konfigurationen.
FORSTØRRE
Trin 4
Inden vi redigerer Tripwire -konfigurationen, skal vi kontrollere, hvilken mappe der ikke findes, noget der kan gøres med følgende kommando:
sudo sh -c "tripwire --check | grep Filnavn> no -directory.txt"Senere kan vi se indholdet af filen ved at udføre følgende:
kat no-directory.txt
FORSTØRRE
Der vil vi se listen over manglende biblioteker.
3. Sådan konfigureres Tripwire -biblioteker
Trin 1
Det næste trin er at gå til Tripwire -konfigurationsmappen og redigere twpol.txt -konfigurationsfilen ved at køre følgende:
cd / etc / tripwire / nano twpol.txtVi vil se følgende:
FORSTØRRE
Trin 2
Der vil vi gøre følgende: I Boot Scripts -reglen vil vi kommentere linjen
/etc/rc.boot -> $ (SEC_BIN);
FORSTØRRE
Trin 3
I linjen System Boot Changes kommenterer vi følgende linjer:
# / var / lock -> $ (SEC_CONFIG); # / var / run -> $ (SEC_CONFIG); # dæmon PID'er
FORSTØRRE
Trin 4
I linjen Root Config Files kommenterer vi følgende linjer:
/ root -> $ (SEC_CRIT); # Fang alle tilføjelser til / root # / root / mail -> $ (SEC_CONFIG); # / root / Mail -> $ (SEC_CONFIG); # / root / .xsession -fejl -> $ (SEC_CONFIG); # / root / .xauth -> $ (SEC_CONFIG); # / root / .tcshrc -> $ (SEC_CONFIG); # / root / .sawfish -> $ (SEC_CONFIG); # / root / .pinerc -> $ (SEC_CONFIG); # / root / .mc -> $ (SEC_CONFIG); # / root / .gnome_private -> $ (SEC_CONFIG); # / root / .gnome -desktop -> $ (SEC_CONFIG); # / root / .gnome -> $ (SEC_CONFIG); # / root / .esd_auth -> $ (SEC_CONFIG); # / root / .elm -> $ (SEC_CONFIG); # / root / .cshrc -> $ (SEC_CONFIG); /root/.bashrc -> $ (SEC_CONFIG); # / root / .bash_profile -> $ (SEC_CONFIG); # / root / .bash_logout -> $ (SEC_CONFIG); /root/.bash_history -> $ (SEC_CONFIG); # / root / .amandahosts -> $ (SEC_CONFIG); # / root / .addressbook.lu -> $ (SEC_CONFIG); # / root / .adressebog -> $ (SEC_CONFIG); # / root / .Xresources -> $ (SEC_CONFIG); # / root / .Xauthority -> $ (SEC_CONFIG) -i; # Ændrer Inode -nummer ved login # / root / .ICEauthority -> $ (SEC_CONFIG);
FORSTØRRE
Trin 5
I enheds- og kerneoplysningsreglen skal vi tilføje følgende:
/ dev -> $ (enhed); / dev / pts -> $ (enhed); / dev / shm -> $ (enhed); / dev / hugepages -> $ (Device); / dev / mqueue -> $ (enhed); # / proc -> $ (enhed); / proc / devices -> $ (Device); / proc / net -> $ (enhed); / proc / tty -> $ (enhed); / proc / cpuinfo -> $ (enhed); / proc / modules -> $ (enhed); / proc / mounts -> $ (enhed); / proc / dma -> $ (enhed); / proc / filsystemer -> $ (enhed); / proc / afbryder -> $ (enhed); / proc / ioports -> $ (enhed); / proc / scsi -> $ (enhed); / proc / kcore -> $ (enhed); / proc / self -> $ (Device); / proc / kmsg -> $ (enhed); / proc / stat -> $ (enhed); / proc / loadavg -> $ (enhed); / proc / oppetid -> $ (enhed); / proc / låse -> $ (enhed); / proc / meminfo -> $ (enhed); / proc / misc -> $ (enhed);
FORSTØRRE
Når disse ændringer er registreret, gemmer vi ændringerne ved hjælp af Ctrl + O -tasterne og afslutter det ved hjælp af Ctrl + X -tasterne.
Trin 6
Efter redigering af konfigurationsfilen implementerer vi alle ændringerne ved at genindlæse den krypterede politikfil ved hjælp af kommandoen twadmin som følger. Der vil tre verifikationstrin blive udført.
sudo tripwire -update -policy -secure -mode low /etc/tripwire/twpol.txt
FORSTØRRE
Trin 7
For at regenerere Tripwire -konfigurationsfilen udfører vi følgende linje:
sudo twadmin -m P /etc/tripwire/twpol.txt
FORSTØRRE
4. Sådan bruges Tripwire
Trin 1
For at starte en analyse med dette værktøj udfører vi først følgende:
sudo tripwire -check
FORSTØRRE
Trin 2
Der starter analyseprocessen, som vil give følgende resultat:
FORSTØRRE
Trin 3
Med Tripwire vil det kun være muligt at scanne et bibliotek, f.eks. For at scanne / home -biblioteket vil vi udføre følgende:
sudo tripwire -check / home
FORSTØRRE
Trin 4
Nederst kan vi se specifikke detaljer om biblioteket:
FORSTØRRE
Trin 5
Vi har tilføjet en ny fil i / dev -biblioteket, og når vi kører Tripwire -kontrollen, kan vi se, at overtrædelsen er blevet opdaget:
FORSTØRRE
Der har vi sværhedsgraden af det og antallet af ændrede filer.
5. Sådan konfigureres tripwire -e -mail -meddelelser
For e -mail -meddelelser tilbyder Tripwire en 'emailto' -funktion i indstillingerne. Tripwire bruger Postfix til at sende e -mail -meddelelser, og dette installeres automatisk under værktøjsinstallationsprocessen.
Inden vi konfigurerer e -mail -meddelelser, kan vi teste Tripwire -meddelelse ved hjælp af følgende kommando:
tripwire -test -e -mail [email protected]
FORSTØRRE
Nu, for at konfigurere mailen definitivt, får vi adgang til twpol.txt -filen igen, og under Wordpress Data -sektionen tilføjer vi følgende:
# Regler for Web-app (rulename = "Wordpress Rule", alvorlighedsgrad = $ (SIG_HI), emailto = [email protected])Når denne proces er gemt, skal vi regenerere filen ved at udføre følgende linjer:
sudo twadmin -m P /etc/tripwire/twpol.txt sudo tripwire -initEndelig har vi mulighed for at bruge cron til at udføre periodiske opgaver med Tripwire.
For at gøre dette vil vi udføre følgende linje, som en ny cron vil blive oprettet med:
sudo crontab -e -u rootNår vi har adgang til filen, tilføjer vi følgende linje i slutningen:
0 0 * * * tripwire-tjek-mail-rapportPå denne måde definerer vi tider og vedhæfter en rapport, der skal sendes til mailen. Vi kan gemme ændringerne ved hjælp af Ctrl + O -tasterne og afslutte editoren ved hjælp af Ctrl + X -tasterne.
Vi genstarter cron ved at udføre følgende:
systemctl genstart cronPå denne måde er Tripwire en allieret til at registrere ændringer i systemfilerne i Linux distros.
