Cara Memantau dan Mendeteksi File Diubah menggunakan Tripwire IDS pada Ubuntu

(1)

Cara Memantau dan Mendeteksi File Diubah menggunakan Tripwire IDS pada Ubuntu 16.04

Tripwire adalah gratis dan open source Intrusion Detection System (IDS). Ini adalah alat keamanan untuk memantau dan mengingatkan perubahan file pada sistem. Tripwire adalah IDS kuat yang melindungi sistem Anda terhadap perubahan yang tidak diinginkan. Anda dapat memantau file sistem Anda, termasuk file website. Jadi ketika ada perubahan berkas yang tidak diinginkan di salah satu file yang sedang dipantau, tripwire akan memeriksa sistem Anda dan akan mengingatkan Anda (jika setup yang ada di tempat).

Dalam tutorial ini, kami akan menunjukkan cara untuk menginstal dan mengkonfigurasi Tripwire host IDS Berdasarkan Ubuntu 16.04. Kami juga akan menunjukkan cara mengkonfigurasi

tripwire untuk memantau dan mendeteksi file diubah pada sistem.

Apa yang akan kita lakukan 1. Instal tripwire

2. Mengkonfigurasi kebijakan Tripwire untuk sistem Ubuntu 3. Verifikasi konfigurasi tripwire

4. Menambahkan ruleset baru untuk kebijakan Tripwire 5. Pengaturan Tripwire pemberitahuan dan cron

Prasyarat

 Ubuntu 16.04 Server  hak akses root

Langkah 1 - Instal tripwire

Langkah pertama adalah menginstal tripwire ke sistem. Alat ini tersedia dalam resmi repositori Ubuntu - hanya memperbarui repositori Ubuntu Anda dan menginstal Tripwire menggunakan perintah berikut.

sudo update apt

sudo apt install -y tripwire

(2)

Untuk nama sistem email, biarkan default (seperti yang ditunjukkan di bawah ini), dan pilih 'baik' untuk melanjutkan.

Berikutnya, Anda akan akan ditanya tentang konfigurasi tripwire.

(3)

Sekarang untuk 'Lokal-key', pilih 'iya nih'Dan tekan Enter lagi.

Untuk Membangun kembali pilihan Tripwire Konfigurasi, pilih 'iya nih'.

Sama untuk membangun kembali opsi Kebijakan Tripwire - pilih 'iya nih'.

(4)

Ulangi 'situs-key'passphrase.

(5)

Ulangi 'lokal-key'passphrase.

Dan sekarang Tripwire instalasi di Ubuntu 16.04 telah selesai.

Langkah 2 - Mengkonfigurasi kebijakan Tripwire untuk sistem Ubuntu

Pada langkah ini, kita akan mengkonfigurasi Tripwire untuk sistem Ubuntu kita. Semua konfigurasi tripwire terkait terletak di '/ etc / tripwire' direktori.

Setelah instalasi Tripwire, kita perlu menginisialisasi sistem database. Jalankan perintah berikut untuk itu.

sudo tripwire --init

Anda akan ditanya tentang passphrase lokal-kunci Anda - ketik passphrase lokal-kunci dan tekan Enter.

(6)

Untuk mengatasi kesalahan ini, kita perlu mengedit file konfigurasi tripwire dan regenerasi konfigurasi.

Sebelum mengedit konfigurasi tripwire, kita perlu memeriksa direktori tidak ada, sesuatu yang dapat Anda lakukan dengan menggunakan perintah berikut.

sudo sh -c > no-directory.txt

(7)

Berikutnya, pergi ke direktori konfigurasi Tripwire dan mengedit file konfigurasi twpol.txt.

cd / etc / tripwire / vim twpol.txt

Pada aturan 'Boot Scripts', komentar baris seperti di bawah ini.

