Když máme týmy s distribucemi Linuxu v odpovědnosti, je důležité mít jasnou znalost stovek nebo tisíců nástrojů, které máme k dispozici k optimalizaci všech systémových parametrů, a to jak z hlediska zabezpečení, přístupu, ovládání nebo jiné.
Jedním z hlavních bodů, které dnes musíme spravovat, je zabezpečení, což z něj činí složitý problém, když musíme spravovat online servery, protože ačkoli je možné konfigurovat brány firewall, zásady fail2ban, zabezpečené služby a blokovat aplikace, je těžké to vědět s jistotou, pokud byl každý útok účinně zablokován, což může mít za následek kritické problémy pro uživatele a obecné chování organizace.
Když o tom přemýšlíme, Solvetic dnes přináší cenný nástroj s názvem Tripwire pro jeho implementaci v prostředích Ubuntu, v tomto případě Ubuntu 17.10, a má tak jistotu, že bude mít pod naší správou ještě jeden bezpečnostní nástroj.
Co je TripwireTripwire je bezplatný otevřený systém detekce narušení (IDS).
Tripwire je bezpečnostní nástroj, který nám umožní sledovat a upozorňovat na jakékoli změny provedené v souborech v operačním systému.
Tripwire je výkonný IDS, který byl navržen tak, aby chránil systém před nežádoucími změnami. Pomocí tohoto nástroje bude možné monitorovat systémové soubory, včetně souborů z webových stránek, takže pokud dojde k nechtěné změně některého ze sledovaných souborů, Tripwire zkontroluje systém a upozorní nás, pokud jsme tak učinili. Nakonfigurováno.
Hostitelský systém detekce narušení (HIDS) funguje tak, že shromažďuje podrobnosti o systému souborů a konfiguraci zakoupeného počítače a poté tyto informace ukládá k odkazování a ověření aktuálního stavu systému. Pokud jsou nalezeny změny mezi známým stavem a aktuálním stavem, může to být známkou toho, že došlo k narušení zabezpečení, a bude naléhavě nutné provést požadovaná administrativní opatření.
Funkce TripwirePomocí tohoto nástroje máme některé funkce, jako například:
- Detekce v reálném čase: Tripwire se stará o zachycení a omezení škod způsobených podezřelými hrozbami, anomáliemi a změnami.
- Integrita zabezpečení a IT aplikace
- Inteligence změn v reálném čase: Tripwire nabízí nejkomplexnější řešení integrity souborů pro firmy jakékoli velikosti. Tripwire byl vyvinut s cílem detekovat a posoudit změny a upřednostnit bezpečnostní rizika pomocí integrací, které poskytují upozornění na změny ve velkém a nízkém objemu. Tripwire nabízí robustní řešení FIM (File Integrity Monitoring), schopné monitorovat detailní integritu systému: soubory, adresáře, registry, konfigurační parametry, knihovny DLL, porty, služby, protokoly atd.
- Systém zpevňování a vylepšování souladu - Tripwire má největší a nejkomplexnější knihovnu zásad a platforem, která podporuje více než 800 zásad a pokrývá různé verze a zařízení operačních systémů platforem.
- Automatizace zabezpečení a sanace: Možnosti sanace Tripwire automatizují úkoly a provedou nás rychlou nápravou nevyhovujících systémů a chybnou konfigurací zabezpečení. Pracovní toky bude možné automatizovat prostřednictvím integrací se systémy SIEM, IT-GRC a systémy řízení změn.
Předchozí požadavkyK ideálnímu nainstalování, konfiguraci a používání Tripwire budete potřebovat následující:
- Server Ubuntu 17.10: Ubuntu 17.10
- Mít oprávnění root
1. Jak aktualizovat operační systém a nainstalovat Tripwire na Ubuntu 17.10
Krok 1
Prvním krokem je instalace Tripwire do operačního systému, tento nástroj je k dispozici v oficiálním úložišti Ubuntu, takže stačí aktualizovat úložiště Ubuntu 17.10 následujícím příkazem:
sudo apt aktualizace
ZVĚTŠIT
Krok 2
Jakmile je Ubuntu 17.10 aktualizován, pokračujeme v instalaci Tripwire spuštěním následujícího příkazu:
sudo apt install -y Tripwire
ZVĚTŠIT
Krok 3
Během procesu instalace se zobrazí následující otázka ohledně konfigurace Postfix SMTP, vybereme možnost Internetový server a pokračujeme v instalaci kliknutím na Přijmout:
ZVĚTŠIT
Krok 4
Když klikneme na OK, v následujícím okně pro název poštovního systému ponecháme výchozí hodnotu:
ZVĚTŠIT
Krok 5
Znovu klikněte na OK a v dalším okně bude nutné vytvořit nový klíč webu pro Tripwire, v tomto případě vybereme Ano a pokračujeme stisknutím klávesy Enter:
ZVĚTŠIT
Krok 6
Vidíme, že tyto klíče jsou spojeny s bezpečnostními faktory, protože existuje časové okno, do kterého má útočník přístup. Jakmile klikneme na Ano, zobrazí se následující okno:
ZVĚTŠIT
Krok 7
V tomto případě máme klíčové soubory Tripwire, v tomto případě vybereme Ano a pokračujeme stisknutím klávesy Enter. Nyní musíme potvrdit, zda znovu vytvoříme konfigurační soubor Tripwire, protože v klíčových souborech byly provedeny změny. Vybereme Ano a pokračujeme v procesu stisknutím klávesy Enter.
