Lorsque nous avons des équipes avec des distributions Linux sous notre responsabilité, il est important d'avoir une connaissance claire des centaines, voire des milliers, d'outils que nous avons à notre disposition pour optimiser tous les paramètres du système, tant en termes de sécurité, d'accès, de contrôle ou autres.
L'un des principaux points que nous devons gérer aujourd'hui est la sécurité, ce qui en fait un problème complexe lorsque nous devons gérer des serveurs en ligne, car s'il est possible de configurer des pare-feu, des politiques fail2ban, des services sécurisés et des applications de blocage, il est difficile de savoir avec certitude si chaque attaque a été effectivement bloquée et cela peut entraîner des problèmes critiques pour les utilisateurs et le comportement général de l'organisation.
En pensant à cela, Solvetic apporte aujourd'hui un utilitaire précieux appelé Tripwire pour son implémentation dans les environnements Ubuntu, en l'occurrence Ubuntu 17.10, et ainsi avoir la certitude d'avoir un outil de sécurité de plus sous notre administration.
Qu'est-ce que TripwireTripwire est un système de détection d'intrusion (IDS) gratuit et open source.
Tripwire est un outil de sécurité qui nous donnera la possibilité de surveiller et d'alerter sur toute modification apportée aux fichiers du système d'exploitation.
Tripwire est un IDS puissant qui a été conçu pour protéger le système contre les changements indésirables. Avec cet outil, il sera possible de surveiller les fichiers système, y compris les fichiers de site Web, de sorte que lorsqu'il y a une modification de fichier indésirable dans l'un des fichiers surveillés, Tripwire vérifiera le système et nous alertera si nous l'avons configuré.
Un système de détection d'intrusion basé sur l'hôte (HIDS) fonctionne en recueillant des détails sur le système de fichiers et la configuration de votre ordinateur acheté, puis stocke ces informations pour référencer et valider l'état actuel du système. Si des changements sont constatés entre l'état connu et l'état actuel, cela pourrait être un signe que la sécurité a été compromise et il sera urgent de prendre les mesures administratives requises.
Caractéristiques du fil de déclenchementEn utilisant cet outil, nous avons certaines fonctionnalités telles que:
- Détection en temps réel : Tripwire s'occupe de capturer et de limiter les dommages causés par les menaces suspectes, les anomalies et les changements.
- Intégrité de la sécurité et applications informatiques
- Intelligence en temps réel des changements : Tripwire offre la solution d'intégrité des fichiers la plus complète pour les entreprises de toutes tailles. Tripwire a été développé pour détecter et évaluer les changements et hiérarchiser les risques de sécurité avec des intégrations qui fournissent des alertes de changement de volume élevé et faible. Tripwire propose une solution robuste de surveillance de l'intégrité des fichiers (FIM), capable de surveiller l'intégrité détaillée du système : fichiers, répertoires, registres, paramètres de configuration, DLL, ports, services, protocoles, etc.
- Système de renforcement et d'amélioration de la conformité - Tripwire possède la bibliothèque de politiques et de plates-formes la plus vaste et la plus complète qui prend en charge plus de 800 politiques, couvrant une variété de versions de système d'exploitation et d'appareils de plate-forme.
- Automatisation et correction de la sécurité : la capacité de correction de Tripwire automatise les tâches et nous guide dans la correction rapide des systèmes non conformes et des mauvaises configurations de sécurité. Il sera possible d'automatiser les workflows grâce à des intégrations avec SIEM, IT-GRC et des systèmes de gestion du changement.
Exigences précédentesPour installer, configurer et utiliser idéalement Tripwire, vous aurez besoin des éléments suivants :
- Serveur Ubuntu 17.10 : Ubuntu 17.10
- Avoir les privilèges root
1. Comment mettre à jour le système d'exploitation et installer Tripwire sur Ubuntu 17.10
Étape 1
La première étape à faire est d'installer Tripwire dans le système d'exploitation, cet outil est disponible dans le référentiel officiel Ubuntu, il suffit donc de mettre à jour le référentiel Ubuntu 17.10 avec la commande suivante :
mise à jour sudo apt
AGRANDIR
Étape 2
Une fois Ubuntu 17.10 mis à jour, nous procédons à l'installation de Tripwire en exécutant la commande suivante :
sudo apt install -y Tripwire
AGRANDIR
Étape 3
Pendant le processus d'installation, la question suivante sur la configuration SMTP de Postfix s'affichera, nous sélectionnerons l'option Site Internet et cliquerons sur Accepter pour continuer l'installation :
AGRANDIR
Étape 4
En cliquant sur OK, dans la fenêtre suivante pour le nom du système de messagerie, nous laisserons la valeur par défaut :
AGRANDIR
Étape 5
Cliquez à nouveau sur OK et dans la fenêtre suivante, il sera nécessaire de créer une nouvelle clé de site pour Tripwire, dans ce cas, nous sélectionnons Oui et appuyez sur Entrée pour continuer :
AGRANDIR
Étape 6
On voit que ces clés sont associées à des facteurs de sécurité puisqu'il existe une fenêtre temporelle à laquelle l'attaquant peut accéder. Une fois que nous avons cliqué sur Oui, nous verrons la fenêtre suivante :
AGRANDIR
Étape 7
Dans ce cas, nous avons les fichiers clés de Tripwire, dans ce cas, nous sélectionnons Oui et appuyez sur Entrée pour continuer. Maintenant, nous devons confirmer si nous allons reconstruire le fichier de configuration Tripwire puisque des modifications ont été apportées aux fichiers clés. Nous sélectionnons Oui et appuyons sur Entrée pour continuer le processus.
