GNU/Linux >> Belajar Linux >  >> Debian

Cara Menginstal dan Mengonfigurasi Tripwire IDS di Debian 10

Tripwire adalah Sistem Deteksi Intrusi Linux sumber terbuka dan gratis. Ini digunakan untuk mendeteksi dan melaporkan setiap perubahan tidak sah dalam file dan direktori di Linux. Ini juga akan mengirimi Anda peringatan di email tentang perubahan file/direktori. Tripwire bekerja dengan membandingkan status sistem file saat ini dengan status dasar yang diketahui dan melaporkan jika mendeteksi perubahan apa pun.

Dalam posting ini, kami akan menunjukkan cara menginstal dan mengkonfigurasi Tripwire di Debian 10.

Prasyarat

  • Server yang menjalankan Debian 10.
  • Kata sandi root dikonfigurasi di server.

Memulai

Pertama, perbarui paket sistem ke versi yang diperbarui dengan menjalankan perintah berikut:

apt-get update -y

Setelah semua paket diperbarui, Anda dapat melanjutkan ke langkah berikutnya.

Instal Tripwire

Secara default, paket Tripwire tersedia di repositori default Debian 10. Anda dapat menginstalnya menggunakan perintah berikut:

apt-get install tripwire -y

Selama instalasi, Anda akan diminta untuk memilih konfigurasi email seperti yang ditunjukkan di bawah ini:

Pilih opsi yang Anda inginkan dan tekan ENTER . Anda akan diminta untuk mengatur nama email sistem seperti yang ditunjukkan di bawah ini:

Berikan nama email sistem Anda dan tekan ENTER . Anda akan diminta untuk membuat frasa sandi kunci situs Anda seperti yang ditunjukkan di bawah ini:

Pilih Ya dan tekan ENTER . Anda akan diminta untuk membangun kembali file konfigurasi Tripwire seperti yang ditunjukkan di bawah ini:

Pilih Ya dan tekan ENTER . Anda akan diminta untuk membuat ulang file kebijakan Tripwire Anda seperti yang ditunjukkan di bawah ini:

Pilih Ya dan tekan ENTER . Anda akan diminta untuk memberikan frasa sandi kunci situs Anda seperti yang ditunjukkan di bawah ini:

Berikan sandi Anda dan tekan ENTER . Anda akan diminta untuk menyetel frasa sandi kunci lokal Anda seperti yang ditunjukkan di bawah ini:

Berikan sandi Anda dan tekan ENTER . Setelah Tripwire diinstal, Anda akan melihat layar berikut:

Klik tombol Oke tombol untuk menyelesaikan penginstalan.

Konfigurasikan Tripwire

Selanjutnya, Anda perlu membuat kunci Tripwire dan menginisialisasi database. Pertama, ubah direktori ke Tripwire dan daftarkan semua kunci dan file dengan perintah berikut:

cd /etc/tripwire/
ls

Anda akan melihat output berikut:

debian10-local.key site.key tw.cfg twcfg.txt tw.pol twpol.txt

Selanjutnya, edit file konfigurasi Tripwire dan atur REPORTLEVEL ke 4

nano /etc/tripwire/twcfg.txt

Ubah baris berikut:

REPORTLEVEL =4

Simpan dan tutup file setelah Anda selesai.

Selanjutnya, buat file konfigurasi baru dengan perintah berikut:

twadmin -m F -c tw.cfg -S site.key twcfg.txt

Anda akan diminta untuk memberikan kata sandi situs Anda seperti yang ditunjukkan di bawah ini:

Silakan masukkan frasa sandi situs Anda:Tulis file konfigurasi:/etc/tripwire/tw.cfg

Selanjutnya, buat file twpolmake.pl untuk mengoptimalkan kebijakan Tripwire.

nano twpolmake.pl

Tambahkan baris berikut:

#!/usr/bin/perl$POLFILE=$ARGV[0];open(POL,"$POLFILE") or die "kesalahan terbuka:$POLFILE";my($myhost,$thost);my( $tajam,$tpath,$cond);saya($INRULE) =0;sementara () { chomp; if (($host) =/^HOSTNAME\s*=\s*(.*)\s*;/) { $myhost =`hostname`; chomp($hostsaya); if ($host ne $myhost) { $_="HOSTNAME=\"$myhost\";"; } } elsif ( /^{/ ) { $INRULE=1; } elsif ( /^}/ ) { $INRULE=0; } elsif ($INRULE ==1 dan ($sharp,$tpath,$cond) =/^(\s*\#?\s*)(\/\S+)\b(\s+->\s+.+ )$/) { $ret =($tajam =~ s/\#//g); if ($tpath eq '/sbin/e2fsadm' ) { $cond =~ s/;\s+(tune2fs.*)$/; \\#$1/; } if (! -s $tpath) { $_ ="$sharp#$tpath$cond" if ($ret ==0); } else { $_ ="$sharp$tpath$cond"; } } print "$_\n";}tutup(POL);