(

rulename =,

keparahan = $(SIG_HI) )

{

/etc/init.d -> $(SEC_BIN);

# / Etc / rc.boot -> $(SEC_BIN); /etc/rcS.d -> $(SEC_BIN);

(8)

(

rulename =,

{

# / Var / lock -> $(SEC_CONFIG);

# / Var / run -> $(SEC_CONFIG); # PID daemon / Var / log -> $(SEC_CONFIG);

Pada aturan 'Akar config file', membuat perubahan berikut.

(

rulename =, keparahan = 100 )

{

/ Root -> $(SEC_CRIT); # Menangkap semua penambahan / root # / Root / mail -> $(SEC_CONFIG);

# / Root / Mail -> $(SEC_CONFIG);

# / Root / .xsession-kesalahan -> $(SEC_CONFIG); # / Root / .xauth -> $(SEC_CONFIG);

# / Root / .tcshrc -> $(SEC_CONFIG); # / Root / .sawfish -> $(SEC_CONFIG); # / Root / .pinerc -> $(SEC_CONFIG); # / Root / .mc -> $(SEC_CONFIG);

# / Root / .gnome_private -> $(SEC_CONFIG); # / Root / .gnome-desktop -> $(SEC_CONFIG); # / Root / .gnome -> $(SEC_CONFIG);

# / Root / .esd_auth -> $(SEC_CONFIG); # / Root / .elm -> $(SEC_CONFIG);

# / Root / cshrc -> $(SEC_CONFIG); /root/.bashrc -> $(SEC_CONFIG);

# / Root / .bash_profile -> $(SEC_CONFIG); # / Root / .bash_logout -> $(SEC_CONFIG); /root/.bash_history -> $(SEC_CONFIG); # / Root / .amandahosts -> $(SEC_CONFIG); # / Root / .addressbook.lu -> $(SEC_CONFIG); # / Root / .addressbook -> $(SEC_CONFIG); # / Root / .Xresources -> $(SEC_CONFIG);

# / Root / .Xauthority -> $(SEC_CONFIG) -i; # Mengubah nomor inode pada login

(9)

Di 'Device dan Kernel informasi' aturan, mengubah baris seperti di bawah ini.

(

rulename = & informasi kernel, keparahan = $(SIG_HI),

)

/ Proc / perangkat -> $(Device); / Proc / net -> $(Device);

/ Proc / filesystems -> $(Device); / Proc / interrupts -> $(Device); / Proc / ioports -> $(Device);

Itu dia. Menyimpan perubahan dan keluar dari editor.

Setelah mengedit file konfigurasi, mengimplementasikan semua perubahan dengan menciptakan kebijakan file terenkripsi menggunakan perintah twadmin seperti yang ditunjukkan di bawah ini. sudo twadmin -m P /etc/tripwire/twpol.txt

Ketik 'situs-key' passphrase dan tekan Enter.

Dengan ini, kebijakan Tripwire baru akan dibuat. Sekarang, reinitialize database Tripwire. sudo tripwire --init

(10)

Kebijakan Tripwire telah dikonfigurasi untuk sistem Ubuntu

Langkah 3 - Periksa integritas file system

Tripwire telah diinstal, dan kebijakan tripwire telah diperbarui dan reinitialized. Pada langkah ini, kami akan memeriksa sistem menggunakan Tripwire secara manual.

Verifikasi semua file sistem menggunakan perintah berikut. sudo tripwire --check

(11)

Berikutnya, menambahkan file baru di direktori root dan kemudian memeriksa sistem menggunakan Tripwire lagi.

cd ~ /

menyentuh Hakase-labs.txt sudo tripwire --check

Dan di output, penambahan file dan modifikasi direktori dimana Resides file harus ditampilkan sebagai pelanggaran.

Lihat hasil di bawah ini.

Langkah 4 - Tambahkan aturan baru untuk tripwire

Pada langkah ini, kita ingin menambahkan Aturan Tripwire baru untuk konfigurasi. Untuk membuat kebijakan tripwire baru, kita perlu mendefinisikan nama aturan, kerasnya, dan jenis file. Pada langkah ini, kita akan mencoba untuk menambahkan aturan baru bernama 'Wordpress Data' dengan keparahan 'High / SIG_HI' dan semua file di direktori yang kritis tidak dapat diubah.

