Cách cài đặt và cấu hình Tripwire IDS trên Debian 10

[theanh]

Tripwire là Hệ thống phát hiện xâm nhập Linux mã nguồn mở và miễn phí. Nó được sử dụng để phát hiện và báo cáo bất kỳ thay đổi trái phép nào trong các tệp và thư mục trên Linux. Nó cũng sẽ gửi cho bạn cảnh báo qua email về các thay đổi tệp/thư mục. Tripwire hoạt động bằng cách so sánh trạng thái hệ thống tệp hiện tại với trạng thái cơ sở đã biết và báo cáo nếu phát hiện bất kỳ thay đổi nào.

Trong bài đăng này, chúng tôi sẽ chỉ cho bạn cách cài đặt và cấu hình Tripwire trên Debian 10.

Điều kiện tiên quyết​

• Máy chủ chạy Debian 10.
• Mật khẩu gốc được cấu hình trên máy chủ.

Bắt đầu​

Trước tiên, hãy cập nhật các gói hệ thống lên phiên bản đã cập nhật bằng cách chạy lệnh sau:

apt-get update -y

Sau khi tất cả các gói được cập nhật, bạn có thể tiến hành bước tiếp theo.

Cài đặt Tripwire​

Theo mặc định, gói Tripwire có sẵn trong kho lưu trữ mặc định của Debian 10. Bạn có thể cài đặt bằng lệnh sau:

apt-get install tripwire -y

Trong quá trình cài đặt, bạn sẽ được yêu cầu chọn cấu hình email như hiển thị bên dưới:



Chọn tùy chọn mong muốn và nhấn ENTER. Bạn sẽ được yêu cầu thiết lập tên email hệ thống như hiển thị bên dưới:



Cung cấp tên email hệ thống của bạn và nhấn ENTER. Bạn sẽ được yêu cầu tạo cụm mật khẩu khóa trang web của mình như hiển thị bên dưới:



Chọn Có và nhấn ENTER. Bạn sẽ được yêu cầu xây dựng lại tệp cấu hình Tripwire như được hiển thị bên dưới:



Chọn Có và nhấn ENTER. Bạn sẽ được yêu cầu xây dựng lại tệp chính sách Tripwire của mình như được hiển thị bên dưới:



Chọn Có và nhấn ENTER. Bạn sẽ được yêu cầu cung cấp cụm mật khẩu khóa trang web của mình như được hiển thị bên dưới:



Cung cấp mật khẩu của bạn và nhấn ENTER. Bạn sẽ được yêu cầu đặt cụm mật khẩu khóa cục bộ của mình như được hiển thị bên dưới:



Cung cấp mật khẩu của bạn và nhấn ENTER. Sau khi Tripwire đã được cài đặt, bạn sẽ thấy màn hình sau:



Nhấp vào nút Ok để hoàn tất quá trình cài đặt.

Cấu hình Tripwire​

Tiếp theo, bạn sẽ cần tạo khóa Tripwire và khởi tạo cơ sở dữ liệu. Trước tiên, hãy thay đổi thư mục thành Tripwire và liệt kê tất cả các khóa và tệp bằng lệnh sau:

cd /etc/tripwire/
ls

Bạn sẽ thấy đầu ra sau:

debian10-local.key site.key tw.cfg twcfg.txt tw.pol twpol.txt

Tiếp theo, chỉnh sửa tệp cấu hình Tripwire và đặt REPORTLEVEL thành 4

nano /etc/tripwire/twcfg.txt

Thay đổi dòng sau:

REPORTLEVEL =4

Lưu và đóng tệp khi bạn hoàn tất.

Tiếp theo, tạo tệp cấu hình mới bằng lệnh sau:

twadmin -m F -c tw.cfg -S site.key twcfg.txt

Bạn sẽ được yêu cầu cung cấp mật khẩu trang web của mình như hiển thị bên dưới:

Vui lòng nhập mật khẩu trang web của bạn:Đã viết tệp cấu hình: /etc/tripwire/tw.cfg

Tiếp theo, tạo tệp twpolmake.pl để tối ưu hóa chính sách Tripwire.

nano twpolmake.pl

Thêm các dòng sau:

#!/usr/bin/perl$POLFILE=$ARGV[0];open(POL,"$POLFILE") or die "open error: $POLFILE" ;my($myhost,$thost) ;my($sharp,$tpath,$cond) ;my($INRULE) = 0 ;while (
) { chomp; if (($thost) = /^HOSTNAME\s*=\s*(.*)\s*;/) { $myhost = `hostname` ; chomp($myhost) ; nếu ($thost ne $myhost) { $_="HOSTNAME=\"$myhost\";" ; } } nếu không ( /^{/ ) { $INRULE=1 ; } nếu không ( /^}/ ) { $INRULE=0 ; } nếu không ($INRULE == 1 và ($sharp,$tpath,$cond) = /^(\s*\#?\s*)(\/\S+)\b(\s+->\s+.+)$/) { $ret = ($sharp =~ s/\#//g) ; nếu ($tpath eq '/sbin/e2fsadm' ) { $cond =~ s/;\s+(tune2fs.*)$/; \#$1/ ; } nếu (! -s $tpath) { $_ = "$sharp#$tpath$cond" nếu ($ret == 0) ; } else { $_ = "$sharp$tpath$cond" ; } } print "$_\n" ;}close(POL) ;

