Ja mūsu atbildībā ir komandas ar Linux izplatīšanu, ir svarīgi skaidri zināt simtiem vai tūkstošiem mūsu rīcībā esošo rīku, lai optimizētu visus sistēmas parametrus gan drošības, gan piekļuves, gan kontroles ziņā vai citi.
Viens no galvenajiem punktiem, kas mums šodien jāpārvalda, ir drošība, kas padara to par sarežģītu problēmu, kad mums jāpārvalda tiešsaistes serveri, jo, lai gan ir iespējams konfigurēt ugunsmūrus, fail2ban politikas, drošus pakalpojumus un bloķēt lietojumprogrammas, ir grūti zināt droši, ja katrs uzbrukums ir efektīvi bloķēts, un tas var radīt kritiskas problēmas lietotājiem un vispārējai organizācijas uzvedībai.
Domājot par to, Solvetic šodien piedāvā vērtīgu utilītu ar nosaukumu Tripwire tās ieviešanai Ubuntu vidē, šajā gadījumā - Ubuntu 17.10, un tādējādi ir pārliecība, ka mūsu administrācijā ir vēl viens drošības rīks.
Kas ir TripwireTripwire ir bezmaksas atvērtā pirmkoda ielaušanās noteikšanas sistēma (IDS).
Tripwire ir drošības rīks, kas dos mums iespēju uzraudzīt un brīdināt par visām izmaiņām, kas tiek veiktas operētājsistēmas failos.
Tripwire ir spēcīgs IDS, kas paredzēts sistēmas aizsardzībai pret nevēlamām izmaiņām. Izmantojot šo rīku, būs iespējams uzraudzīt sistēmas failus, tostarp tīmekļa vietņu failus, lai, ja kādā no pārraudzītajiem failiem notiktu nevēlamas izmaiņas, Tripwire pārbaudītu sistēmu un brīdinātu mūs, ja mēs to esam izdarījuši.
Uz resursdatora balstīta ielaušanās noteikšanas sistēma (HIDS) darbojas, apkopojot informāciju par iegādāta datora failu sistēmu un konfigurāciju, pēc tam saglabā šo informāciju, lai atsauktos un apstiprinātu pašreizējo sistēmas stāvokli. Ja tiek konstatētas izmaiņas starp zināmo stāvokli un pašreizējo stāvokli, tas varētu būt pazīme, ka drošība ir apdraudēta, un būs steidzami jāveic nepieciešamie administratīvie pasākumi.
Tripwire funkcijasIzmantojot šo rīku, mums ir dažas funkcijas, piemēram:
- Noteikšana reāllaikā: Tripwire rūpējas par aizdomīgu draudu, anomāliju un izmaiņu radīto kaitējumu uztveršanu un ierobežošanu.
- Drošības integritāte un IT lietojumprogrammas
- Izmaiņas reāllaikā: Tripwire piedāvā visplašāko failu integritātes risinājumu jebkura lieluma uzņēmumiem. Tripwire ir izstrādāts, lai noteiktu un spriestu par izmaiņām un noteiktu drošības risku prioritāti, izmantojot integrācijas, kas nodrošina brīdinājumus par liela apjoma un neliela apjoma izmaiņām. Tripwire piedāvā stabilu failu integritātes uzraudzības (FIM) risinājumu, kas spēj uzraudzīt detalizētu sistēmas integritāti: failus, direktorijus, reģistrus, konfigurācijas parametrus, DLL, portus, pakalpojumus, protokolus utt.
- Atbilstības sacietēšanas un uzlabošanas sistēma - Tripwire ir lielākā un visaptverošākā politiku un platformu bibliotēka, kas atbalsta vairāk nekā 800 politiku, aptverot dažādas platformas operētājsistēmas versijas un ierīces.
- Drošības automatizācija un novēršana: Tripwire atjaunošanas iespējas automatizē uzdevumus un palīdz ātri novērst neatbilstošas sistēmas un nepareizas drošības konfigurācijas. Darbplūsmas būs iespējams automatizēt, izmantojot integrāciju ar SIEM, IT-GRC un izmaiņu pārvaldības sistēmām.
