Cómo configurar Tripwire IDS en Debian

Este artículo trata sobre la instalación y configuración de Tripwire en Debian OS. Es un sistema de detección de intrusiones (IDS) basado en host para entornos Linux. La función principal de tripwire IDS es detectar e informar cualquier cambio no autorizado (archivos y directorios) en el sistema Linux. Después de la instalación de tripwire, primero se crea la base de datos, tripwire monitorea y detecta cambios como la adición / creación de nuevos archivos, la modificación del archivo y el usuario que lo cambió, etc. Si los cambios son legítimos, puede aceptar los cambios para actualizar la base de datos tripwire.

Instalacion y configuracion

La instalación de Tripwire en Debian VM se muestra a continuación.

# apt-get install tripwire

Durante la instalación, Tripwire solicita la siguiente configuración.

Creación de claves de sitio

Tripwire requería una frase de contraseña del sitio para proteger el archivo de configuración tw.cfg tripwire y el archivo de política tw.pol tripwire. Tripewire encripta ambos archivos usando la frase de contraseña dada. La frase de contraseña del sitio es imprescindible incluso para un cable trampa de una sola instancia.

Frase de contraseña de clave local

Se necesita una frase de contraseña local para proteger la base de datos de Tripwire y los archivos de informes. Clave local utilizada por Tripwire para evitar modificaciones no autorizadas de la base de datos de línea base de Tripwire.

Ruta de configuración de Tripwire

Configuración de Tripwire guardada en el archivo /etc/tripwire/twcfg.txt. Se utiliza para generar un archivo de configuración cifrado tw.cfg.

Ruta de la política de Tripwire

Tripwire guarda las políticas en el archivo /etc/tripwire/twpol.txt. Se utiliza para la generación de un archivo de política cifrado tw.pol utilizado por tripwire.

La instalación final de Tripwire se muestra en la siguiente instantánea.

Archivo de configuración Tripwire (twcfg.txt)

Los detalles del archivo de configuración Tripwire (twcfg.txt) se proporcionan a continuación. Las rutas del archivo de política cifrado (tw.pol), la clave del sitio (site.key) y la clave local (nombre de host-local.key), etc., se indican a continuación.

RAÍZ = / usr / sbin

POLFILE = / etc / tripwire / tw.pol

DBFILE = / var / lib / tripwire / $ (NOMBRE DEL HOST) .twd

REPORTFILE = / var / lib / tripwire / report / $ (HOSTNAME) – $ (DATE) .twr

SITEKEYFILE = / etc / tripwire / site.key

LOCALKEYFILE = / etc / tripwire / $ (HOSTNAME) -local.key

EDITOR = / usr / bin / editor

LATEPROMPTING = falso

LOOSEDIRECTORYCHECKING = falso

MAILNOVIOLATIONS = verdadero

EMAILREPORTLEVEL = 3

REPORTLEVEL = 3

SYSLOGREPORTING = verdadero

MAILMETHOD = SMTP

SMTPHOST = localhost

SMTPPORT = 25

TEMPDIRECTORY = / tmp

Configuración de la política de Tripwire

Configure la configuración de Tripwire antes de la generación de la base de datos de referencia. Es necesario deshabilitar algunas políticas como / dev, / proc, / root / mail, etc. A continuación se proporciona el archivo de políticas detallado twpol.txt.

@@ sección GLOBAL
TWBIN = / usr / sbin;
TWETC = / etc / tripwire;
TWVAR = / var / lib / tripwire;

#
# Definiciones del sistema de archivos
#
@@ sección FS

#
# Primero, algunas variables para facilitar la configuración
#
SEC_CRIT = $ (Ignorar ninguno) -SHa; # Archivos críticos que no pueden cambiar

SEC_BIN = $ (solo lectura); # Binarios que no deberían cambiar

SEC_CONFIG = $ (Dinámico); # Archivos de configuración que se cambian
# con poca frecuencia pero se accede
# a menudo