Lưu và đóng tệp sau đó tạo tệp cấu hình bằng lệnh sau:

perl twpolmake.pl twpol.txt > twpol.txt.new 
twadmin -m P -c tw.cfg -p tw.pol -S site.key twpol.txt.new

Bạn sẽ thấy kết quả sau:

Vui lòng nhập mật khẩu trang web của bạn:Đã viết tệp chính sách: /etc/tripwire/tw.pol

Tiếp theo, tạo cơ sở dữ liệu Tripwire bằng lệnh sau:

tripwire -m i -s -c tw.cfg

Bạn sẽ thấy kết quả sau:

Vui lòng nhập mật khẩu cục bộ của bạn:### Cảnh báo: Lỗi hệ thống tệp.### Tên tệp: /var/lib/tripwire/debian10.twd### Không có tệp hoặc thư mục nào như vậy### Đang tiếp tục...

Bạn cũng có thể hiển thị cơ sở dữ liệu đã tạo bằng lệnh sau:

twprint -m d -d /var/lib/tripwire/debian10.twd

Bạn sẽ thấy kết quả sau:

Cơ sở dữ liệu Tripwire(R) 2.4.3.7 mã nguồn mởCơ sở dữ liệu được tạo bởi: rootCơ sở dữ liệu được tạo vào lúc: CN 09 tháng 5 năm 2021 08:39:18 AM UTCCơ sở dữ liệu được cập nhật lần cuối vào lúc: Không bao giờ=====================================================================================Cơ sở dữ liệu Tóm tắt:=================================================================================Tên máy chủ: debian10Địa chỉ IP máy chủ: 45.58.38.142ID máy chủ: Không cóTệp chính sách được sử dụng: /etc/tripwire/tw.polTệp cấu hình được sử dụng: /etc/tripwire/tw.cfgTệp cơ sở dữ liệu được sử dụng: /var/lib/tripwire/debian10.twdDòng lệnh được sử dụng: tripwire -m i -s -c tw.cfg==============================================================================Tóm tắt đối tượng:=======================================================================================----------------------------------------------------------------------------------# Mục: Hệ thống tệp Unix----------------------------------------------------------------------------------

Nếu bạn muốn cập nhật cơ sở dữ liệu Tripwire, hãy chạy lệnh sau:

tripwire --update --accept-all

Bạn sẽ nhận được thông báo sau đầu ra:

### Lỗi: Không thể mở tệp.### Tên tệp: /var/lib/tripwire/report/debian10-20210509-084141.twr### Không có tệp hoặc thư mục nào như vậy### Đang thoát...

Bây giờ, hãy kiểm tra Tripwire bằng lệnh sau:

tripwire -m c -s -c /etc/tripwire/tw.cfg

Bạn sẽ thấy đầu ra sau:

Báo cáo kiểm tra tính toàn vẹn Tripwire(R) 2.4.3.7 nguồn mởBáo cáo được tạo bởi: rootBáo cáo được tạo vào lúc: CN 09 tháng 05 năm 2021 08:42:15 AM UTCCơ sở dữ liệu được cập nhật lần cuối vào lúc: Không bao giờ===========================================================================Tóm tắt báo cáo:=================================================================================Tên máy chủ: debian10Địa chỉ IP máy chủ: 45.58.38.142ID máy chủ: Không cóTệp chính sách đã sử dụng: /etc/tripwire/tw.polTệp cấu hình đã sử dụng: /etc/tripwire/tw.cfgTệp cơ sở dữ liệu đã sử dụng: /var/lib/tripwire/debian10.twdDòng lệnh được sử dụng: tripwire -m c -s -c /etc/tripwire/tw.cfg===============================================================================Tóm tắt quy tắc:=======================================================================================------------------------------------------------------------------------------- Phần: Hệ thống tệp Unix------------------------------------------------------------------------------- Tên quy tắc Mức độ nghiêm trọng Đã thêm Đã xóa Đã sửa đổi --------- -------------- ----- ------- -------- Các tệp nhị phân khác 66 0 0 0 Tệp nhị phân Tripwire 100 0 0 0 Các thư viện khác 66 0 0 0 Tệp thực thi hệ thống tệp gốc 100 0 0 0* Tệp dữ liệu Tripwire 100 1 0 0 Thay đổi khởi động hệ thống 100 0 0 0 Thư viện hệ thống tệp gốc 100 0 0 0 (/lib) Tệp khởi động hệ thống quan trọng 100 0 0 0* Tệp cấu hình khác 66 0 0 1 (/etc) Tập lệnh khởi động 100 0 0 0 Kiểm soát bảo mật 66 0 0 0 Tệp cấu hình gốc 100 0 0 0 Thiết bị & Thông tin hạt nhân 100 0 0 0 (/dev) Thư mục bất biến 66 0 0 0Tổng số đối tượng đã quét: 27975Tổng số vi phạm được tìm thấy: 2=============================================================================Tóm tắt đối tượng:===============================================================================================----------------------------------------------------------------------------------# Phần: Tệp Unix Hệ thống-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Tên quy tắc: Tệp dữ liệu Tripwire (/var/lib/tripwire/debian10.twd)Mức độ nghiêm trọng: 100-----------------------------------------------------------------------------------------------