AGRANDIR
Le même processus que nous exécutons pour reconstruire les directives :
AGRANDIR
Étape 8
En cliquant sur Oui, le processus sélectionné sera exécuté :
AGRANDIR
Plus tard, nous devons attribuer une clé de site car elle n'existe pas :
AGRANDIR
NoterNous devons nous souvenir de ce mot de passe car nous n'avons aucun moyen d'y accéder en cas d'oubli.
Étape 9
Cliquez sur OK et nous devons confirmer le mot de passe entré :
AGRANDIR
Étape 10
L'étape suivante consiste à attribuer et confirmer le mot de passe de la clé locale :
AGRANDIR
Une fois ce mot de passe attribué et ainsi nous avons terminé le processus d'installation de Tripwire dans Ubuntu 17.10 :
AGRANDIR
2. Comment configurer les politiques Tripwire dans Ubuntu 17.10
Étape 1
Une fois l'outil installé sur le système, il faudra configurer Tripwire pour notre système Ubuntu 17, toute la configuration liée à Tripwire se trouve dans le répertoire /etc/tripwire.
Après l'installation de Tripwire, il faudra initialiser le système de base de données avec la commande suivante :
sudo tripwire -initLà, nous entrerons le mot de passe administrateur puis le mot de passe local qui a été configuré lors de l'installation :
AGRANDIR
Étape 2
Cela démarrera la base de données où nous verrons ce qui suit :
AGRANDIR
Étape 3
Le résultat final sera le suivant. On peut voir l'erreur Le fichier ou le répertoire n'existe pas donc, pour résoudre cette erreur, il faut éditer le fichier de configuration Tripwire et régénérer la configuration.
AGRANDIR
Étape 4
Avant de modifier la configuration Tripwire, nous devons vérifier quel répertoire n'existe pas, ce qui peut être fait avec la commande suivante :
sudo sh -c "tripwire --check | grep Filename> no-directory.txt"Plus tard, nous pouvons voir le contenu dudit fichier en exécutant ce qui suit :
cat no-directory.txt
AGRANDIR
Là, nous verrons la liste des répertoires manquants.
3. Comment configurer les répertoires Tripwire
Étape 1
L'étape suivante consiste à accéder au répertoire de configuration de Tripwire et à modifier le fichier de configuration twpol.txt en exécutant la commande suivante :
cd / etc / tripwire / nano twpol.txtNous verrons ce qui suit :
AGRANDIR
Étape 2
Là, nous ferons ce qui suit : Dans la règle des scripts de démarrage, nous commenterons la ligne
/etc/rc.boot -> $ (SEC_BIN);
AGRANDIR
Étape 3
Dans la ligne System Boot Changes, nous commenterons les lignes suivantes :
# / var / lock -> $ (SEC_CONFIG); # / var / run -> $ (SEC_CONFIG); # PID de démon
AGRANDIR
Étape 4
Dans la ligne Root Config Files, nous commenterons les lignes suivantes :
/ racine -> $ (SEC_CRIT); # Récupérer tous les ajouts à / root # / root / mail -> $ (SEC_CONFIG); # / root / Mail -> $ (SEC_CONFIG); # / root / .xsession-errors -> $ (SEC_CONFIG); # / root / .xauth -> $ (SEC_CONFIG); # / root / .tcshrc -> $ (SEC_CONFIG); # / root / .sawfish -> $ (SEC_CONFIG); # / root / .pinerc -> $ (SEC_CONFIG); # / racine / .mc -> $ (SEC_CONFIG); # / root / .gnome_private -> $ (SEC_CONFIG); # / root / .gnome-desktop -> $ (SEC_CONFIG); # / root / .gnome -> $ (SEC_CONFIG); # / root / .esd_auth -> $ (SEC_CONFIG); # / root / .elm -> $ (SEC_CONFIG); # / root / .cshrc -> $ (SEC_CONFIG); /root/.bashrc -> $ (SEC_CONFIG); # / root / .bash_profile -> $ (SEC_CONFIG); # / root / .bash_logout -> $ (SEC_CONFIG); /root/.bash_history -> $ (SEC_CONFIG); # / root / .amandahosts -> $ (SEC_CONFIG); # / root / .addressbook.lu -> $ (SEC_CONFIG); # / root / .addressbook -> $ (SEC_CONFIG); # / root / .Xresources -> $ (SEC_CONFIG); # / root / .Xauthority -> $ (SEC_CONFIG) -i; # Modifie le numéro d'inode lors de la connexion # / root / .ICEauthority -> $ (SEC_CONFIG);
AGRANDIR
Étape 5
Dans la règle d'informations sur l'appareil et le noyau, nous devons ajouter les éléments suivants :
