Cómo configurar Tripwire IDS en Debian
Este artículo trata sobre la instalación y configuración de Tripwire en Debian OS. Es un sistema de detección de intrusiones (IDS) basado en host para entornos Linux. La función principal de tripwire IDS es detectar e informar cualquier cambio no autorizado (archivos y directorios) en el sistema Linux. Después de la instalación de tripwire, primero se crea la base de datos, tripwire monitorea y detecta cambios como la adición / creación de nuevos archivos, la modificación del archivo y el usuario que lo cambió, etc. Si los cambios son legítimos, puede aceptar los cambios para actualizar la base de datos tripwire.
Instalacion y configuracion
La instalación de Tripwire en Debian VM se muestra a continuación.
# apt-get install tripwire
Durante la instalación, Tripwire solicita la siguiente configuración.
Creación de claves de sitio
Tripwire requería una frase de contraseña del sitio para proteger el archivo de configuración tw.cfg tripwire y el archivo de política tw.pol tripwire. Tripewire encripta ambos archivos usando la frase de contraseña dada. La frase de contraseña del sitio es imprescindible incluso para un cable trampa de una sola instancia.
Frase de contraseña de clave local
Se necesita una frase de contraseña local para proteger la base de datos de Tripwire y los archivos de informes. Clave local utilizada por Tripwire para evitar modificaciones no autorizadas de la base de datos de línea base de Tripwire.
Ruta de configuración de Tripwire
Configuración de Tripwire guardada en el archivo /etc/tripwire/twcfg.txt. Se utiliza para generar un archivo de configuración cifrado tw.cfg.
Ruta de la política de Tripwire
Tripwire guarda las políticas en el archivo /etc/tripwire/twpol.txt. Se utiliza para la generación de un archivo de política cifrado tw.pol utilizado por tripwire.
La instalación final de Tripwire se muestra en la siguiente instantánea.
Archivo de configuración Tripwire (twcfg.txt)
Los detalles del archivo de configuración Tripwire (twcfg.txt) se proporcionan a continuación. Las rutas del archivo de política cifrado (tw.pol), la clave del sitio (site.key) y la clave local (nombre de host-local.key), etc., se indican a continuación.
RAÍZ = / usr / sbin
POLFILE = / etc / tripwire / tw.pol
DBFILE = / var / lib / tripwire / $ (NOMBRE DEL HOST) .twd
REPORTFILE = / var / lib / tripwire / report / $ (HOSTNAME) – $ (DATE) .twr
SITEKEYFILE = / etc / tripwire / site.key
LOCALKEYFILE = / etc / tripwire / $ (HOSTNAME) -local.key
EDITOR = / usr / bin / editor
LATEPROMPTING = falso
LOOSEDIRECTORYCHECKING = falso
MAILNOVIOLATIONS = verdadero
EMAILREPORTLEVEL = 3
REPORTLEVEL = 3
SYSLOGREPORTING = verdadero
MAILMETHOD = SMTP
SMTPHOST = localhost
SMTPPORT = 25
TEMPDIRECTORY = / tmp
Configuración de la política de Tripwire
Configure la configuración de Tripwire antes de la generación de la base de datos de referencia. Es necesario deshabilitar algunas políticas como / dev, / proc, / root / mail, etc. A continuación se proporciona el archivo de políticas detallado twpol.txt.
