Инсталирајте и користите Трипвире за откривање измењених датотека у Убунту 17

Када имамо тимове са Линук дистрибуцијама под нашом одговорношћу, важно је имати јасно знање о стотинама или хиљадама алата које имамо на располагању за оптимизацију свих системских параметара, како у погледу безбедности, приступа, контроле или други.

Једна од главних тачака којима морамо управљати данас је сигурност, што чини сложен проблем када морамо управљати мрежним серверима, јер је, иако је могуће конфигурирати заштитне зидове, фаил2бан политике, сигурне услуге и блокирати апликације, тешко знати са сигурношћу ако је сваки напад ефикасно блокиран и то може довести до критичних проблема за кориснике и општег понашања организације.

Размишљајући о овоме, Солветиц данас доноси вриједан услужни програм под називом Трипвире за његову имплементацију у Убунту окружењима, у овом случају Убунту 17.10, и на тај начин има извјесност да под нашом администрацијом има још један сигурносни алат.

Шта је ТрипвиреТрипвире је бесплатан систем за откривање упада (ИДС) отвореног кода.
Трипвире је сигурносни алат који ће нам омогућити да надгледамо и упозоримо на све промене које се изврше у датотекама у оперативном систему.

Трипвире је моћан ИДС који је дизајниран да заштити систем од нежељених промена. Помоћу овог алата биће могуће пратити системске датотеке, укључујући датотеке веб локација, тако да ће, у случају нежељене промене датотеке у било којој од датотека које се надгледају, Трипвире проверити систем и упозорити нас ако смо то учинили. Конфигурисане.

Систем за откривање упада (ХИДС) на хосту функционише тако што прикупља податке о датотечном систему и конфигурацији вашег купљеног рачунара, а затим складишти ове информације за референцу и проверу тренутног стања система. Ако се пронађу промјене између познатог стања и тренутног стања, то може бити знак да је сигурност угрожена и бит ће хитно подузети потребне административне мјере.

Трипвире карактеристикеКоришћењем овог алата имамо неке карактеристике као што су:

• Откривање у стварном времену: Трипвире води рачуна о снимању и ограничавању штете од сумњивих претњи, аномалија и промена.

• Безбедносни интегритет и ИТ апликације

• Интелигенција промена у реалном времену: Трипвире нуди најсвеобухватније решење за интегритет датотека за предузећа било које величине. Трипвире је развијен за откривање и процену промена и давање приоритета безбедносним ризицима са интеграцијама које пружају упозорења о великој и малој количини промена. Трипвире нуди робусно решење за надгледање интегритета датотека (ФИМ), које може да прати детаљан интегритет система: датотеке, директоријуме, регистре, конфигурацијске параметре, ДЛЛ -ове, портове, услуге, протоколе итд.

• Систем за побољшање усклађености и побољшања усклађености - Трипвире има највећу и најопсежнију библиотеку смерница и платформи која подржава више од 800 смерница, покривајући различите верзије и уређаје оперативних система платформи.

• Сигурносна аутоматизација и санација: Способност Трипвире-а за санирање аутоматизује задатке и води нас кроз брзо отклањање неусклађених система и безбедносних погрешних конфигурација. Биће могуће аутоматизовати токове рада кроз интеграције са СИЕМ, ИТ-ГРЦ и системима за управљање променама.

Претходни захтевиДа бисте идеално инсталирали, конфигурисали и користили Трипвире, биће вам потребно следеће:

• Убунту 17.10 Сервер: Убунту 17.10

• Имајте роот привилегије

1. Како ажурирати оперативни систем и инсталирати Трипвире на Убунту 17.10

Корак 1
Први корак који треба предузети је инсталирање Трипвире -а у оперативни систем, овај алат је доступан у званичном Убунту спремишту, па је довољно ажурирати спремиште Убунту 17.10 следећом командом:

 судо апт упдате

ЕНЛАРГЕ

Корак 2
Када се Убунту 17.10 ажурира, настављамо са инсталирањем Трипвире -а извршавањем следеће команде:

 судо апт инсталл -и Трипвире

ЕНЛАРГЕ

Корак 3
Током процеса инсталације, приказаће се следеће питање о Постфик СМТП конфигурацији, изабраћемо опцију Интернет локација и кликнути на Прихвати да наставимо са инсталацијом:

ЕНЛАРГЕ

Корак 4
Када кликнемо на У реду, у следећем прозору за име поштанског система оставићемо задану вредност:

ЕНЛАРГЕ

Корак 5
Поново кликните на ОК и у следећем прозору биће потребно да креирате нови кључ локације за Трипвире, у овом случају изаберемо Да и притиснемо Ентер за наставак:

ЕНЛАРГЕ

Корак 6
Можемо видети да су ови кључеви повезани са безбедносним факторима јер постоји временски оквир у којем нападач може приступити. Када кликнемо на Да, видећемо следећи прозор:

ЕНЛАРГЕ

Корак 7
У овом случају имамо кључне датотеке Трипвире -а, у овом случају одабиремо Да и притиснемо Ентер за наставак. Сада морамо потврдити да ли ћемо поново изградити конфигурацијску датотеку Трипвире пошто су извршене промене у кључним датотекама. Одаберемо Да и притиснемо Ентер да наставимо процес.

