Sorumluluğumuz altında Linux dağıtımlarına sahip ekiplerimiz olduğunda, hem güvenlik, erişim, hem de kontrol açısından tüm sistem parametrelerini optimize etmek için elimizde bulunan yüzlerce veya binlerce araç hakkında net bir bilgiye sahip olmak önemlidir. veya diğerleri.
Bugün yönetmemiz gereken ana noktalardan biri güvenliktir, bu da çevrimiçi sunucuları yönetmemiz gerektiğinde onu karmaşık bir sorun haline getirir, çünkü güvenlik duvarlarını, fail2ban ilkelerini, güvenli hizmetleri ve blok uygulamalarını yapılandırmak mümkün olsa da, bunu bilmek zordur. Her bir saldırının etkili bir şekilde engellenip engellenmediğini kesin olarak belirleyin ve bu, kullanıcılar ve kuruluşun genel davranışı için kritik sorunlara neden olabilir.
Bunu düşünerek, Solvetic bugün Ubuntu ortamlarında, bu durumda Ubuntu 17.10'da uygulanması için Tripwire adında değerli bir yardımcı program getiriyor ve böylece yönetimimiz altında bir güvenlik aracına daha sahip olma kesinliğine sahip.
Tripwire nedir?Tripwire, ücretsiz, açık kaynaklı bir saldırı tespit sistemidir (IDS).
Tripwire, işletim sistemindeki dosyalarda yapılan herhangi bir değişikliği izleme ve bu konuda uyarı verme olanağı sağlayan bir güvenlik aracıdır.
Tripwire, sistemi istenmeyen değişikliklere karşı korumak için tasarlanmış güçlü bir IDS'dir. Bu araçla, web sitesi dosyaları da dahil olmak üzere sistem dosyalarını izlemek mümkün olacak, böylece izlenen dosyalardan herhangi birinde istenmeyen bir dosya değişikliği olduğunda, Tripwire sistemi kontrol edecek ve eğer bunu yapmışsak bizi uyaracaktır.
Ana bilgisayar tabanlı bir saldırı tespit sistemi (HIDS), satın aldığınız bilgisayarın dosya sistemi ve yapılandırması hakkında ayrıntıları toplayarak çalışır, ardından sistemin mevcut durumunu referans almak ve doğrulamak için bu bilgileri depolar. Bilinen durum ile mevcut durum arasında değişiklikler bulunursa, güvenliğin ihlal edildiğinin bir işareti olabilir ve gerekli idari tedbirlerin alınması acil olacaktır.
Tripwire ÖzellikleriBu aracı kullanarak aşağıdaki gibi bazı özelliklere sahibiz:
- Gerçek zamanlı algılama: Tripwire, şüpheli tehditler, anormallikler ve değişikliklerden kaynaklanan hasarı yakalama ve sınırlama ile ilgilenir.
- Güvenlik bütünlüğü ve BT uygulamaları
- Gerçek zamanlı değişim zekası: Tripwire, her büyüklükteki işletme için en kapsamlı dosya bütünlüğü çözümünü sunar. Tripwire, değişiklikleri algılamak ve yargılamak ve yüksek hacimli ve düşük hacimli değişiklik uyarıları sağlayan entegrasyonlarla güvenlik risklerine öncelik vermek için geliştirilmiştir. Tripwire, ayrıntılı sistem bütünlüğünü izleyebilen sağlam bir Dosya Bütünlüğü İzleme (FIM) çözümü sunar: dosyalar, dizinler, kayıtlar, yapılandırma parametreleri, DLL'ler, bağlantı noktaları, hizmetler, protokoller vb.
- Uyumluluk Sağlamlaştırma ve Geliştirme Sistemi - Tripwire, çeşitli platform işletim sistemi sürümlerini ve cihazlarını kapsayan 800'den fazla ilkeyi destekleyen en büyük ve en kapsamlı ilke ve platform kitaplığına sahiptir.
- Güvenlik Otomasyonu ve İyileştirme: Tripwire'ın iyileştirme özelliği, görevleri otomatikleştirir ve uyumlu olmayan sistemlerin ve yanlış güvenlik yapılandırmalarının hızlı bir şekilde düzeltilmesinde bize rehberlik eder. SIEM, IT-GRC ve değişiklik yönetim sistemleri ile entegrasyonlar ile iş akışlarını otomatikleştirmek mümkün olacaktır.