Simpan dan tutup file kemudian buat file konfigurasi dengan perintah berikut:

perl twpolmake.pl twpol.txt> twpol.txt.new 
twadmin -m P -c tw.cfg -p tw.pol -S site.key twpol.txt.new

Anda akan melihat output berikut:

Silakan masukkan frasa sandi situs Anda:Tulis file kebijakan:/etc/tripwire/tw.pol

Selanjutnya, buat database Tripwire dengan perintah berikut:

tripwire -m i -s -c tw.cfg

Anda akan melihat output berikut:

Silakan masukkan frasa sandi lokal Anda:### Peringatan:Kesalahan sistem file.### Nama file:/var/lib/tripwire/debian10.twd### Tidak ada file atau direktori seperti itu### Melanjutkan... 

 Anda juga dapat menampilkan database yang dihasilkan dengan perintah berikut:
 
twprint -m d -d /var/lib/tripwire/debian10.twd
 

 Anda akan melihat output berikut:
 
Open Source Tripwire(R) 2.4.3.7 DatabaseDatabase dihasilkan oleh:rootDatabase dibuat pada:Sun 09 Mei 2021 08:39:18 UTCDatabase terakhir diperbarui pada:Never===============================================================================Ringkasan Basis Data:==============================================================================Nama host:debian10Host alamat IP:45.58.38.142Host ID:NonePolicy file yang digunakan:/etc/tripwire/tw.polFile konfigurasi yang digunakan:/etc/tripwire/tw.cfgDatabase file yang digunakan:/var/lib/tripwire/debian10.twdBaris perintah yang digunakan:tripwire -m i -s -c tw.cfg ==============================================================================Ringkasan Objek:===============================================================================------------------------------ --------------------------------------------------# Bagian:Sistem File Unix -------------------------------------------------- -----------------------------------------
 

 Jika Anda ingin memperbarui database Tripwire, jalankan perintah berikut:
 
tripwire --update --accept-all
 

 Anda akan mendapatkan output berikut:
 
### Kesalahan:File tidak dapat dibuka.### Nama file:/var/lib/tripwire/report/debian10-20210509-084141.twr### Tidak ada file atau direktori seperti itu### Keluar... 
 

 Sekarang, uji Tripwire menggunakan perintah berikut:
 
tripwire -m c -s -c /etc/tripwire/tw.cfg
 

 Anda akan melihat output berikut:
 
Open Source Tripwire(R) 2.4.3.7 Laporan Pemeriksaan IntegritasLaporan dibuat oleh:rootReport dibuat pada:Sun 09 Mei 2021 08:42:15 UTCDatabase terakhir diperbarui pada:Never===============================================================================Ringkasan Laporan:===============================================================================Tuan rumah nama:debian10Host Alamat IP:45.58.38.142Host ID:NonePolicy file yang digunakan:/etc/tripwire/tw.polFile konfigurasi yang digunakan:/etc/tripwire/tw.cfgFile database yang digunakan:/var/lib/tripwire/debian10.twdBaris perintah yang digunakan :tripwire -m c -s -c /etc/tripwire/tw.cfg =============================================================================Ringkasan Aturan:===============================================================================------------------------ -------------------------------------------------- ------ Bagian:Sistem File Unix--------------- -------------------------------------------------- -------------- Nama Aturan Tingkat Keparahan Ditambahkan Dihapus Dimodifikasi --------- -------------- ----- - ------ -------- Binari lainnya 66 0 0 0 Binari Tripwire 100 0 0 0 Pustaka lainnya 66 0 0 0 Sistem file root yang dapat dieksekusi 100 0 0 0 * File Data Tripwire 100 1 0 0 Sistem perubahan boot 100 0 0 0 Pustaka sistem file root 100 0 0 0 (/lib) File boot sistem kritis 100 0 0 0 * File konfigurasi lainnya 66 0 0 1 (/etc) Skrip Boot 100 0 0 0 Kontrol Keamanan 66 0 0 0 File konfigurasi root 100 0 0 0 Informasi perangkat &Kernel 100 0 0 0 (/ dev) Direktori Invarian 66 0 0 0 Total objek yang dipindai:27975Total pelanggaran ditemukan:2===============================================================================Ringkasan Objek:=================================================================================------------------------------------------------------------- ---------------------------------# Bagian:Sistem File Unix----------- -------------------------------------------------- -------------------------------------------------- -----------------------------------------------Nama aturan:File Data Tripwire (/var/lib/tripwire/debian10.twd)Tingkat Keparahan:100------------------------------- ------------------------------------------ -------sebelum> 

