Tripwire er et open-source sikkerhet og dataintegritet verktøyet nyttig for overvåking og varsling på spesifikke endringen filen (e) på en rekke systemer. Hvis en fil blir endret eller endret, vil det sende et varsel til deg. Dersom endringene er gyldige, det du kan akseptere endringene ved å oppdatere snubletråd database
Installer Tripwire
På Ubuntu /Debian.
sk @ sk: ~ $ sudo apt-get install snubletråd
Velg internettside og Enter.
Tast inn mail (FQDN) navn.
< p> Nå Tripwire oppgave konfigurasjon starter.
Velg Ja for å skape språk sentrale passordfraser.
Velg ja til å gjenoppbygge Tripwire konfigurasjonsfilen .
Gjenoppbygg Tripwire policyfilen. Velg Ja.
Enter site-tasten passphrase.
Tast site-tasten passphrase.
Enter lokale nøkkelen passphrase.
Tast inn passordet.
Nå Tripwire har blitt installert med lokale og reiser Key passfraser.
På CentOS /RHEL, vil Tripwire ikke funnet på offisielle depotet. Så legg Epel depotet for å installere Tripwire:
[root @ server ~] # rpm ivh http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8. noarch.rpmNå installerer Tripwire:
[root @ server ~] # yum install snubletråd -yOpprett nøkkelfil passordfraser
På samme måte i Ubuntu lokale og språk nøkkelfil passfraser vil opprettes når du installerer Tripwire. Skriv inn følgende kommandoer for å lage nettstedet og lokale nøkkelfil passordfraser for Tripwire:
[root @ server ~] # snubletråd-setup-keyfiles ----------------- ----------------------------- Det Tripwire området og lokale passfraser blir brukt til å signere et utvalg offiles, for eksempel konfigurasjon, politikk, og database files.Passphrases bør være minst 8 tegn i lengde og inneholder bothletters og numbers.See den Tripwire håndboken for mer informasjon .----------------------- ----------------------- Opprette nøkkelfiler ... (Når du velger et passord, må du huske på at gode passfraser typicallyhave store og små bokstaver, tall og skilletegn, og areat minst 8 tegn) Angi nettstedet nøkkelfil frasen:. bekreftet området nøkkelfil passphrase: Generering nøkkel (dette kan ta flere minutter) ... Key generasjon komplett (Når du velger et passord, husk det. gode passfraser typicallyhave store og små bokstaver, tall og skilletegn, og areat minst 8 tegn) Angi lokalt nøkkelfil passphrase. Kontroller den lokale nøkkelfil passphrase: Generering tasten (dette kan ta flere minutter) ... Nøkkelgenerering fullført .---------------------------------------------- Signering konfigurasjonsfil ... Fyll inn din side frasen: Skrev konfigurasjonsfil: /etc/tripwire/tw.cfgA klar tekst versjon av Tripwire konfigurasjonsfilen: /etc/tripwire/twcfg.txthas blitt bevart for inspeksjon. Det anbefales at youmove denne filen til et sikkert sted og /eller kryptere den på plass (ved hjelp atool som GPG, for eksempel) etter at du har undersøkt det .---------------- ------------------------------ Signering politikk fil ... Fyll inn din side frasen: Skrev policy file: /etc /snubletråd /tw.polA klar tekst versjon av Tripwire policyfilen: /etc/tripwire/twpol.txthas blitt bevart for inspeksjon. Dette implementerer en minimalpolicy, kun ment for å teste avgjørende Tripwire funksjonalitet. Youshould redigere policyfilen for å beskrive systemet ditt, og deretter usetwadmin å generere en ny signert kopi av Tripwire policy.Once du har en tilfredsstillTripWire politikk fil, bør du flytte theclear tekst til et sikkert sted og /eller kryptere den i plass (ved hjelp av et verktøy som GPG, for eksempel) .Nå kjøre "snubletråd --init" å gå inn Database initialisering Mode. Thisreads policyfilen, genererer en database basert på innholdet, andthen kryptografisk tegn den resulterende databasen. Alternativer kan beentered på kommandolinjen til å angi hvilke politikk, konfigurasjon, andkey filer som brukes til å opprette databasen. Filnavnet for thedatabase kan spesifiseres i tillegg. Hvis ingen alternativer er spesifisert, blir thedefault verdier fra den gjeldende konfigurasjonsfilen brukesInitialtripwire Database
På Ubuntu /Debian.
sk @ sk: ~ $ sudo snubletråd --initPlease skriv din lokale frasen: Parsing policy file: /etc/tripwire/tw.polGenerating databasen ... *** Processing Unix File System *** ###. Advarsel: File system error ### Name: /var /lib /tripwire/sk.twd### Ingen slik fil eller katalog ### Fortsetter ... ### Advarsel: File system error ### Name:. /etc/rc.boot### Ingen slik fil eller katalog [ ,,,0],...] ### Fortsetter ... Formålet: "/proc /sys /fs /binfmt_misc" er på et annet filsystem ... ignoring.Wrote databasefil: /var/lib/tripwire/sk.twdThe database ble vellykket generertPå CentOS /RHEL.
[root @ server ~] # snubletråd --initPlease skriv din lokale frasen: Parsing policy file: /etc/tripwire/tw.polGenerating databasen .. . *** Processing Unix File System *** ### Advarsel: File system error ### Name:. /dev /kmem ### Ingen slik fil eller katalog ### Fortsetter ... [...] # ## Fortsetter ... Skrev databasefil. /var/lib/tripwire/server.unixmen.com.twdThe databasen ble vellykket generertI begge ovennevnte utganger, kan du legge merke til at en feil som heter "Ingen slik fil eller katalog "og" file system error ". Dette er fordi snubletråd skanner hver filer /mapper som er nevnt i snubletråd konfigurasjonsfilen. Filene /kataloger kanskje ikke eksisterte i systemet. Kommentar linjene som viser denne feilen i snubletråd config fil eller la den være som den er.