Iepriekšējās prasībasLai ideāli instalētu, konfigurētu un izmantotu Tripwire, jums būs nepieciešams:
- Ubuntu 17.10 serveris: Ubuntu 17.10
- Ir root tiesības
1. Kā atjaunināt operētājsistēmu un instalēt Tripwire Ubuntu 17.10
1. darbība
Pirmais solis ir instalēt Tripwire operētājsistēmā, šis rīks ir pieejams oficiālajā Ubuntu krātuvē, tāpēc pietiek ar Ubuntu 17.10 krātuves atjaunināšanu ar šādu komandu:
sudo apt atjauninājums
PALIELINĀT
2. solis
Kad Ubuntu 17.10 ir atjaunināts, mēs turpinām instalēt Tripwire, izpildot šādu komandu:
sudo apt instalēt -y Tripwire
PALIELINĀT
3. solis
Instalēšanas laikā tiks parādīts šāds jautājums par Postfix SMTP konfigurāciju, mēs atlasīsim opciju Interneta vietne un noklikšķiniet uz Piekrist, lai turpinātu instalēšanu:
PALIELINĀT
4. solis
Noklikšķinot uz Labi, nākamajā pasta sistēmas nosaukuma logā mēs atstāsim noklusējuma vērtību:
PALIELINĀT
5. solis
Vēlreiz noklikšķiniet uz Labi, un nākamajā logā būs jāizveido jauna vietnes atslēga Tripwire, šajā gadījumā mēs izvēlamies Jā un nospiediet Enter, lai turpinātu:
PALIELINĀT
6. darbība
Mēs redzam, ka šīs atslēgas ir saistītas ar drošības faktoriem, jo uzbrucējs var piekļūt laikam. Noklikšķinot uz Jā, mēs redzēsim šādu logu:
PALIELINĀT
7. solis
Šajā gadījumā mums ir Tripwire galvenie faili, šajā gadījumā mēs izvēlamies Jā un nospiediet Enter, lai turpinātu. Tagad mums jāapstiprina, vai mēs atjaunosim Tripwire konfigurācijas failu, jo galvenajos failos ir veiktas izmaiņas. Mēs izvēlamies Jā un nospiediet taustiņu Enter, lai turpinātu procesu.
PALIELINĀT
To pašu procesu mēs veicam, lai atjaunotu direktīvas:
PALIELINĀT
8. solis
Noklikšķinot uz Jā, tiks veikts izvēlētais process:
PALIELINĀT
Vēlāk mums jāpiešķir vietnes atslēga, jo tā neeksistē:
PALIELINĀT
PiezīmeMums jāatceras šī parole, jo mums nav iespējas tai piekļūt aizmirstības gadījumā.
9. solis
Noklikšķiniet uz Labi un mums jāapstiprina ievadītā parole:
PALIELINĀT
10. solis
Nākamais solis ir piešķirt un apstiprināt vietējās atslēgas paroli:
PALIELINĀT
Kad šī parole ir piešķirta un tādējādi esam pabeiguši Tripwire instalēšanas procesu Ubuntu 17.10:
PALIELINĀT
2. Kā konfigurēt Tripwire politikas Ubuntu 17.10
1. darbība
Kad rīks ir instalēts sistēmā, mūsu Ubuntu 17 sistēmai būs jākonfigurē Tripwire, visa ar Tripwire saistītā konfigurācija atrodas direktorijā / etc / tripwire.
Pēc Tripwire instalēšanas datubāzes sistēma būs jāinicializē ar šādu komandu:
sudo tripwire -sākotnējiTur mēs ievadīsim administratora paroli un pēc tam vietējo paroli, kas tika konfigurēta instalēšanas laikā:
PALIELINĀT
2. solis
Tas sāks datu bāzi, kurā redzēsim sekojošo:
PALIELINĀT
3. solis
Galīgais rezultāts būs šāds. Mēs varam redzēt kļūdu. Fails vai direktorijs neeksistē, tāpēc, lai novērstu šo kļūdu, mums ir jārediģē Tripwire konfigurācijas fails un jāatjauno konfigurācija.
