Securizarea sistemului de fisiere Linux cu Tripwire

In timp ce Linux este considerat a fi sistemul de operare cel mai sigur (inaintea Windows si MacOS), este inca vulnerabil la rootkit-uri si alte variante de malware. Astfel, utilizatorii de Linux trebuie sa stie cum sa protejeze serverele lor sau computere personale, iar primul pas este de a proteja sistemul de fisiere.

In acest articol, ne vom uita la Tripwire , un instrument excelent pentru a proteja sistemele de fisiere Linux. Tripwire este un instrument de verificare integritate care permite administratorilor de sistem, ingineri de securitate, s-a detectateze modificari la fisierele de sistem. Desi nu este singura optiune disponibila (AIDE si Samhain ofera caracteristici similare), Tripwire este probabil cel mai frecvent utilizate ca si verificator de integritate pentru fisierele de sistem Linux, si este disponibil ca open source sub GPLv2.

Cum functioneaza Tripwire

Este util sa stii cum Tripwire functioneaza pentru a intelege ce face odata instalat.

Tripwire este alcatuit din doua componente majore: politici si baze de date.

Politicile sunt lista tuturor fisierele si directoarele pe care verificatorul de integritate le citeste instantaneu, in plus fata de crearea de reguli pentru identificarea incalcari ale modificarilor directoarelor si fisierelor.

Tripwire are, de asemenea, un fisier de configurare, care specifica locatiile bazei de date, fisierul de politici, si executabilul Tripwire. Acesta prevede, de asemenea, doua chei criptografice pentru a proteja fisierele importante impotriva falsificarii. Cheia site-ul protejeaza fisierele de politica si de configurare, in timp ce cheia locala protejeaza baza de date si rapoartele generate.

Tripwire functioneaza prin compararea periodica a directoarelor si fisierelor si raportarea oricaror modificari.

instalarea Tripwire

Tripwire functioneaza pe aproape toate distributiile Linux; puteti descarca o versiune open source de la Sourceforge si instalati - l dupa cum urmeaza, in functie de versiunea de Linux.

Utilizatorii Debian si Ubuntu pot instala Tripwire direct din depozit folosind apt-get.

sudo apt-get update 
sudo  apt-get install tripwire

CentOS si alte distributii bazate pe rpm folosesc un proces similar. De dragul celor mai bune practici, actualizati magazia dumneavoastra inainte de a instala un nou pachet , cum ar fi Tripwire. Comanda yum install epel-release inseamna pur si simplu ca vrem sa se  instaleze arhive suplimentare.

yum update 
yum install epel-release 
yum install tripwire

Aceasta comanda face instalarea de pachete care sunt necesare pentru Tripwire ca sa functioneze in mod eficient. In plus, se va intreba daca doriti sa selectati passphrases in timpul instalarii. Puteti selecta „Da“ pentru ambele solicitari.

Apoi, initializa baza de date Tripwire dupa cum urmeaza:

tripwire –-init

Verificare integritatea de baza folosind Tripwire

Puteti utiliza urmatoarea comanda pentru a instrui Tripwire pentru s-a verifice daca fisierele sau directoarele au fost modificate.

tripwire  --check  

Puteti limita , de asemenea, comanda  –check la fisiere sau directoare specifice, cum ar fi in acest exemplu:

tripwire   –-check   /usr/tmp  

In plus, in cazul in care aveti nevoie de ajutor extins cu privire la utilizarea Tripwire lui de comanda  –check , aceasta comanda va permite sa consultati manualul Tripwire lui:

tripwire  --check  --help  

Pentru a genera cu usurinta zilnic un raport de integritate a sistemului, a crea o crontab cu aceasta comanda:

crontab -e

Dupa aceea, puteti edita acest fisier (cu editorul de text la alegere), pentru a introduce sarcini  cron. De exemplu, puteti crea un task cron pentru a trimite rapoarte Tripwire la un e-mail zilnic la 5:40 folosind aceasta comanda:

40 5  *  *  *  usr/sbin/tripwire   --check

Fie ca va decideti sa utilizati Tripwire sau un alt verificator de integritate cu caracteristici similare, protejati-va securitatea sistemului de fisiere Linux.