/ dev -> $ (Périphérique); / dev / pts -> $ (Périphérique); /dev/shm -> $ (Périphérique); / dev/énormes -> $ (Périphérique); / dev / mqueue -> $ (Périphérique); # / proc -> $ (Périphérique); /proc/périphériques -> $ (périphérique); /proc/net -> $ (Périphérique); /proc/tty -> $ (Périphérique); /proc/cpuinfo -> $ (Périphérique); /proc/modules -> $ (Périphérique); /proc/mounts -> $ (Device); /proc/dma -> $ (Périphérique); / proc / filesystems -> $ (Périphérique); / proc / interruptions -> $ (Périphérique); /proc/ioports -> $ (Périphérique); /proc/scsi -> $ (Périphérique); /proc/kcore -> $ (Périphérique); / proc / self -> $ (Périphérique); / proc / kmsg -> $ (Périphérique); / proc / stat -> $ (Périphérique); /proc/loadavg -> $ (Périphérique); / proc / temps de disponibilité -> $ (Périphérique); /proc/locks -> $ (Device); /proc/meminfo -> $ (Périphérique); /proc/misc -> $ (Périphérique);
AGRANDIR
Une fois ces modifications enregistrées, nous enregistrerons les modifications à l'aide des touches Ctrl + O et le quitterons à l'aide des touches Ctrl + X.
Étape 6
Après avoir modifié le fichier de configuration, nous mettrons en œuvre toutes les modifications en rechargeant le fichier de stratégie crypté à l'aide de la commande twadmin comme suit. Là, trois étapes de vérification seront exécutées.
sudo tripwire -update-policy -secure-mode low /etc/tripwire/twpol.txt
AGRANDIR
Étape 7
Pour régénérer le fichier de configuration Tripwire, nous exécuterons la ligne suivante :
sudo twadmin -m P /etc/tripwire/twpol.txt
AGRANDIR
4. Comment utiliser Tripwire
Étape 1
Pour démarrer une analyse avec cet outil, nous allons d'abord exécuter les opérations suivantes :
sudo tripwire -vérifier
AGRANDIR
Étape 2
Là, le processus d'analyse commencera qui donnera le résultat suivant :
AGRANDIR
Étape 3
Avec Tripwire il sera possible de scanner un seul répertoire, par exemple, pour scanner le répertoire /home nous exécuterons ce qui suit :
sudo tripwire -check / home
AGRANDIR
Étape 4
En bas, nous pouvons voir les détails spécifiques du répertoire :
AGRANDIR
Étape 5
Nous avons ajouté un nouveau fichier dans le répertoire /dev et une fois que nous avons exécuté la vérification Tripwire, nous pouvons voir que la violation a été détectée :
AGRANDIR
Là, nous avons le niveau de gravité de celui-ci et le nombre de fichiers modifiés.
5. Comment configurer les notifications par e-mail de Tripwire
Pour les notifications par e-mail, Tripwire propose une fonctionnalité « e-mail à » dans les paramètres. Tripwire utilise Postfix pour envoyer des notifications par e-mail, et cela est installé automatiquement pendant le processus d'installation de l'outil.
Avant de configurer les notifications par e-mail, nous pouvons tester la notification Tripwire à l'aide de la commande suivante :
tripwire --test --email [email protected]
AGRANDIR
Maintenant, pour configurer définitivement le courrier, nous accéderons à nouveau au fichier twpol.txt et sous la section Wordpress Data, nous ajouterons ce qui suit :
# Règles pour l'application Web (rulename = "Wordpress Rule", sévérité = $ (SIG_HI), emailto = [email protected])Une fois ce processus enregistré, il faut régénérer le fichier en exécutant les lignes suivantes :
sudo twadmin -m P /etc/tripwire/twpol.txt sudo tripwire -initEnfin, nous avons la possibilité d'utiliser cron pour effectuer des tâches périodiques avec Tripwire.
Pour ce faire, nous allons exécuter la ligne suivante avec laquelle un nouveau cron sera créé :
sudo crontab -e -u racineUne fois que nous aurons accédé au fichier, nous ajouterons la ligne suivante à la fin :
0 0 * * * tripwire --check --email-reportDe cette façon, nous définissons les horaires et joignons un rapport à envoyer au courrier. Nous pouvons enregistrer les modifications à l'aide des touches Ctrl + O et quitter l'éditeur à l'aide des touches Ctrl + X.
Nous redémarrons cron en exécutant ce qui suit :
systemctl redémarrer cronDe cette façon, Tripwire est un allié pour détecter les changements dans les fichiers système des distributions Linux.
