Monitorimi dhe zbulimi i skedarëve të modifikuar duke përdorur Tripwire në CentOS 7
Tripwire është një Sistem i Zbulimit të Ndërhyrjeve (IDS) falas dhe me burim të hapur. Është një mjet sigurie për monitorimin dhe paralajmërimin e ndryshimeve të skedarëve në sistem. Tripwire është një IDS e fuqishme që mbron sistemin tuaj kundër ndryshimeve të padëshiruara. Mund ta përdorni për të monitoruar skedarët e sistemit tuaj, duke përfshirë skedarët e uebsajtit, kështu që kur ka një ndryshim të padëshiruar skedari, Tripwire do të kontrollojë sistemin tuaj dhe nëse konfigurohet saktë, mund t'ju njoftojë me email.
Në këtë tutorial, ne do t'ju tregojmë se si të monitoroni dhe zbuloni çdo ndryshim në skedarët e sistemit tuaj duke përdorur sistemin Tripwire në CentOS 7. Ne do t'ju tregojmë se si të instaloni dhe konfiguroni Tripwire në CentOS 7, si të gjeneroni skedarë kyç Tripwire, konfiguroni dhe shtoni politikën e Tripwire, kontrolloni sistemin dhe aktivizoni njoftimet me email për konfigurimin e tripwire dhe cron.
Çfarë do të bëjmë ne
- Instaloni Tripwire në CentOS 7
- Konfiguro Politikën Tripwire për CentOS 7
- Verifikimi i konfigurimit të Tripwire
- Shto rregull të ri në Politikën Tripwire
- Konfiguro njoftimin me email të Tripwire dhe Cron
Parakushtet
- Sistemi CentOS 7
- Privilegjet e rrënjës
Hapi 1 - Instaloni Tripwire në CentOS 7
Hapi i parë që duhet të bëjmë është të instalojmë Tripwire në sistem. Si parazgjedhje, tripwire është i disponueshëm në depon e CentOS 7.
Hyni në serverin tuaj dhe përditësoni të gjitha paketat.
ssh
sudo yum update -y
Tani instaloni Tripwire duke përdorur yum.
yum -y install tripwire
Pas instalimit, ne duhet të gjenerojmë skedarë të rinj kyç.
Tripwire punon me 2 skedarë kyç.
- key-site: Përdoret për të siguruar konfigurimin e Tripwire. Pra, çdo ndryshim në konfigurimin e lidhjes së lidhjes nuk do të zbatohet derisa të krijojmë konfigurimin përsëri dhe do të na kërkohet fraza e kalimit të kyçit të faqes për këtë.
- kyç lokal: Përdoret për verifikimin e binarit të telave. Kur duam të përditësojmë bazën e të dhënave të sistemit tripwire, duhet të ekzekutojmë komandën tripwire dhe do të na kërkohet fraza e kalimit për çelësin lokal.
Lejon të gjenerojmë skedarë të rinj të çelësave Tripwire (çelësat e sajtit dhe lokal) duke përdorur komandën e mëposhtme.
sudo tripwire-setup-keyfiles
Komanda do të gjenerojë dy skedarë kyç si-key dhe lokal-kyç, dhe do t'ju kërkohet fraza e kalimit për secilën prej tyre.
Shkruani frazën tuaj të kalimit key-site-site dhe shtypni Enter.
Shkruani frazën tuaj të kalimit çelës lokal dhe shtypni sërish Enter.
Më pas, nënshkruani konfigurimin e lidhjes së lidhjes duke përdorur tastin e faqes.
Shkruani frazën tuaj të kalimit çelës të faqes.
Dhe tani për nënshkrimin për politikën Tripwire, shkruani frazën tuaj të kalimit çelës lokal.
Tripwire është instaluar në CentOS 7 dhe konfigurimi dhe çelësat e rinj të Tripwire gjenden në drejtorinë /etc/tripwire.
Hapi 2 - Konfiguro Politikën Tripwire për CentOS 7
Pas instalimit të tripwire që diskutuam në hapin e parë, duhet të inicializojmë bazën e të dhënave tripwire dhe të sigurohemi që nuk ka gabim.
Inicializoni bazën e të dhënave tripwire duke përdorur komandën tripwire më poshtë.
sudo tripwire --init
Do të pyeteni në lidhje me frazën e kalimit të çelësit lokal dhe ka të ngjarë të merrni mesazhin e gabimit pa një drejtori të tillë si më poshtë.