ЕНЛАРГЕ

Исти процес који покрећемо за обнову директива:

ЕНЛАРГЕ

Корак 8
Када кликнете на Да, изабрани процес ће се извршити:

ЕНЛАРГЕ

Касније морамо да доделимо кључ сајта јер он не постоји:

ЕНЛАРГЕ

БелешкаМорамо запамтити ову лозинку јер немамо начина да јој приступимо у случају да је заборавимо.

Корак 9
Притисните ОК и морамо потврдити унету лозинку:

ЕНЛАРГЕ

Корак 10
Следећи корак је додељивање и потврђивање лозинке за локални кључ:

ЕНЛАРГЕ

Након што је ова лозинка додељена и тиме смо завршили процес инсталације Трипвире -а у Убунту 17.10:

ЕНЛАРГЕ

2. Како конфигурисати Трипвире смернице у Убунту 17.10

Корак 1
Након што је алат инсталиран на систему, биће потребно конфигурисати Трипвире за наш Убунту 17 систем, сва конфигурација везана за Трипвире налази се у / етц / трипвире директоријуму.

Након инсталације Трипвире -а биће потребно покренути систем базе података следећом командом:

 судо трипвире -инит

Тамо ћемо унети лозинку администратора, а затим локалну лозинку која је конфигурисана током инсталације:

ЕНЛАРГЕ

Корак 2
Ово ће покренути базу података у којој ћемо видети следеће:

ЕНЛАРГЕ

Корак 3
Као крајњи резултат то ће бити следеће. Можемо видети грешку Датотека или директоријум не постоји, па да бисмо решили ову грешку, морамо да уредимо конфигурацијску датотеку Трипвире -а и регенеришемо конфигурацију.

ЕНЛАРГЕ

Корак 4
Пре уређивања конфигурације Трипвире -а морамо да проверимо који директоријум не постоји, нешто што се може урадити помоћу следеће команде:

 судо сх -ц "трипвире --цхецк | греп Назив датотеке> но -дирецтори.ткт"

Касније можемо видети садржај наведене датотеке извршавањем следећег:

 цат но-дирецтори.ткт

ЕНЛАРГЕ

Тамо ћемо видети листу директоријума који недостају.

3. Како да конфигуришете Трипвире директоријуме

Корак 1
Следећи корак је да одете у директоријум за конфигурацију Трипвире -а и уредите конфигурацијску датотеку твпол.ткт тако што ћете покренути следеће:

 цд / етц / трипвире / нано твпол.ткт

Видећемо следеће:

ЕНЛАРГЕ

Корак 2
Тамо ћемо урадити следеће: У правилу Боот Сцриптс, коментарисаћемо линију

 /етц/рц.боот -> $ (СЕЦ_БИН);

ЕНЛАРГЕ

Корак 3
У линији Систем Боот Цхангес променићемо следеће редове:

 # / вар / лоцк -> $ (СЕЦ_ЦОНФИГ); # / вар / рун -> $ (СЕЦ_ЦОНФИГ); # даемон ПИД -ови 

ЕНЛАРГЕ

Корак 4
У реду Роот Цонфиг Филес коментарисаћемо следеће редове:

 / роот -> $ (СЕЦ_ЦРИТ); # Ухвати све додатке у / роот # / роот / маил -> $ (СЕЦ_ЦОНФИГ); # / роот / Маил -> $ (СЕЦ_ЦОНФИГ); # / роот / .ксессион -еррорс -> $ (СЕЦ_ЦОНФИГ); # / роот / .каутх -> $ (СЕЦ_ЦОНФИГ); # / роот / .тцсхрц -> $ (СЕЦ_ЦОНФИГ); # / роот / .савфисх -> $ (СЕЦ_ЦОНФИГ); # / роот / .пинерц -> $ (СЕЦ_ЦОНФИГ); # / роот / .мц -> $ (СЕЦ_ЦОНФИГ); # / роот / .гноме_привате -> $ (СЕЦ_ЦОНФИГ); # / роот / .гноме -десктоп -> $ (СЕЦ_ЦОНФИГ); # / роот / .гноме -> $ (СЕЦ_ЦОНФИГ); # / роот / .есд_аутх -> $ (СЕЦ_ЦОНФИГ); # / роот / .елм -> $ (СЕЦ_ЦОНФИГ); # / роот / .цсхрц -> $ (СЕЦ_ЦОНФИГ); /роот/.басхрц -> $ (СЕЦ_ЦОНФИГ); # / роот / .басх_профиле -> $ (СЕЦ_ЦОНФИГ); # / роот / .басх_логоут -> $ (СЕЦ_ЦОНФИГ); /роот/.басх_хистори -> $ (СЕЦ_ЦОНФИГ); # / роот / .амандахостс -> $ (СЕЦ_ЦОНФИГ); # / роот / .аддрессбоок.лу -> $ (СЕЦ_ЦОНФИГ); # / роот / .аддрессбоок -> $ (СЕЦ_ЦОНФИГ); # / роот / .Ксресоурцес -> $ (СЕЦ_ЦОНФИГ); # / роот / .Ксаутхорити -> $ (СЕЦ_ЦОНФИГ) -и; # Промени Иноде број при пријављивању # / роот / .ИЦЕаутхорити -> $ (СЕЦ_ЦОНФИГ); 