 Secara default, file laporan Tripwire berada di /var/lib/tripwire/report/:
 
ls /var/lib/tripwire/report/
 

 Keluaran:
 
debian10-20210509-084215.twr
 

 Anda dapat memeriksa laporan ini menggunakan perintah berikut:
 
twprint -m r -t 4 -r /var/lib/tripwire/report/debian10-20210509-084215.twr
 
Verifikasi IDS Tripwire
 

 Pada titik ini, Tripwire diinstal dan dikonfigurasi. Sekarang, saatnya untuk memeriksa apakah Tripwire berfungsi atau tidak.
 

 Pertama, buat beberapa file di sistem Anda dengan perintah berikut:
 
sentuh file1 file2 file3 file4 file5
 

 Sekarang, jalankan Tripwire untuk memeriksa apakah Tripwire mendeteksi file-file ini atau tidak:
 
tripwire --check --interactive
 

 Anda akan melihat file yang baru dibuat pada output berikut:
 
Open Source Tripwire(R) 2.4.3.7 Laporan Pemeriksaan IntegritasLaporan dibuat oleh:rootReport dibuat pada:Sun 09 Mei 2021 08:46:36 UTCDatabase terakhir diperbarui pada:Never===============================================================================Ringkasan Laporan:===============================================================================Tuan rumah nama:debian10Host Alamat IP:45.58.38.142Host ID:NonePolicy file yang digunakan:/etc/tripwire/tw.polFile konfigurasi yang digunakan:/etc/tripwire/tw.cfgFile database yang digunakan:/var/lib/tripwire/debian10.twdBaris perintah yang digunakan :tripwire --check --interactive=============================================================================------------- -------------------------------------------------- ----------------Nama Aturan:File konfigurasi lainnya (/etc)Tingkat Keparahan:66-------------------- -------------------------------------------------- ---------Menghapus "x" dari kotak yang berdekatan untuk mencegah pembaruan basis data dengan nilai baru untuk objek ini. Dimodifikasi:[x] "/etc/tripwire"------------------- -------------------------------------------------- ----------Nama Aturan:File konfigurasi root (/root)Tingkat Keparahan:100-------------------------- -------------------------------------------------- ---Hapus "x" dari kotak yang berdekatan untuk mencegah pembaruan database dengan nilai baru untuk objek ini. Ditambahkan:[x] "/root/file4"[x] "/root/file3"[x] "/root /fil1"[x] "/root/file2"[x] "/root/file5"Dimodifikasi:[x] "/root"===============================================================================
 

 Anda juga dapat memeriksa laporan yang dihasilkan nanti menggunakan perintah berikut:
 
twprint --print-report --twrfile /var/lib/tripwire/report/debian10-20210509-084636.twr
 
Otomatiskan Laporan Tripwire
 

 Anda juga dapat mengatur tugas cron untuk menjalankan Tripwire pada waktu tertentu. Anda dapat melakukannya dengan perintah berikut:
 
crontab -e
 

 Tambahkan baris berikut:
 
00 06 * * * /usr/sbin/tripwire --check
 

 Simpan dan tutup file setelah Anda selesai.
 

 File di atas akan menjalankan Tripwire setiap pagi pada pukul 06:00. Anda dapat memeriksa laporan yang dihasilkan di /var/lib/tripwire/report/ .
 
Kesimpulan
 

 Selamat! Anda telah berhasil menginstal dan mengkonfigurasi Tripwire IDS pada Debian 10. Saya harap ini akan membantu Anda untuk memeriksa file atau direktori mana yang dimodifikasi pada sistem Anda.
Debian

  1. Cara Menginstal dan Mengkonfigurasi Mariadb 10 di Debian 11

  2. Cara menginstal dan mengkonfigurasi MongoDB 5 di Debian 11

  3. Cara menginstal dan mengkonfigurasi Redis 6 di Debian 11

  1. Cara Menginstal dan Mengkonfigurasi VNC di Debian 9

  2. Cara Menginstal dan Mengonfigurasi Redis 6.0 di Debian 11

  3. Cara menginstal dan mengkonfigurasi buruh pelabuhan di Debian 11

  1. Cara Menginstal dan Mengonfigurasi Redis di Debian 9

  2. Cara Menginstal dan Mengonfigurasi Nagios di Debian 9

  3. Cara Menginstal dan Mengkonfigurasi Redmine di Debian 9