Theo mặc định, các tệp báo cáo Tripwire nằm tại /var/lib/tripwire/report/:

ls /var/lib/tripwire/report/

Đầu ra:

debian10-20210509-084215.twr

Bạn có thể kiểm tra báo cáo này bằng lệnh sau:

twprint -m r -t 4 -r /var/lib/tripwire/report/debian10-20210509-084215.twr

Xác minh Tripwire IDS​

Tại tại thời điểm này, Tripwire đã được cài đặt và cấu hình. Bây giờ, đã đến lúc kiểm tra xem Tripwire có hoạt động hay không.

Đầu tiên, hãy tạo một số tệp trong hệ thống của bạn bằng lệnh sau:

touch fil1 file2 file3 file4 file5

Bây giờ, hãy chạy Tripwire để kiểm tra xem Tripwire có phát hiện ra các tệp này hay không:

tripwire --check --interactive

Bạn sẽ thấy các tệp mới được tạo trong đầu ra sau:

Báo cáo kiểm tra tính toàn vẹn Tripwire(R) 2.4.3.7 nguồn mởBáo cáo được tạo bởi: rootBáo cáo được tạo vào: CN 09 tháng 5 năm 2021 08:46:36 AM UTCCơ sở dữ liệu được cập nhật lần cuối vào: Không bao giờ===============================================================================Tóm tắt báo cáo:===============================================================================Tên máy chủ: debian10Địa chỉ IP máy chủ địa chỉ: 45.58.38.142ID máy chủ: Không cóTệp chính sách đã sử dụng: /etc/tripwire/tw.polTệp cấu hình đã sử dụng: /etc/tripwire/tw.cfgTệp cơ sở dữ liệu đã sử dụng: /var/lib/tripwire/debian10.twdDòng lệnh đã sử dụng: tripwire --check --interactive================================================================================================-----------------------------------------------------------------------------------------------Tên quy tắc: Các tệp cấu hình khác (/etc)Mức độ nghiêm trọng: 66-----------------------------------------------------------------------------------------------Xóa "x" khỏi hộp bên cạnh để ngăn cập nhật cơ sở dữ liệuvới các giá trị mới cho đối tượng này.Đã sửa đổi:[x] "/etc/tripwire"------------------------------------------------------------------------------------------Tên quy tắc: Tệp cấu hình gốc (/root)Mức độ nghiêm trọng: 100------------------------------------------------------------------------------------------Xóa "x" khỏi hộp bên cạnh để ngăn cập nhật cơ sở dữ liệuvới các giá trị mới cho đối tượng này.Đã thêm:[x] "/root/file4"[x] "/root/file3"[x] "/root/fil1"[x] "/root/file2"[x] "/root/file5"Đã sửa đổi:[x] "/root"===============================================================================================

Bạn cũng có thể kiểm tra báo cáo đã tạo sau bằng lệnh sau:

twprint --print-report --twrfile /var/lib/tripwire/report/debian10-20210509-084636.twr

Tự động hóa Tripwire Báo cáo​

Bạn cũng có thể thiết lập một công việc cron để chạy Tripwire tại một thời điểm cụ thể. Bạn có thể thực hiện bằng lệnh sau:

crontab -e

Thêm các dòng sau:

00 06 * * * /usr/sbin/tripwire --check

Lưu và đóng tệp khi bạn hoàn tất.

Tệp trên sẽ chạy Tripwire vào mỗi buổi sáng lúc 06:00 AM. Bạn có thể kiểm tra báo cáo đã tạo tại /var/lib/tripwire/report/.

Kết luận​

Xin chúc mừng! Bạn đã cài đặt và cấu hình Tripwire IDS thành công trên Debian 10. Tôi hy vọng điều này sẽ giúp bạn kiểm tra những tệp hoặc thư mục nào đã được sửa đổi trên hệ thống của mình.