Ne e marrim gabimin sepse sistemi nuk ka një direktori dhe skedarë që janë përcaktuar tashmë në konfigurimin e tripwire. Për të zgjidhur këtë gabim, duhet të modifikojmë konfigurimin e tripwire twpol.txt dhe të ri-nënshkruajmë konfigurimin e tripwire.
Tani gjeneroni gabimin e regjistrit nga tripwire duke përdorur komandën më poshtë.
sudo sh -c "tripwire --check | grep Filename > no-directory.txt"
Të gjitha drejtoritë dhe skedarët që nuk ekzistojnë në sistemin CentOS 7 janë të listuara në skedarin mo-directory.txt
cat no-directory.txt
Ndryshoni konfigurimin e tripwire twpol.txt duke përdorur skriptin e mëposhtëm bash - ekzekutoni këtë skript në terminalin tuaj.
for f in $(grep "Filename:" no-directory.txt | cut -f2 -d:); do
sed -i "s|\($f\) |#\\1|g" /etc/tripwire/twpol.txt
done
Pas gjithë kësaj, ne duhet të rigjenerojmë dhe të ri-nënshkruajmë konfigurimin e tripwire duke përdorur komandën twadmin siç tregohet më poshtë.
sudo twadmin -m P /etc/tripwire/twpol.txt
Shkruani frazën e kalimit të kyçit të sajtit.
Rinisni përsëri bazën e të dhënave tripwire dhe sigurohuni që të mos keni ndonjë gabim.
sudo tripwire --init
Riinicializoni bazën e të dhënave tripwire pa ndonjë gabim.
Hapi 3 - Verifikimi i konfigurimit të Tripwire dhe Kontrollimi i Sistemit
Për të verifikuar konfigurimin e tripwire, ne mund të ekzekutojmë komandën e kontrollit të sistemit si më poshtë.
sudo tripwire --check
Dhe duhet të merrni një rezultat të ngjashëm me sa vijon.
Pra, kjo do të thotë se nuk ka asnjë gabim dhe asnjë shkelje të sistemit në sistemin tonë.
Tani do të përpiqemi të shtojmë një skedar të ri nën direktorinë rrënjësore të shtëpisë dhe të kontrollojmë përsëri duke përdorur tripwire.
Shkoni te direktoria kryesore kryesore dhe krijoni një skedar të ri hakase-labs.txt.
cd ~/
touch hakase-labs.txt
Tani kontrolloni përsëri sistemin duke përdorur komandën tripwire.
sudo tripwire --check
Dhe rezultatin e shkeljes së re në sistem do ta merrni me ashpërsinë 100 si më poshtë.
Në këtë fazë, Tripwire është instaluar dhe konfiguruar për sistemin CentOS 7.
Hapi 4 - Shtoni rregull të ri në Politikën Tripwire
Në këtë hap, ne do t'ju tregojmë se si të shtoni një rregull të ri në konfigurimin e politikës së lidhjes twpol.txt.
Për të kryer këtë punë, ne duhet të përcaktojmë emrin e rregullit, ashpërsinë, drejtorinë për monitorim dhe llojin e skedarëve. Në këtë hap, ne do të krijojmë një rregull të ri të quajtur Wordpress Data për instalimin tonë të WordPress në drejtorinë /var/www/, me ashpërsi HIGH/SIG_HI, dhe të gjithë skedarët në atë drejtori janë kritike (si pronësia e tyre ashtu edhe kodi burimor nuk mund të të ndryshohet).
Shkoni te drejtoria e konfigurimit të tripwire /etc/tripwire dhe modifikoni skedarin e konfigurimit twpol.txt duke përdorur vim.
cd /etc/tripwire/
vim twpol.txt
Shkoni në fund të rreshtit dhe ngjisni rregullin e mëposhtëm të WordPress atje.
# Ruleset for Wordpress
(
rulename = "Wordpress Data",
severity= $(SIG_HI)
)
{
/var/www -> $(SEC_CRIT);
}
Ruaje dhe dil.
Rigjeneroni dhe ri-nënshkruani konfigurimin duke përdorur komandën twadmin si më poshtë.
sudo twadmin -m P /etc/tripwire/twpol.txt
Shkruani frazën e kalimit të kyçit të sajtit.