For å gjøre det åpne filen /etc/tripwire/twpol.txt og kommentere de fil /kataloglinjer som ikke er til stede . i systemet
På Ubuntu /Debian:
sk @ sk: ~ $ sudo vi /etc/tripwire/twpol.txtPå CentOS /RHEL:
[root @ server ~] # vi /etc/tripwire/twpol.txtSøk og kommentere linjene som viser feil. Lagre og lukke filen.
Testing Tripwire
La oss legge til en fil som heter unixmen å se hvordan Tripwire IDS fungerer.
[root @ server ~] # preg unixmen < p> Nå kjører Tripwire Interactive kommandoen.
[root @ server ~] # snubletråd --check --interactiveNår du kjører denne kommandoen, vil snubletråd samle alle filer /kataloger endringer /modifikasjoner og automatisk åpne resultat i editoren vi
Dette er hvordan utskriften ser ut:.
Open Source Tripwire (R) 2.4.1 Integritet Sjekk ReportReport generert av: rootReport opprettet på: Fredag 21 juni 2 013 14:05:02 ISTDatabase sist oppdatert: Aldri ===================================== ========================================== Rapportsammendrag: ===== ================================================== ======================== Host name: server.unixmen.comHost IP-adresse: Ukjent IPHost ID: NonePolicy filen som brukes: /etc /snubletråd /tw. polConfiguration fil som brukes: /etc/tripwire/tw.cfgDatabase filen som brukes: /var/lib/tripwire/server.unixmen.com.twdCommand linje brukt: Tripwire --check --interactive =========== ================================================== ================== Rule Sammendrag: [...]Scroll ned gjennom filen og det vil vise en melding om at en ny fil kalt unixmen har blitt lagt til:
[...] Ta av "x" fra tilstøtende boksen for å hindre oppdatere databasewith de nye verdiene for object.Added: [x] "/root /unixmen" Forandringer: [x] "/rot"[...]------------------------------------------- ------------------------------------ *** Slutt på rapporten *** Open Source Tripwire 2.4 Deler copyright 2000 Tripwire, Inc. Tripwire en registeredtrademark av Tripwire, Inc. Dette programmet kommer med ABSOLUTT INGEN GARANTI, for detaljer bruke --version. Dette er gratis programvare som kan redistributedor endret bare under visse betingelser; se KOPIERER for details.All rettigheter reservert.Hvis dette er en gyldig, kan du godta endringene ved å oppdatere Tripwire database. Eller bare fjerne x mark og oppdatere databasen. Type: q for å lagre og exit fra filen. Den vil spørre den lokale passphrase, angir du passordet. Nå snubletråd databasen er oppdatert.
Se Tripwire rapportfiler
Normalt Tripwire rapport fil lagres under /var /lib /snubletråd /rapport /katalog med forlengelse .twr. Du kan ikke se denne typen filer med editor. Først må du konvertere filene til txt-fil. For å gjøre det skriver du inn følgende kommando i terminal:
[root @ server ~] # twprint --print-rapporten --twrfile /var/lib/tripwire/report/server.unixmen.com-20130621- 141518.twr > /tmp/tripwire_report.txtNow åpne den med din favoritt redaktør:
[root @ server ~] # vi /tmp/tripwire_report.txtNote: Rapporter er ikke encrypted.Open Kilde Tripwire (R) 2.4 0,1 Integrity Sjekk ReportReport generert av: rootReport opprettet på: Fredag 21 juni 2013 14:15:18 ISTDatabase sist oppdatert: Aldri ====================== ================================================== ====== Rapportsammendrag: ========================================= ===================================== Host name: server.unixmen.comHost IP-adresse: Ukjent IPHost ID: NonePolicy filen som brukes: /etc/tripwire/tw.polConfiguration filen som brukes: /etc/tripwire/tw.cfgDatabase filen som brukes: /var/lib/tripwire/server.unixmen.com.twdCommand linje brukt: Tripwire --check - -interactive ================================================ =============================== Rule Sammendrag: ================ ====================== [...]Hvis du vil vise Tripwire konfigurasjon plassering:
[root @ server ~] # twadmin --print-cfgfileROOT = /usr /sbinPOLFILE = /etc /snubletråd /tw.polDBFILE = /var /lib /snubletråd /$ (vertsnavn) .twdREPORTFILE = /var /lib /snubletråd /rapport /$ (vertsnavn) - $ (DATE) .twrSITEKEYFILE = /etc /snubletråd /site.keyLOCALKEYFILE = /etc /snubletråd /$ (vertsnavn) -local.keyEDITOR = /bin /viLATEPROMPTING = falseLOOSEDIRECTORYCHECKING = falseMAILNOVIOLATIONS = trueEMAILREPORTLEVEL = 3REPORTLEVEL = 3MAILMETHOD = SENDMAILSYSLOGREPORTING = falseMAILPROGRAM = /usr /sbin /sendmail -oi -tHvis du vil vise Regler filplasseringen:
[root @ server ~] # twadmin --print-polfileSchedule Tripwire sjekk Bruke Cron
Åpne /etc /crontab fil og legge linjene som vist nedenfor:
[root @ server ~] # vi /etc /crontab00 12 * * * /usr /sbin /snubletråd --checkKommandoen ovenfor vil utføre Tripwire sjekk daglig på 12'o klokke. Anmeldelser