Jak zainstalować Tripwire IDS (system wykrywania włamań) w systemie Linux
Tripwire to popularny system wykrywania włamań do systemu Linux (IDS), który działa w systemach w celu wykrywania, czy z biegiem czasu nastąpiły nieautoryzowane zmiany w systemie plików.
W dystrybucjach CentOS i RHEL tripwire nie jest częścią oficjalnych repozytoriów. Pakiet tripwire można jednak zainstalować za pośrednictwem repozytoriów Epel.
Na początek zainstaluj repozytoria Epel w systemie CentOS i RHEL, wydając poniższe polecenie.
yum install epel-release
Po zainstalowaniu repozytoriów Epel pamiętaj o zaktualizowaniu systemu za pomocą następującego polecenia.
yum update
Po zakończeniu procesu aktualizacji zainstaluj oprogramowanie Tripwire IDS, wykonując poniższe polecenie.
yum install tripwire
Na szczęście Tripwire jest częścią domyślnych repozytoriów Ubuntu i Debian i można go zainstalować za pomocą następujących poleceń.
sudo apt update
sudo apt install tripwire
Na Ubuntu i Debianie podczas instalacji Tripwire zostaniesz poproszony o wybranie i potwierdzenie klucza witryny i hasła klucza lokalnego. Klucze te są używane przez Tripwire do zabezpieczania plików konfiguracyjnych.
W systemach CentOS i RHEL musisz utworzyć klucze Tripwire za pomocą poniższego polecenia i podać hasło dla klucza witryny i klucza lokalnego.
tripwire-setup-keyfiles
Aby sprawdzić poprawność systemu, musisz zainicjować bazę danych Tripwire za pomocą następującego polecenia. Ze względu na to, że baza danych nie została jeszcze zainicjowana, tripwire wyświetli wiele fałszywie pozytywnych ostrzeżeń.
tripwire --init
Na koniec wygeneruj raport systemu Tripwire, aby sprawdzić konfiguracje, wydając poniższe polecenie. Użyj przełącznika --help
, aby wyświetlić listę wszystkich opcji polecenia Tripwire Check.
tripwire --check --help
tripwire --check
Po zakończeniu działania polecenia Tripwire check przejrzyj raport otwierając plik z rozszerzeniem .twr
z katalogu /var/lib/tripwire/report/ za pomocą ulubionego polecenia edytora tekstu, ale wcześniej musisz przekonwertować do pliku tekstowego.
twprint --print-report --twrfile /var/lib/tripwire/report/tecmint-20170727-235255.twr > report.txt
vi report.txt
Otóż to! pomyślnie zainstalowałeś Tripwire na serwerze Linux. Mam nadzieję, że możesz teraz łatwo skonfigurować swój Tripwire IDS.