Pergi ke direktori konfigurasi tripwire dan mengedit file konfigurasi 'twpol.txt'. cd / etc / tripwire /

vim twpol.txt

Pergi ke akhir baris dan paste sampel aturan Tripwire bawah. # Ruleset untuk WordPress

(12)

rulename =,

{

/var / www -> $(SEC_CRIT); }

Simpan dan keluar.

Sekarang menumbuhkan tripwire file konfigurasi. sudo twadmin -m P /etc/tripwire/twpol.txt

Ketik passphrase situs-kunci Anda.

Dan menginisialisasi ulang database Tripwire. sudo tripwire --init

Ketik passphrase Anda lokal-key.

Jika semua konfigurasi yang lengkap, kita dapat mencoba untuk membuat file baru atau memodifikasi file di bawah '/ var / www /' direktori.

Pergi ke direktori '/ var / www /', membuat file baru dan memodifikasi file indeks. cd / var / www /

menyentuh Hakase-labs.txt

gema<h1> Hakase-laboratorium Tutorial</h1>" > html / index.nginx-debian.html Periksa sistem dengan menggunakan perintah tripwire bawah.

sudo tripwire --check

(13)

Sebuah Aturan Tripwire baru telah ditambahkan.

Langkah 5 - Pengaturan Tripwire pemberitahuan dan cron

Pada langkah ini, kita akan mengkonfigurasi pemberitahuan untuk kebijakan ruleset Tripwire tertentu, dan mengkonfigurasi cron untuk memeriksa sistem otomatis.

Untuk pemberitahuan email, Tripwire menyediakan fungsi 'emailto' di konfigurasi. Tripwire menggunakan Postfix untuk notifikasi email, dan itu otomatis terpasang selama instalasi alat ini. Sebelum mengkonfigurasi pemberitahuan email, menguji Tripwire pemberitahuan menggunakan perintah di bawah ini.

tripwire --test --email [email protected]

(14)

Sekarang pergi ke '/ etc / tripwire' direktori dan mengedit konfigurasi 'twpol.txt'.

cd / etc / tripwire / vim twpol.txt

Tambahkan baris baru di dalam aturan 'data Wordpress', seperti yang ditunjukkan di bawah ini.

# Aturan untuk Web-aplikasi (

rulename =,

keparahan = $(SIG_HI),

emailto = [email protected] )

Itu dia. Simpan dan keluar.

Berikutnya, regenerasi konfigurasi dan menginisialisasi ulang database Tripwire. sudo twadmin -m P /etc/tripwire/twpol.txt

sudo tripwire --init

Ketik passphrase situs-kunci untuk regenerasi konfigurasi, dan passphrase lokal-kunci untuk reinitialize.

Sekarang, membuat file baru lagi di direktori '/ var / www /', dan memeriksa sistem manual menggunakan Tripwire dan mengirim laporan melalui email.

(15)

Dan Anda harus mendapatkan laporan email di kotak masuk Anda.

Bergerak, untuk konfigurasi cron, kita hanya perlu mendefinisikan waktu di mana perintah tripwire akan berjalan. Kita akan mengkonfigurasi Tripwire sistem pengecekan setiap hari. Buat cron baru menggunakan perintah crontab bawah.

sudo crontab -e u root

Dan konfigurasi pasta cron bawah. 0 0 * * * tripwire --check --email-laporan

(16)

Sekarang sistem akan melakukan pengecekan setiap hari dan mengirimkan pemberitahuan untuk 'Wordpress' pelanggaran aturan untuk email Anda.

The Tripwire IDS telah diinstal dan dikonfigurasi pada Ubuntu 16.04, dan semua file dan direktori pada sistem telah dipantau. Anda dapat menambahkan ruleset Anda sendiri dengan mengikuti petunjuk pada langkah 4.

Referensi

 https://github.com/Tripwire/tripwire-open-source