ЕНЛАРГЕ

Корак 5
У правило о подацима о уређају и језгру морамо додати следеће:

 / дев -> $ (Уређај); / дев / птс -> $ (Уређај); / дев / схм -> $ (Уређај); / дев / хугепагес -> $ (Уређај); / дев / мкуеуе -> $ (Уређај); # / проц -> $ (Уређај); / проц / девицес -> $ (Уређај); / проц / нет -> $ (Уређај); / проц / тти -> $ (Уређај); / проц / цпуинфо -> $ (Уређај); / проц / модулес -> $ (Уређај); / проц / моунтс -> $ (Уређај); / проц / дма -> $ (Уређај); / проц / филесистемс -> $ (Уређај); / проц / интерруптс -> $ (Уређај); / проц / иопортс -> $ (Уређај); / проц / сцси -> $ (Уређај); / проц / кцоре -> $ (Уређај); / проц / селф -> $ (Уређај); / проц / кмсг -> $ (Уређај); / проц / стат -> $ (Уређај); / проц / лоадавг -> $ (Уређај); / проц / уптиме -> $ (Уређај); / проц / лоцкс -> $ (Уређај); / проц / меминфо -> $ (Уређај); / проц / мисц -> $ (Уређај); 

ЕНЛАРГЕ

Када се ове промене региструју, сачуваћемо промене помоћу тастера Цтрл + О и изаћи из њих помоћу тастера Цтрл + Кс.

Корак 6
Након уређивања конфигурационе датотеке, све промене ћемо применити поновним учитавањем шифроване датотеке политике помоћу наредбе твадмин на следећи начин. Тамо ће се извршити три корака верификације.

 судо трипвире -упдате -полици -сецуре -моде лов /етц/трипвире/твпол.ткт

ЕНЛАРГЕ

Корак 7
Да бисмо регенерисали датотеку конфигурације Трипвире, извршићемо следећи ред:

 судо твадмин -м П /етц/трипвире/твпол.ткт

ЕНЛАРГЕ

4. Како се користи Трипвире

Корак 1
Да бисмо започели анализу помоћу овог алата, прво ћемо извршити следеће:

 судо трипвире -провери

ЕНЛАРГЕ

Корак 2
Тамо ће започети процес анализе који ће дати сљедеће резултате:

ЕНЛАРГЕ

Корак 3
Са Трипвире -ом ће бити могуће скенирати само један директоријум, на пример, за скенирање / хоме директоријума извршићемо следеће:

 судо трипвире -проверите / кући

ЕНЛАРГЕ

Корак 4
На дну можемо видети посебне детаље директоријума:

ЕНЛАРГЕ

Корак 5
Додали смо нову датотеку у / дев директоријум и када покренемо Трипвире проверу, можемо видети да је кршење откривено:

ЕНЛАРГЕ

Ту имамо ниво озбиљности и број измењених датотека.

5. Како да подесите трипвире обавештења е -поштом

За обавештења путем е -поште Трипвире нуди функцију „емаилто“ у поставкама. Трипвире користи Постфик за слање обавештења путем е -поште, а то се аутоматски инсталира током процеса инсталације алата.

Пре него што конфигуришемо обавештења путем е -поште, можемо да тестирамо Трипвире обавештење помоћу следеће команде:

 трипвире --тест --емаил емаил@домаин.цом

ЕНЛАРГЕ

Сада, да бисмо дефинитивно конфигурисали пошту, поново ћемо приступити датотеци твпол.ткт, а у одељку Подаци Вордпресс додаћемо следеће:

 # Правила за веб-апликацију (руленаме = "Вордпресс правило", озбиљност = $ (СИГ_ХИ), емаилто = емаил@домаин.цом)

Када се овај процес сачува, морамо поново генерисати датотеку извршавањем следећих редова:

 судо твадмин -м П /етц/трипвире/твпол.ткт судо трипвире -инит

Коначно, имамо могућност да користимо црон за обављање периодичних задатака са Трипвире -ом.
Да бисмо то урадили, извршићемо следећу линију са којом ће се креирати нови крон:

 судо цронтаб -е -у корен

Када приступимо датотеци, додаћемо следећи ред на крају:

 0 0 * * * трипвире --цхецк --емаил-репорт

На овај начин дефинишемо време и прилажемо извештај који се шаље пошти. Промене можемо сачувати помоћу тастера Цтрл + О и изаћи из уређивача помоћу тастера Цтрл + Кс.

Поново покрећемо црон извршавањем следећег:

 системцтл поново покрените црон

На овај начин Трипвире је савезник у откривању промена у системским датотекама у Линук дистрибуцијама.