Önceki gereksinimlerTripwire'ı ideal olarak kurmak, yapılandırmak ve kullanmak için aşağıdakilere ihtiyacınız olacak:
- Ubuntu 17.10 Sunucusu: Ubuntu 17.10
- Kök ayrıcalıklarına sahip olun
1. Ubuntu 17.10'da işletim sistemi nasıl güncellenir ve Tripwire nasıl kurulur
Aşama 1
Atılacak ilk adım, işletim sistemine Tripwire yüklemektir, bu araç resmi Ubuntu deposunda mevcuttur, bu nedenle Ubuntu 17.10 deposunu aşağıdaki komutla güncellemeniz yeterlidir:
sudo uygun güncelleme
BÜYÜT
Adım 2
Ubuntu 17.10 güncellendikten sonra aşağıdaki komutu uygulayarak Tripwire kurulumuna geçiyoruz:
sudo apt install -y Tripwire
BÜYÜT
Aşama 3
Kurulum işlemi sırasında Postfix SMTP konfigürasyonu ile ilgili aşağıdaki soru görüntülenecektir, İnternet Sitesi seçeneğini seçeceğiz ve kuruluma devam etmek için Kabul Et'e tıklayacağız:
BÜYÜT
4. Adım
Tamam'a tıkladığınızda, aşağıdaki pencerede posta sisteminin adı için varsayılan değeri bırakacağız:
BÜYÜT
Adım 5
Tekrar Tamam'a tıklayın ve bir sonraki pencerede Tripwire için yeni bir site anahtarı oluşturmanız gerekecek, bu durumda Evet'i seçip devam etmek için Enter'a basıyoruz:
BÜYÜT
6. Adım
Saldırganın erişebileceği bir zaman penceresi olduğu için bu anahtarların güvenlik faktörleriyle ilişkili olduğunu görebiliriz. Evet'e tıkladığımızda aşağıdaki pencereyi göreceğiz:
BÜYÜT
7. Adım
Bu durumda Tripwire'ın anahtar dosyalarına sahibiz, bu durumda Yes'i seçip devam etmek için Enter'a basıyoruz. Şimdi, anahtar dosyalarda değişiklikler yapıldığı için Tripwire yapılandırma dosyasını yeniden oluşturup oluşturmayacağımızı onaylamamız gerekiyor. Yes'i seçiyoruz ve işleme devam etmek için Enter'a basıyoruz.
BÜYÜT
Direktifleri yeniden oluşturmak için yürüttüğümüz aynı süreç:
BÜYÜT
8. Adım
Evet'e tıkladığınızda, seçilen işlem gerçekleştirilecektir:
BÜYÜT
Daha sonra mevcut olmadığı için bir site anahtarı atamamız gerekir:
BÜYÜT
NotBu şifreyi unutmamız durumunda erişim imkanımız olmadığı için hatırlamalıyız.
9. Adım
Tamam'ı tıklayın ve girilen şifreyi onaylamamız gerekiyor:
BÜYÜT
Adım 10
Sonraki adım, yerel anahtarın parolasını atamak ve onaylamaktır:
BÜYÜT
Bu şifre atandıktan ve böylece Ubuntu 17.10'da Tripwire kurulum sürecini tamamladık:
BÜYÜT
2. Ubuntu 17.10'da Tripwire ilkeleri nasıl yapılandırılır
Aşama 1
Araç sisteme yüklendikten sonra, Ubuntu 17 sistemimiz için Tripwire'ı yapılandırmak gerekecektir, Tripwire ile ilgili tüm konfigürasyon / etc / tripwire dizininde bulunur.
Tripwire kurulumundan sonra, veritabanı sistemini aşağıdaki komutla başlatmak gerekecektir:
sudo tripwire -initOrada yönetici şifresini ve ardından kurulum sırasında yapılandırılan yerel şifreyi gireceğiz:
BÜYÜT
Adım 2
Bu, aşağıdakileri göreceğimiz veritabanını başlatır:
BÜYÜT
Aşama 3
Nihai sonuç olarak aşağıdaki olacaktır. Hatayı görebiliriz Dosya veya dizin mevcut değil, bu hatayı çözmek için Tripwire yapılandırma dosyasını düzenlemeli ve yapılandırmayı yeniden oluşturmalıyız.
