Comment installer TripWire (système de détection d'intrusion) Linux

La sécurité est l'un des problèmes les plus critiques auxquels nous devons faire face quotidiennement et ce parce que non seulement dans nos organisations mais aussi au niveau personnel, nous avons de nombreux fichiers et paramètres qui, s'ils sont mal utilisés, peuvent causer des dommages irréparables.

Nous connaissons divers outils qui peuvent être utiles pour surveiller le comportement quotidien du système et cette fois nous allons parler d'un en particulier appelé Tripwire.

Qu'est-ce que TripWireTripWire est un outil puissant et gratuit dont la fonction spécifique est la détection d'intrusion (IDS) qui met constamment à jour les fichiers système critiques et les rapports de contrôle au cas où ils auraient été modifiés ou supprimés par un pirate informatique ou un intrus.

TripWire enverra un message à l'administrateur système en cas de panne du système. TripWire est un outil open source qui permettra de prévenir le domaine informatique en cas de modification du système Linux, en l'occurrence Debian 8.

Le Fonctionnement de base de TripWire est le suivant:

  • Tout d'abord, l'outil effectue une analyse et crée un point de référence de tous les fichiers critiques dans un fichier crypté, augmentant ainsi la sécurité.
  • Plus tard, il surveille tout changement anormal et le compare à la référence, y compris des détails tels que la date et l'heure, les autorisations, entre autres.

Pour cette analyse, nous utiliserons une équipe avec Debian 8.

1. Système de mise à jour


Nous allons d'abord entrer la commande:
 apt-get mise à jour
Pour mettre à jour tous les packages disponibles sur le système.

NoterNous ajoutons sudo en cas de non-connexion en tant qu'utilisateur root.

Sur les ordinateurs avec CentOS 7 ou RHEL, nous devons entrer la commande :

 miam mise à jour
Avec cela, nous aurons mis à jour les packages.

2. Téléchargez et installez TripWire


Une fois que nous avons le système mis à jour, nous procédons à la saisie de la commande suivante pour télécharger et installer TripWire :
 apt-get install tripwire
En équipe avec CentOS 7 nous allons entrer la commande:
 miam installer tripwire

Nous pouvons voir que l'assistant suivant s'affiche où nous acceptons le message :

Une fois ce message accepté, la fenêtre suivante s'affiche où il faut définir quand créer les clés de mot de passe. Tripwire.

Nous verrons ce qui suit :

Nous appuyons Accepter et nous devons configurer la clé locale.

Cliquez sur Oui et nous verrons dans la fenêtre suivante le chemin où la configuration TripWire sera enregistrée.

Ensuite, nous verrons l'itinéraire des directives TripWire.

Cliquez sur l'option requise et le processus d'installation se poursuivra.

Plus tard, nous verrons la fenêtre suivante où nous devons entrer la clé du site pour TripWire.

Nous devons confirmer le mot de passe, puis nous devons entrer le mot de passe local.

Nous reconfirmons le mot de passe et enfin nous verrons que l'installation s'est correctement terminée.

Nous appuyons Accepter pour quitter l'assistant. Dans le cas où l'assistant ne s'affiche pas, nous devons entrer ce qui suit pour configurer à la fois le site et les clés locales :

 twadmin -m G -L /etc/tripwire/dummy-local.key -S /etc/tripwire/site.key
Clé du site.

3. Démarrer le service TripWire


Une fois l'outil TripWire installé, nous procédons au démarrage du service à l'aide de la commande suivante :
 fil de déclenchement -init
Et nous devons entrer le mot de passe local que nous avons créé précédemment.

Jusqu'à présent, nous avons vu comment installer et démarrer Tripwire, cliquez sur la page suivante un peu en dessous pour savoir comment le configurer.

4. Modifier le fichier de configuration Tripwire


La prochaine étape est configurer le fichier twpol.txt en utilisant l'éditeur que nous aimons le plus.

Dans ce cas, nous entrerons la commande suivante :

 sudo nano /etc/tripwire/twpol.txt
La fenêtre suivante s'affichera :

On y trouvera les lignes suivantes :

Ces lignes sont liées à la base de données créée précédemment lorsque le Service TripWire. Là, nous devons activer ces lignes à l'aide de l'icône #, nous ne sélectionnons simplement pas les lignes suivantes :

 /root/.bashrc /root/.bash_profile

De la même manière nous devons activer les lignes suivantes :

Nous enregistrons les modifications à l'aide de la combinaison de touches :

Ctrl + O

Et nous quittons l'éditeur en utilisant la combinaison :

Ctrl + X

5. Modifier les modèles TripWire


Ensuite, nous allons entrer le chemin suivant pour modifier le modèle de l'outil :
 twadmin -m P /etc/tripwire/twpol.txt

Nous voyons que la politique de fichier a été écrite correctement. Une fois ces paramètres configurés, il faut réutiliser la commande :

 fil de déclenchement -init
Pour les modifications à apporter.

6. Vérification TripWire


Pour vérifier les paramètres du outil de fil de déclenchement nous allons entrer la commande suivante :
 fil-piège -vérifier

On peut développer un peu plus le texte et on trouvera dans le Récapitulatif des règles de ligne les objets qui ont été analysés par l'outil et les violations possibles ou les effets sur eux.

7. Automatiser les rapports TripWire dans Debian 8


L'un des paramètres utilisés par TripWire, comme nous l'avons mentionné précédemment, est que l'outil crée un point de restauration pour les fichiers critiques.

Pour cela, nous pouvons utiliser les éléments suivants :

 crontab -e
Nous verrons ce qui suit :

A la fin de la console, nous devons entrer les paramètres pour sauvegarder les informations :

De cette façon, nous configurons que par e-mail, nous recevons des notifications de toute modification des fichiers.

Nous enregistrons les modifications à l'aide de la combinaison de touches Ctrl + O.

Comme nous l'avons vu avec le outil de fil de déclenchement nous pouvons compter sur la possibilité d'assurer la intégrité et sécurité des fichiers de nos systèmes Linux.

Audit CentOS 7

wave wave wave wave wave