SEC_LOG = $ (creciente); # Archivos que crecen, pero que
# nunca debe cambiar de propietario

SEC_INVARIANT = + tpug; # Directorios que nunca deberían
# cambiar el permiso o la propiedad

SIG_LOW = 33; # Archivos no críticos que son de
# impacto de seguridad mínimo

SIG_MED = 66; # Archivos no críticos que son de
# impacto de seguridad significativo

SIG_HI = 100; # Archivos críticos que son
# puntos significativos de
# vulnerabilidad

#
# Binarios Tripwire
#
(
rulename = «Binarios Tripwire»,
severidad = $ (SIG_HI)
)
{
$ (TWBIN) / siggen -> $ (SEC_BIN);
$ (TWBIN) / cable trampa -> $ (SEC_BIN);
$ (TWBIN) / twadmin -> $ (SEC_BIN);
$ (TWBIN) / twprint -> $ (SEC_BIN);
}
{
/ arranque -> $ (SEC_CRIT);
/ lib / modules -> $ (SEC_CRIT);
}

(
rulename = «Scripts de arranque»,
severidad = $ (SIG_HI)
)
{
/etc/init.d -> $ (SEC_BIN);
# / etc / rc.boot -> $ (SEC_BIN);
/etc/rcS.d -> $ (SEC_BIN);
/etc/rc0.d -> $ (SEC_BIN);
/etc/rc1.d -> $ (SEC_BIN);
/etc/rc2.d -> $ (SEC_BIN);
/etc/rc3.d -> $ (SEC_BIN);
/etc/rc4.d -> $ (SEC_BIN);
/etc/rc5.d -> $ (SEC_BIN);
/etc/rc6.d -> $ (SEC_BIN);
}

(
rulename = «Ejecutables del sistema de archivos raíz»,
severidad = $ (SIG_HI)
)
{
/ bin -> $ (SEC_BIN);
/ sbin -> $ (SEC_BIN);
}

#
# Bibliotecas críticas
#
(
rulename = «Bibliotecas del sistema de archivos raíz»,
severidad = $ (SIG_HI)
)
{
/ lib -> $ (SEC_BIN);
}

#
# Programas de inicio de sesión y aumento de privilegios
#
(
rulename = «Control de seguridad»,
severidad = $ (SIG_MED)
)
{
/ etc / passwd -> $ (SEC_CONFIG);
/ etc / shadow -> $ (SEC_CONFIG);
}
{
# / var / lock -> $ (SEC_CONFIG);
# / var / run -> $ (SEC_CONFIG); # PID de demonio
/ var / log -> $ (SEC_CONFIG);
}

# Estos archivos cambian el comportamiento de la cuenta root
(
rulename = «Archivos de configuración raíz»,
severidad = 100
)
{
/ raíz -> $ (SEC_CRIT); # Captura todas las adiciones a / root
# / raíz / correo -> $ (SEC_CONFIG);
# / root / Correo -> $ (SEC_CONFIG);
/root/.xsession-errors -> $ (SEC_CONFIG);
# / root / .xauth -> $ (SEC_CONFIG);
# / root / .tcshrc -> $ (SEC_CONFIG);
# / root / .sawfish -> $ (SEC_CONFIG);
# / root / .pinerc -> $ (SEC_CONFIG);
# / root / .mc -> $ (SEC_CONFIG);
# / root / .gnome_private -> $ (SEC_CONFIG);
# / root / .gnome-desktop -> $ (SEC_CONFIG);
# / root / .gnome -> $ (SEC_CONFIG);
# / root / .esd_auth -> $ (SEC_CONFIG);
# /root/.elm -> $ (SEC_CONFIG);
# / root / .cshrc -> $ (SEC_CONFIG);
# / root / .bashrc -> $ (SEC_CONFIG);
# / root / .bash_profile -> $ (SEC_CONFIG);
# /root/.bash_logout -> $ (SEC_CONFIG);
# / root / .bash_history -> $ (SEC_CONFIG);
# / root / .amandahosts -> $ (SEC_CONFIG);
# / root / .addressbook.lu -> $ (SEC_CONFIG);
# / root / .addressbook -> $ (SEC_CONFIG);
# / root / .Xresources -> $ (SEC_CONFIG);
# / root / .Xauthority -> $ (SEC_CONFIG) -i; # Cambia el número de Inode al iniciar sesión
/root/.ICEauthority -> $ (SEC_CONFIG);
}

