Wyszukiwanie w witrynie

Jak zainstalować Tripwire IDS (system wykrywania włamań) w systemie Linux

Tripwire to popularny system wykrywania włamań do systemu Linux (IDS), który działa w systemach w celu wykrywania, czy z biegiem czasu nastąpiły nieautoryzowane zmiany w systemie plików.

W dystrybucjach CentOS i RHEL tripwire nie jest częścią oficjalnych repozytoriów. Pakiet tripwire można jednak zainstalować za pośrednictwem repozytoriów Epel.

Na początek zainstaluj repozytoria Epel w systemie CentOS i RHEL, wydając poniższe polecenie.

yum install epel-release

Po zainstalowaniu repozytoriów Epel pamiętaj o zaktualizowaniu systemu za pomocą następującego polecenia.

yum update

Po zakończeniu procesu aktualizacji zainstaluj oprogramowanie Tripwire IDS, wykonując poniższe polecenie.

yum install tripwire

Na szczęście Tripwire jest częścią domyślnych repozytoriów Ubuntu i Debian i można go zainstalować za pomocą następujących poleceń.

sudo apt update
sudo apt install tripwire

Na Ubuntu i Debianie podczas instalacji Tripwire zostaniesz poproszony o wybranie i potwierdzenie klucza witryny i hasła klucza lokalnego. Klucze te są używane przez Tripwire do zabezpieczania plików konfiguracyjnych.

W systemach CentOS i RHEL musisz utworzyć klucze Tripwire za pomocą poniższego polecenia i podać hasło dla klucza witryny i klucza lokalnego.

tripwire-setup-keyfiles

Aby sprawdzić poprawność systemu, musisz zainicjować bazę danych Tripwire za pomocą następującego polecenia. Ze względu na to, że baza danych nie została jeszcze zainicjowana, tripwire wyświetli wiele fałszywie pozytywnych ostrzeżeń.

tripwire --init

Na koniec wygeneruj raport systemu Tripwire, aby sprawdzić konfiguracje, wydając poniższe polecenie. Użyj przełącznika --help, aby wyświetlić listę wszystkich opcji polecenia Tripwire Check.

tripwire --check --help
tripwire --check

Po zakończeniu działania polecenia Tripwire check przejrzyj raport otwierając plik z rozszerzeniem .twr z katalogu /var/lib/tripwire/report/ za pomocą ulubionego polecenia edytora tekstu, ale wcześniej musisz przekonwertować do pliku tekstowego.

twprint --print-report --twrfile /var/lib/tripwire/report/tecmint-20170727-235255.twr > report.txt
vi report.txt

Otóż to! pomyślnie zainstalowałeś Tripwire na serwerze Linux. Mam nadzieję, że możesz teraz łatwo skonfigurować swój Tripwire IDS.