@@ sección GLOBAL
TWBIN = / usr / sbin;
TWETC = / etc / tripwire;
TWVAR = / var / lib / tripwire;
#
# Definiciones del sistema de archivos
#
@@ sección FS
#
# Primero, algunas variables para facilitar la configuración
#
SEC_CRIT = $ (Ignorar ninguno) -SHa; # Archivos críticos que no pueden cambiar
SEC_BIN = $ (solo lectura); # Binarios que no deberían cambiar
SEC_CONFIG = $ (Dinámico); # Archivos de configuración que se cambian
# con poca frecuencia pero se accede
# a menudo
SEC_LOG = $ (creciente); # Archivos que crecen, pero que
# nunca debe cambiar de propietario
SEC_INVARIANT = + tpug; # Directorios que nunca deberían
# cambiar el permiso o la propiedad
SIG_LOW = 33; # Archivos no críticos que son de
# impacto de seguridad mínimo
SIG_MED = 66; # Archivos no críticos que son de
# impacto de seguridad significativo
SIG_HI = 100; # Archivos críticos que son
# puntos significativos de
# vulnerabilidad
#
# Binarios Tripwire
#
(
rulename = «Binarios Tripwire»,
severidad = $ (SIG_HI)
)
{
$ (TWBIN) / siggen -> $ (SEC_BIN);
$ (TWBIN) / cable trampa -> $ (SEC_BIN);
$ (TWBIN) / twadmin -> $ (SEC_BIN);
$ (TWBIN) / twprint -> $ (SEC_BIN);
}
{
/ arranque -> $ (SEC_CRIT);
/ lib / modules -> $ (SEC_CRIT);
}
(
rulename = «Scripts de arranque»,
severidad = $ (SIG_HI)
)
{
/etc/init.d -> $ (SEC_BIN);
# / etc / rc.boot -> $ (SEC_BIN);
/etc/rcS.d -> $ (SEC_BIN);
/etc/rc0.d -> $ (SEC_BIN);
/etc/rc1.d -> $ (SEC_BIN);
/etc/rc2.d -> $ (SEC_BIN);
/etc/rc3.d -> $ (SEC_BIN);
/etc/rc4.d -> $ (SEC_BIN);
/etc/rc5.d -> $ (SEC_BIN);
/etc/rc6.d -> $ (SEC_BIN);
}
(
rulename = «Ejecutables del sistema de archivos raíz»,
severidad = $ (SIG_HI)
)
{
/ bin -> $ (SEC_BIN);
/ sbin -> $ (SEC_BIN);
}
#
# Bibliotecas críticas
#
(
rulename = «Bibliotecas del sistema de archivos raíz»,
severidad = $ (SIG_HI)
)
{
/ lib -> $ (SEC_BIN);
}
#
# Programas de inicio de sesión y aumento de privilegios
#
(
rulename = «Control de seguridad»,
severidad = $ (SIG_MED)
)
{
/ etc / passwd -> $ (SEC_CONFIG);
/ etc / shadow -> $ (SEC_CONFIG);
}
{
# / var / lock -> $ (SEC_CONFIG);
# / var / run -> $ (SEC_CONFIG); # PID de demonio
/ var / log -> $ (SEC_CONFIG);
}
# Estos archivos cambian el comportamiento de la cuenta root
(
rulename = «Archivos de configuración raíz»,
severidad = 100
)
{
/ raíz -> $ (SEC_CRIT); # Captura todas las adiciones a / root
# / raíz / correo -> $ (SEC_CONFIG);
# / root / Correo -> $ (SEC_CONFIG);
/root/.xsession-errors -> $ (SEC_CONFIG);
# / root / .xauth -> $ (SEC_CONFIG);
# / root / .tcshrc -> $ (SEC_CONFIG);
# / root / .sawfish -> $ (SEC_CONFIG);
# / root / .pinerc -> $ (SEC_CONFIG);
# / root / .mc -> $ (SEC_CONFIG);
# / root / .gnome_private -> $ (SEC_CONFIG);
# / root / .gnome-desktop -> $ (SEC_CONFIG);
# / root / .gnome -> $ (SEC_CONFIG);
# / root / .esd_auth -> $ (SEC_CONFIG);
# /root/.elm -> $ (SEC_CONFIG);
# / root / .cshrc -> $ (SEC_CONFIG);
# / root / .bashrc -> $ (SEC_CONFIG);
# / root / .bash_profile -> $ (SEC_CONFIG);
# /root/.bash_logout -> $ (SEC_CONFIG);
# / root / .bash_history -> $ (SEC_CONFIG);
# / root / .amandahosts -> $ (SEC_CONFIG);
# / root / .addressbook.lu -> $ (SEC_CONFIG);
# / root / .addressbook -> $ (SEC_CONFIG);
# / root / .Xresources -> $ (SEC_CONFIG);
# / root / .Xauthority -> $ (SEC_CONFIG) -i; # Cambia el número de Inode al iniciar sesión
/root/.ICEauthority -> $ (SEC_CONFIG);
}
#
# Dispositivos críticos
#
(
rulename = «Información de Kernel y dispositivos»,
severidad = $ (SIG_HI),
)
{
# / dev -> $ (Dispositivo);
# / proc -> $ (Dispositivo);
}
Informe Tripwire
tripwire – comprobar El comando verifica el archivo twpol.txt y, en base a este archivo, genera un informe tripwire que se muestra a continuación. Si se trata de un error en el archivo twpol.txt, tripwire no genera el informe.