ZVĚTŠIT
Stejný proces, jaký provádíme při obnově směrnic:
ZVĚTŠIT
Krok 8
Po kliknutí na Ano se provede vybraný proces:
ZVĚTŠIT
Později musíme přiřadit klíč webu, protože neexistuje:
ZVĚTŠIT
PoznámkaToto heslo si musíme zapamatovat, protože v případě zapomenutí k němu nemáme přístup.
Krok 9
Klikněte na OK a musíme potvrdit zadané heslo:
ZVĚTŠIT
Krok 10
Dalším krokem je přiřazení a potvrzení hesla pro místní klíč:
ZVĚTŠIT
Jakmile bylo toto heslo přiděleno, a tím jsme dokončili proces instalace Tripwire v Ubuntu 17.10:
ZVĚTŠIT
2. Jak nakonfigurovat zásady Tripwire v Ubuntu 17.10
Krok 1
Jakmile je nástroj nainstalován do systému, bude nutné nakonfigurovat Tripwire pro náš systém Ubuntu 17, veškerá konfigurace související s Tripwire se nachází v adresáři / etc / tripwire.
Po instalaci Tripwire bude nutné inicializovat databázový systém následujícím příkazem:
sudo tripwire -initTam zadáme heslo správce a poté místní heslo, které bylo nakonfigurováno během instalace:
ZVĚTŠIT
Krok 2
Tím se spustí databáze, kde uvidíme následující:
ZVĚTŠIT
Krok 3
Jako konečný výsledek to bude následující. Můžeme vidět chybu Soubor nebo adresář neexistuje, abychom tuto chybu vyřešili, musíme upravit konfigurační soubor Tripwire a znovu vygenerovat konfiguraci.
ZVĚTŠIT
Krok 4
Před úpravou konfigurace Tripwire musíme ověřit, který adresář neexistuje, což lze provést pomocí následujícího příkazu:
sudo sh -c "tripwire --check | grep Název souboru> no -directory.txt"Později můžeme vidět obsah uvedeného souboru provedením následujícího:
kočka bez adresáře.txt
ZVĚTŠIT
Tam uvidíme seznam chybějících adresářů.
3. Jak konfigurovat adresáře Tripwire
Krok 1
Dalším krokem je přejít do konfiguračního adresáře Tripwire a upravit konfigurační soubor twpol.txt spuštěním následujícího:
cd / etc / tripwire / nano twpol.txtUvidíme následující:
ZVĚTŠIT
Krok 2
Tam provedeme následující: V pravidle Boot Scripts se k řádku vyjádříme
/etc/rc.boot -> $ (SEC_BIN);
ZVĚTŠIT
Krok 3
V řádku Změny spouštění systému budeme komentovat následující řádky:
# / var / lock -> $ (SEC_CONFIG); # / var / run -> $ (SEC_CONFIG); # démonů PID
ZVĚTŠIT
Krok 4
V řádku Soubory kořenových konfigurací budeme komentovat následující řádky:
/ root -> $ (SEC_CRIT); # Zachyťte všechna přidání do / root # / root / mail -> $ (SEC_CONFIG); # / root / Mail -> $ (SEC_CONFIG); # / root / .xsession -errors -> $ (SEC_CONFIG); # / root / .xauth -> $ (SEC_CONFIG); # / root / .tcshrc -> $ (SEC_CONFIG); # / root / .sawfish -> $ (SEC_CONFIG); # / root / .pinerc -> $ (SEC_CONFIG); # / root / .mc -> $ (SEC_CONFIG); # / root / .gnome_private -> $ (SEC_CONFIG); # / root / .gnome -desktop -> $ (SEC_CONFIG); # / root / .gnome -> $ (SEC_CONFIG); # / root / .esd_auth -> $ (SEC_CONFIG); # / root / .elm -> $ (SEC_CONFIG); # / root / .cshrc -> $ (SEC_CONFIG); /root/.bashrc -> $ (SEC_CONFIG); # / root / .bash_profile -> $ (SEC_CONFIG); # / root / .bash_logout -> $ (SEC_CONFIG); /root/.bash_history -> $ (SEC_CONFIG); # / root / .amandahosts -> $ (SEC_CONFIG); # / root / .addressbook.lu -> $ (SEC_CONFIG); # / root / .adresa -> $ (SEC_CONFIG); # / root / .Xresources -> $ (SEC_CONFIG); # / root / .Xauthority -> $ (SEC_CONFIG) -i; # Změní číslo inodu při přihlášení # / root / .ICEauthority -> $ (SEC_CONFIG);
ZVĚTŠIT
Krok 5
Do pravidla Informace o zařízení a jádru musíme přidat následující:
/ dev -> $ (Zařízení); / dev / pts -> $ (Zařízení); / dev / shm -> $ (zařízení); / dev / obrovské stránky -> $ (zařízení); / dev / mqueue -> $ (zařízení); # / proc -> $ (Zařízení); / proc / devices -> $ (Zařízení); / proc / net -> $ (zařízení); / proc / tty -> $ (zařízení); / proc / cpuinfo -> $ (zařízení); / proc / modules -> $ (zařízení); / proc / mounts -> $ (zařízení); / proc / dma -> $ (zařízení); / proc / filesystems -> $ (zařízení); / proc / interrupts -> $ (Zařízení); / proc / ioports -> $ (zařízení); / proc / scsi -> $ (zařízení); / proc / kcore -> $ (zařízení); / proc / self -> $ (Zařízení); / proc / kmsg -> $ (zařízení); / proc / stat -> $ (zařízení); / proc / loadavg -> $ (zařízení); / proc / uptime -> $ (zařízení); / proc / locks -> $ (zařízení); / proc / meminfo -> $ (zařízení); / proc / misc -> $ (zařízení);
ZVĚTŠIT
Jakmile jsou tyto změny zaregistrovány, změny uložíme pomocí kláves Ctrl + O a opustíme je pomocí kláves Ctrl + X.
Krok 6
Po úpravě konfiguračního souboru provedeme všechny změny opětovným načtením zašifrovaného souboru zásad pomocí příkazu twadmin následujícím způsobem. Tam budou provedeny tři ověřovací kroky.
sudo tripwire -update -policy -secure -mode low /etc/tripwire/twpol.txt
ZVĚTŠIT
Krok 7
K regeneraci konfiguračního souboru Tripwire spustíme následující řádek:
sudo twadmin -m P /etc/tripwire/twpol.txt
ZVĚTŠIT
4. Jak používat Tripwire
Krok 1
Chcete -li zahájit analýzu pomocí tohoto nástroje, nejprve provedeme následující:
sudo tripwire -kontrola
ZVĚTŠIT
Krok 2
Tam začne proces analýzy, který poskytne následující výsledek:
ZVĚTŠIT
Krok 3
S Tripwire bude možné skenovat pouze jeden adresář, například pro skenování adresáře / home provedeme následující:
sudo tripwire -check / home
ZVĚTŠIT
Krok 4
V dolní části vidíme konkrétní podrobnosti o adresáři:
ZVĚTŠIT
Krok 5
Přidali jsme nový soubor do adresáře / dev a jakmile spustíme kontrolu Tripwire, můžeme vidět, že bylo zjištěno porušení:
ZVĚTŠIT
Máme zde jeho závažnost a počet upravených souborů.
5. Jak nastavit e -mailová oznámení tripwire
Pro upozornění e -mailem nabízí Tripwire v nastavení funkci „emailto“. Tripwire používá k odesílání e -mailových oznámení Postfix, který se automaticky nainstaluje během procesu instalace nástroje.
Před konfigurací e -mailových oznámení můžeme otestovat oznámení Tripwire pomocí následujícího příkazu:
tripwire --test --email [email protected]
ZVĚTŠIT
Nyní, abychom definitivně nakonfigurovali poštu, znovu přistoupíme k souboru twpol.txt a v sekci Data Wordpress přidáme následující:
# Pravidla pro webovou aplikaci (rulename = "Wordpress Rule", závažnost = $ (SIG_HI), emailto = [email protected])Jakmile je tento proces uložen, musíme soubor znovu vygenerovat spuštěním následujících řádků:
sudo twadmin -m P /etc/tripwire/twpol.txt sudo tripwire -initNakonec máme možnost používat cron k provádění pravidelných úkolů s Tripwire.
K tomu provedeme následující řádek, pomocí kterého bude vytvořen nový cron:
sudo crontab -e -u rootJakmile k souboru přistoupíme, přidáme na konec následující řádek:
0 0 * * * tripwire --check --email-reportTímto způsobem definujeme časy a připojujeme zprávu k odeslání na poštu. Změny můžeme uložit pomocí kláves Ctrl + O a editor opustit pomocí kláves Ctrl + X.
Restartujeme cron provedením následujícího:
systemctl restart cronTímto způsobem je Tripwire spojencem pro detekci změn v systémových souborech v distribucích Linuxu.