BÜYÜT
4. Adım
Tripwire konfigürasyonunu düzenlemeden önce, hangi dizinin mevcut olmadığını doğrulamalıyız, bu aşağıdaki komutla yapılabilir:
sudo sh -c "tripwire --check | grep Dosya Adı> no-directory.txt"Daha sonra, aşağıdakileri yürüterek söz konusu dosyanın içeriğini görebiliriz:
kedi no-directory.txt
BÜYÜT
Orada eksik dizinlerin listesini göreceğiz.
3. Tripwire dizinleri nasıl yapılandırılır
Aşama 1
Sonraki adım, Tripwire yapılandırma dizinine gitmek ve aşağıdakileri çalıştırarak twpol.txt yapılandırma dosyasını düzenlemektir:
cd / etc / tripwire / nano twpol.txtAşağıdakileri göreceğiz:
BÜYÜT
Adım 2
Orada şunları yapacağız: Boot Scripts kuralında satıra yorum yapacağız.
/etc/rc.boot -> $ (SEC_BIN);
BÜYÜT
Aşama 3
System Boot Changes satırında aşağıdaki satırlar hakkında yorum yapacağız:
# / var / kilit -> $ (SEC_CONFIG); # / var / çalıştır -> $ (SEC_CONFIG); # arka plan programı PID'leri
BÜYÜT
4. Adım
Root Config Files satırında aşağıdaki satırlar hakkında yorum yapacağız:
/ kök -> $ (SEC_CRIT); # / root # / root / mail'e yapılan tüm eklemeleri yakalayın -> $ (SEC_CONFIG); # / root / Mail -> $ (SEC_CONFIG); # / root / .xsession-errors -> $ (SEC_CONFIG); # / root / .xauth -> $ (SEC_CONFIG); # / root / .tcshrc -> $ (SEC_CONFIG); # / root / .sawfish -> $ (SEC_CONFIG); # / root / .pinerc -> $ (SEC_CONFIG); # / root / .mc -> $ (SEC_CONFIG); # / root / .gnome_private -> $ (SEC_CONFIG); # / root / .gnome-desktop -> $ (SEC_CONFIG); # / root / .gnome -> $ (SEC_CONFIG); # / root / .esd_auth -> $ (SEC_CONFIG); # / root / .elm -> $ (SEC_CONFIG); # / root / .cshrc -> $ (SEC_CONFIG); /root/.bashrc -> $ (SEC_CONFIG); # / root / .bash_profile -> $ (SEC_CONFIG); # / root / .bash_logout -> $ (SEC_CONFIG); /root/.bash_history -> $ (SEC_CONFIG); # / root / .amandahosts -> $ (SEC_CONFIG); # / root / .addressbook.lu -> $ (SEC_CONFIG); # / root / .addressbook -> $ (SEC_CONFIG); # / root / .Xresources -> $ (SEC_CONFIG); # / root / .Xauthority -> $ (SEC_CONFIG) -i; # Girişte Inode numarasını değiştirir # / root / .ICEauthority -> $ (SEC_CONFIG);
BÜYÜT
Adım 5
Cihaz ve Çekirdek bilgileri kuralında aşağıdakileri eklemeliyiz:
/ dev -> $ (Cihaz); / dev / puan -> $ (Cihaz); / dev / shm -> $ (Cihaz); / dev / büyük sayfalar -> $ (Cihaz); / dev / mqueue -> $ (Cihaz); # / proc -> $ (Cihaz); / proc / cihazlar -> $ (Cihaz); / proc / net -> $ (Cihaz); / proc / tty -> $ (Cihaz); / proc / cpuinfo -> $ (Cihaz); / proc / modüller -> $ (Cihaz); / proc / mounts -> $ (Cihaz); / proc / dma -> $ (Cihaz); / proc / dosya sistemleri -> $ (Aygıt); / proc / kesintiler -> $ (Cihaz); / proc / ioports -> $ (Cihaz); / proc / scsi -> $ (Cihaz); / proc / kcore -> $ (Cihaz); / proc / self -> $ (Cihaz); / proc / kmsg -> $ (Cihaz); / proc / stat -> $ (Cihaz); / proc / loadavg -> $ (Cihaz); / proc / çalışma süresi -> $ (Cihaz); / proc / kilitler -> $ (Cihaz); / proc / meminfo -> $ (Cihaz); / proc / misc -> $ (Cihaz);
BÜYÜT
Bu değişiklikler kaydedildikten sonra Ctrl + O tuşlarını kullanarak değişiklikleri kaydedip Ctrl + X tuşlarını kullanarak çıkış yapacağız.