Informe en forma de texto
root @ VMdebian: / home / labadmin # tripwire –check
Archivo de política de análisis: /etc/tripwire/tw.pol
*** Procesando el sistema de archivos Unix ***
Realización de la verificación de integridad …
Archivo de informe escrito: /var/lib/tripwire/report/VMdebian-20151024-122322.twr
Tripwire (R) de código abierto 2.4.2.2 Informe de verificación de integridad
Informe generado por: root
Informe creado el: Sat Oct 24 12:23:22 2015
Última actualización de la base de datos: Nunca
Resumen del informe:
================================================ =======
Nombre de host: VMdebian
Dirección IP del host: 127.0.1.1
ID de host: Ninguno
Archivo de política utilizado: /etc/tripwire/tw.pol
Archivo de configuración utilizado: /etc/tripwire/tw.cfg
Archivo de base de datos utilizado: /var/lib/tripwire/VMdebian.twd
Línea de comando utilizada: tripwire –check
================================================ =======
Resumen de reglas:
================================================ =======
————————————————– —————————–
Sección: Sistema de archivos Unix
————————————————– —————————–
Nombre de la regla Nivel de gravedad agregado Eliminado Modificado
——— ————– —– ——- ——–
Otros binarios 66 0 0 0
Binarios Tripwire 100 0 0 0
Otras bibliotecas 66 0 0 0
Ejecutables del sistema de archivos raíz 100 0 0 0
Archivos de datos Tripwire 100 0 0 0
Cambios en el arranque del sistema 100 0 0 0
(/ var / log)
Bibliotecas del sistema de archivos raíz 100 0 0 0
(/ lib)
Archivos de arranque del sistema críticos 100 0 0 0
Otros archivos de configuración 66 0 0 0
(/ etc)
Scripts de arranque 100 0 0 0
Control de seguridad 66 0 0 0
Archivos de configuración raíz 100 0 0 0
Directorios invariables 66 0 0 0
Total de objetos escaneados: 25943
Total de infracciones encontradas: 0
========================= Resumen del objeto: ====================== ==========
————————————————– —————————–
# Sección: Sistema de archivos Unix
————————————————– —————————–
Sin violaciones.
=========================== Informe de error: ==================== =================
Sin errores
————————————————– —————————–
*** Fin del informe ***
De código abierto Tripwire 2.4 Partes con copyright 2000 Tripwire, Inc. Tripwire es un
marca comercial de Tripwire, Inc. Este software viene SIN NINGUNA GARANTÍA;
para obtener más información, utilice –version. Este es un software gratuito que puede redistribuirse
o modificado solo bajo ciertas condiciones; consulte COPIA para obtener más detalles.
Reservados todos los derechos.
Comprobación de integridad completa.
Conclusión
En este artículo, aprendimos la instalación y configuración básica de la herramienta IDS de código abierto Tripwire. Primero genera una base de datos de línea base y detecta cualquier cambio (archivo / carpeta) comparándolo con la línea base ya generada. Sin embargo, tripwire no es un IDS de monitoreo en vivo.