PALIELINĀT
4. solis
Pirms Tripwire konfigurācijas rediģēšanas mums jāpārbauda, kurš direktorijs neeksistē, ko var izdarīt ar šādu komandu:
sudo sh -c "tripwire --check | grep Faila nosaukums> no -directory.txt"Vēlāk mēs varam redzēt minētā faila saturu, izpildot sekojošo:
kaķis no-directory.txt
PALIELINĀT
Tur mēs redzēsim trūkstošo direktoriju sarakstu.
3. Kā konfigurēt Tripwire direktorijus
1. darbība
Nākamais solis ir doties uz Tripwire konfigurācijas direktoriju un rediģēt konfigurācijas failu twpol.txt, veicot tālāk norādītās darbības.
cd / etc / tripwire / nano twpol.txtMēs redzēsim sekojošo:
PALIELINĀT
2. solis
Tur mēs rīkosimies šādi: Noteikumā Boot Scripts mēs komentēsim rindu
/etc/rc.boot -> $ (SEC_BIN);
PALIELINĀT
3. solis
Rindā Sistēmas sāknēšanas izmaiņas mēs komentēsim šādas rindas:
# / var / lock -> $ (SEC_CONFIG); # / var / run -> $ (SEC_CONFIG); # dēmonu PID
PALIELINĀT
4. solis
Rindā Saknes konfigurācijas faili mēs komentēsim šādas rindas:
/ sakne -> $ (SEC_CRIT); # Noķer visus papildinājumus / root # / root / mail -> $ (SEC_CONFIG); # / root / Mail -> $ (SEC_CONFIG); # / root / .xsession -kļūdas -> $ (SEC_CONFIG); # / root / .xauth -> $ (SEC_CONFIG); # / root / .tcshrc -> $ (SEC_CONFIG); # / root / .sawfish -> $ (SEC_CONFIG); # / root / .pinerc -> $ (SEC_CONFIG); # / root / .mc -> $ (SEC_CONFIG); # / root / .gnome_private -> $ (SEC_CONFIG); # / root / .gnome -desktop -> $ (SEC_CONFIG); # / root / .gnome -> $ (SEC_CONFIG); # / root / .esd_auth -> $ (SEC_CONFIG); # / root / .elm -> $ (SEC_CONFIG); # / root / .cshrc -> $ (SEC_CONFIG); /akne/.bashrc -> $ (SEC_CONFIG); # / root / .bash_profile -> $ (SEC_CONFIG); # / root / .bash_logout -> $ (SEC_CONFIG); /akne/.bash_history -> $ (SEC_CONFIG); # / root / .amandahosts -> $ (SEC_CONFIG); # / root / .addressbook.lu -> $ (SEC_CONFIG); # / root / .addressbook -> $ (SEC_CONFIG); # / root / .Xresources -> $ (SEC_CONFIG); # / root / .Xauthority -> $ (SEC_CONFIG) -i; # Izmaina Inode numuru pieteikšanās laikā # / root / .ICEauthority -> $ (SEC_CONFIG);
PALIELINĀT
5. solis
Ierīces un kodola informācijas noteikumā mums jāpievieno:
/ dev -> $ (ierīce); / dev / pts -> $ (ierīce); / dev / shm -> $ (ierīce); / dev / hugepages -> $ (ierīce); / dev / mqueue -> $ (ierīce); # / proc -> $ (ierīce); / proc / devices -> $ (Ierīce); / proc / net -> $ (Ierīce); / proc / tty -> $ (Ierīce); / proc / cpuinfo -> $ (Ierīce); / proc / modules -> $ (Ierīce); / proc / mounts -> $ (ierīce); / proc / dma -> $ (Ierīce); / proc / filesystems -> $ (ierīce); / proc / interrupts -> $ (Ierīce); / proc / ioports -> $ (ierīce); / proc / scsi -> $ (Ierīce); / proc / kcore -> $ (ierīce); / proc / self -> $ (Ierīce); / proc / kmsg -> $ (ierīce); / proc / stat -> $ (Ierīce); / proc / loadavg -> $ (Ierīce); / proc / uptime -> $ (ierīce); / proc / locks -> $ (Ierīce); / proc / meminfo -> $ (Ierīce); / proc / misc -> $ (Ierīce);
PALIELINĀT
Kad šīs izmaiņas ir reģistrētas, mēs saglabāsim izmaiņas, izmantojot taustiņus Ctrl + O, un iziesim no tām, izmantojot taustiņus Ctrl + X.