#
# Dispositivos críticos
#
(
rulename = «Información de Kernel y dispositivos»,
severidad = $ (SIG_HI),
)
{
# / dev -> $ (Dispositivo);
# / proc -> $ (Dispositivo);
}

Informe Tripwire

tripwire – comprobar El comando verifica el archivo twpol.txt y, en base a este archivo, genera un informe tripwire que se muestra a continuación. Si se trata de un error en el archivo twpol.txt, tripwire no genera el informe.

Informe en forma de texto

root @ VMdebian: / home / labadmin # tripwire –check

Archivo de política de análisis: /etc/tripwire/tw.pol

*** Procesando el sistema de archivos Unix ***

Realización de la verificación de integridad …

Archivo de informe escrito: /var/lib/tripwire/report/VMdebian-20151024-122322.twr

Tripwire (R) de código abierto 2.4.2.2 Informe de verificación de integridad

Informe generado por: root

Informe creado el: Sat Oct 24 12:23:22 2015

Última actualización de la base de datos: Nunca

Resumen del informe:

================================================ =======

Nombre de host: VMdebian

Dirección IP del host: 127.0.1.1

ID de host: Ninguno

Archivo de política utilizado: /etc/tripwire/tw.pol

Archivo de configuración utilizado: /etc/tripwire/tw.cfg

Archivo de base de datos utilizado: /var/lib/tripwire/VMdebian.twd

Línea de comando utilizada: tripwire –check

================================================ =======

Resumen de reglas:

================================================ =======

————————————————– —————————–

Sección: Sistema de archivos Unix

————————————————– —————————–

Nombre de la regla Nivel de gravedad agregado Eliminado Modificado

——— ————– —– ——- ——–

Otros binarios 66 0 0 0

Binarios Tripwire 100 0 0 0

Otras bibliotecas 66 0 0 0

Ejecutables del sistema de archivos raíz 100 0 0 0

Archivos de datos Tripwire 100 0 0 0

Cambios en el arranque del sistema 100 0 0 0

(/ var / log)

Bibliotecas del sistema de archivos raíz 100 0 0 0

(/ lib)

Archivos de arranque del sistema críticos 100 0 0 0

Otros archivos de configuración 66 0 0 0

(/ etc)

Scripts de arranque 100 0 0 0

Control de seguridad 66 0 0 0

Archivos de configuración raíz 100 0 0 0

Directorios invariables 66 0 0 0

Total de objetos escaneados: 25943

Total de infracciones encontradas: 0

========================= Resumen del objeto: ====================== ==========

————————————————– —————————–

# Sección: Sistema de archivos Unix

————————————————– —————————–

Sin violaciones.

=========================== Informe de error: ==================== =================

Sin errores

————————————————– —————————–

*** Fin del informe ***

De código abierto Tripwire 2.4 Partes con copyright 2000 Tripwire, Inc. Tripwire es un

marca comercial de Tripwire, Inc. Este software viene SIN NINGUNA GARANTÍA;

para obtener más información, utilice –version. Este es un software gratuito que puede redistribuirse

o modificado solo bajo ciertas condiciones; consulte COPIA para obtener más detalles.

Reservados todos los derechos.

Comprobación de integridad completa.

Conclusión

En este artículo, aprendimos la instalación y configuración básica de la herramienta IDS de código abierto Tripwire. Primero genera una base de datos de línea base y detecta cualquier cambio (archivo / carpeta) comparándolo con la línea base ya generada. Sin embargo, tripwire no es un IDS de monitoreo en vivo.