Tani duhet të rigjenerojmë sërish bazën e të dhënave tripwire.
sudo tripwire --init
Shkruani frazën e kalimit të çelësit lokal.
Një grup i ri rregullash është shtuar dhe zbatuar në konfigurimin e politikës Tripwire.
Kontrolloni sistemin tuaj duke përdorur komandën tripwire më poshtë.
sudo tripwire --check
Dhe ju duhet të merrni rezultatin duke thënë pa gabime dhe shkelje.
Tani shkoni te drejtoria /var/www/ dhe krijoni një skedar të ri brenda saj.
cd /var/www/
touch hakase-labs.php
Kryeni përsëri kontrollin e sistemit duke përdorur tripwire.
sudo tripwire --check
Dhe do të merrni rezultatin duke thënë shkelje të sistemit në drejtorinë /var/www/ me nivelin e sigurisë High 100.
Një rregull i ri është shtuar dhe zbatuar në konfigurimin e Politikës Tripwire.
Hapi 5 - Konfiguro Njoftimin me Email Tripwire dhe Cron
Në këtë hap, ne do të konfigurojmë njoftimet për politikën specifike të grupit të rregullave të telave dhe do të konfigurojmë një kronjob për kontrollin automatik të sistemit. Ne do të dërgojmë një raport për çdo shkelje të rregullit të të dhënave të Wordpress në adresën e emailit [email .
Për njoftimin me email, tripwire ofron një funksion emailto në konfigurim. Dhe si parazgjedhje, tripwire po përdor Postfix ose Sendmail për të dërguar raportin me email.
Përpara se të konfiguroni njoftimet me email, provoni veçorinë e njoftimit të lidhjes duke përdorur komandën e mëposhtme.
sudo tripwire --test --email
Kontrolloni emailin tuaj dhe duhet të merrni raportin e emailit nga serveri juaj si më poshtë.
Tani shkoni te drejtoria /etc/tripwire dhe modifikoni konfigurimin twpol.txt.
cd /etc/tripwire/
vim twpol.txt
Shtoni një linjë të re emaili brenda rregullit të të dhënave Wordpress siç tregohet më poshtë.
# Ruleset for Wordpress
(
rulename = "Wordpress Data",
severity= $(SIG_HI),
emailto =
)
{
/var/www -> $(SEC_CRIT);
}
Ruaje dhe dil.
Rigjeneroni dhe nënshkruani konfigurimin duke përdorur komandën twadmin.
sudo twadmin -m P /etc/tripwire/twpol.txt
Shkruani frazën e kalimit të kyçit të sajtit.
Dhe rigjeneroni bazën e të dhënave tripwire.
sudo tripwire --init
Shkruani frazën tuaj të kalimit të çelësit lokal të tripwire.
Konfigurimi për njoftimin me email Tripwire ka përfunduar.
Tani bëni disa teste duke krijuar përsëri një skedar të ri në drejtorinë /var/www/.
cd /var/www/
touch hakase.txt
Kontrolloni përsëri sistemin tuaj duke përdorur komandën e mëposhtme.
sudo tripwire --check --email-report
Shënim:
- --email-raport: Dërgo raportin e sistemit në adresën e emailit të përcaktuar në secilin rregull.
Kontrolloni emailin tuaj dhe duhet të merrni rezultatin si më poshtë në emailin tuaj.
Njoftimi me email për Tripwire është aktivizuar dhe zbatuar.
Më pas, aktivizoni kontrollin automatik të sistemit Tripwire duke përdorur konfigurimin e cron. Për këtë, krijoni një skript të ri cron nën përdoruesin rrënjë duke përdorur komandën crontab më poshtë.
sudo crontab -e -u root
Ngjitni konfigurimin e mëposhtëm të cron.
0 0 * * * tripwire --check --email-report
Ruaje dhe dil.
Shënim:
- - Skripti cron do të kryejë kontrollin e sistemit të lidhjes së rrjetit në baza ditore.
Tani rinisni shërbimin crond në CentOS 7.
systemctl restart crond
Tani do të merrni njoftimin e raportit tripwire në emailin tuaj çdo ditë.
Tripwire është instaluar dhe konfiguruar për sistemin CentOS 7.
Referenca
- https://www-uxsup.csx.cam.ac.uk/