6. Adım
Konfigürasyon dosyasını düzenledikten sonra aşağıdaki gibi twadmin komutunu kullanarak şifreli politika dosyasını yeniden yükleyerek tüm değişiklikleri uygulayacağız. Orada, üç doğrulama adımı yürütülecektir.
sudo tripwire - güncelleme politikası - güvenli mod düşük /etc/tripwire/twpol.txt
BÜYÜT
7. Adım
Tripwire yapılandırma dosyasını yeniden oluşturmak için aşağıdaki satırı uygulayacağız:
sudo twadmin -m P /etc/tripwire/twpol.txt
BÜYÜT
4. Tripwire nasıl kullanılır
Aşama 1
Bu araçla bir analiz başlatmak için önce aşağıdakileri uygulayacağız:
sudo tripwire -kontrol
BÜYÜT
Adım 2
Orada aşağıdaki sonucu verecek olan analiz süreci başlayacaktır:
BÜYÜT
Aşama 3
Tripwire ile sadece bir dizini taramak mümkün olacak, örneğin / home dizinini taramak için aşağıdakileri uygulayacağız:
sudo tripwire -kontrol / ana sayfa
BÜYÜT
4. Adım
Altta dizinin belirli ayrıntılarını görebiliriz:
BÜYÜT
Adım 5
/ dev dizinine yeni bir dosya ekledik ve Tripwire kontrolünü çalıştırdığımızda ihlalin tespit edildiğini görebiliriz:
BÜYÜT
Orada bunun ciddiyet düzeyine ve değiştirilen dosyaların sayısına sahibiz.
5. tripwire e-posta bildirimleri nasıl ayarlanır
E-posta bildirimleri için Tripwire, ayarlarda bir 'emailto' özelliği sunar. Tripwire, e-posta bildirimleri göndermek için Postfix'i kullanır ve bu, araç yükleme işlemi sırasında otomatik olarak yüklenir.
E-posta bildirimlerini yapılandırmadan önce, aşağıdaki komutu kullanarak Tripwire bildirimini test edebiliriz:
tripwire --test --e-posta [email protected]
BÜYÜT
Şimdi maili kesin olarak yapılandırmak için twpol.txt dosyasına tekrar erişeceğiz ve Wordpress Data bölümünün altına aşağıdakileri ekleyeceğiz:
# Web uygulaması için kurallar (rulename = "Wordpress Rule", önem derecesi = $ (SIG_HI), emailto = [email protected])Bu işlem kaydedildikten sonra, aşağıdaki satırları yürüterek dosyayı yeniden oluşturmalıyız:
sudo twadmin -m P /etc/tripwire/twpol.txt sudo tripwire -initSon olarak, Tripwire ile periyodik görevleri gerçekleştirmek için cron kullanma seçeneğine sahibiz.
Bunu yapmak için yeni bir cron oluşturulacak aşağıdaki satırı uygulayacağız:
sudo crontab -e -u köküDosyaya eriştiğimizde, sonuna aşağıdaki satırı ekleyeceğiz:
0 0 * * * tripwire --check --email-reportBu şekilde süreleri tanımlıyor ve maile gönderilecek bir rapor ekliyoruz. Ctrl + O tuşlarını kullanarak değişiklikleri kaydedebilir ve Ctrl + X tuşlarını kullanarak editörden çıkabiliriz.
Aşağıdakileri yürüterek cron'u yeniden başlatıyoruz:
systemctl cron'u yeniden başlatBu şekilde Tripwire, Linux dağıtımlarındaki sistem dosyalarındaki değişiklikleri algılamak için bir müttefiktir.