6. darbība
Pēc konfigurācijas faila rediģēšanas mēs ieviesīsim visas izmaiņas, atkārtoti ielādējot šifrēto politikas failu, izmantojot komandu twadmin, kā norādīts tālāk. Tur tiks veiktas trīs verifikācijas darbības.
sudo tripwire -update -policy -secure -mode low /etc/tripwire/twpol.txt
PALIELINĀT
7. solis
Lai atjaunotu Tripwire konfigurācijas failu, mēs izpildīsim šādu rindu:
sudo twadmin -m P /etc/tripwire/twpol.txt
PALIELINĀT
4. Kā lietot Tripwire
1. darbība
Lai sāktu analīzi, izmantojot šo rīku, vispirms izpildīsim šādas darbības:
sudo tripwire -pārbaudiet
PALIELINĀT
2. solis
Tur sāksies analīzes process, kas dos šādu rezultātu:
PALIELINĀT
3. solis
Izmantojot Tripwire, būs iespējams skenēt tikai vienu direktoriju, piemēram, lai skenētu direktoriju / home, mēs izpildīsim sekojošo:
sudo tripwire -pārbaudiet / mājās
PALIELINĀT
4. solis
Apakšā mēs varam redzēt konkrētu informāciju par direktoriju:
PALIELINĀT
5. solis
Mēs esam pievienojuši jaunu failu direktorijā / dev, un, palaižot Tripwire pārbaudi, mēs redzam, ka pārkāpums ir atklāts:
PALIELINĀT
Tur mums ir tā smaguma pakāpe un modificēto failu skaits.
5. Kā iestatīt Tripwire e -pasta paziņojumus
E -pasta paziņojumiem Tripwire iestatījumos piedāvā funkciju “emailto”. Tripwire izmanto Postfix, lai nosūtītu e -pasta paziņojumus, un tas tiek automātiski instalēts rīka instalēšanas procesa laikā.
Pirms e -pasta paziņojumu konfigurēšanas mēs varam pārbaudīt Tripwire paziņojumu, izmantojot šādu komandu:
tripwire --test --email [email protected]
PALIELINĀT
Tagad, lai galīgi konfigurētu pastu, mēs atkal piekļūsim failam twpol.txt un sadaļā Wordpress dati pievienosim šādu informāciju:
# Noteikumi tīmekļa lietotnei (rulename = "Wordpress Rule", smagums = $ (SIG_HI), emailto = [email protected])Kad šis process ir saglabāts, mums ir jāģenerē fails, izpildot šādas rindas:
sudo twadmin -m P /etc/tripwire/twpol.txt sudo tripwire -initVisbeidzot, mums ir iespēja izmantot cron, lai veiktu periodiskus uzdevumus ar Tripwire.
Lai to izdarītu, mēs izpildīsim šādu rindu, ar kuru tiks izveidots jauns kronis:
sudo crontab -e -u sakneTiklīdz mēs piekļūstam failam, beigās pievienosim šādu rindu:
0 0 * * * tripwire-pārbaudiet-e-pasta ziņojumsTādā veidā mēs definējam laikus un pievienojam ziņojumu, kas jānosūta pa pastu. Mēs varam saglabāt izmaiņas, izmantojot taustiņus Ctrl + O, un iziet no redaktora, izmantojot taustiņus Ctrl + X.
Mēs restartējam cron, izpildot šādas darbības:
systemctl restart cronTādā veidā Tripwire ir sabiedrotais, lai atklātu izmaiņas sistēmas failos Linux izplatījumos.
