La sicurezza è uno dei temi più critici che dobbiamo affrontare quotidianamente e questo perché non solo nelle nostre organizzazioni ma anche a livello personale abbiamo numerosi file e impostazioni che, se utilizzati in modo improprio, possono causare danni irreparabili.
Conosciamo vari strumenti che possono essere utili per monitorare il comportamento quotidiano del sistema e questa volta parleremo di uno in particolare chiamato Tripwire.
Cos'è TripWire?TripWire è uno strumento potente e gratuito la cui funzione specifica è Intrusion Detection (IDS) che aggiorna costantemente i file di sistema critici e i rapporti di controllo nel caso in cui siano stati modificati o eliminati da un hacker o un intruso.
TripWire invierà un messaggio all'amministratore di sistema in caso di guasto del sistema. TripWire è uno strumento open source che consentirà all'area IT di essere avvisata in caso di modifiche al sistema Linux, in questo caso Debian 8.
Il Funzionamento di base di TripWire è il seguente:
- Innanzitutto, lo strumento esegue un'analisi e crea un punto di riferimento di tutti i file critici in un file crittografato, aumentando la sicurezza.
- Successivamente monitora qualsiasi modifica anomala e la confronta con il benchmark inclusi dettagli come data e ora, autorizzazioni, tra gli altri.
Per questa analisi utilizzeremo un team con Debian 8.
1. Sistema di aggiornamento
Per prima cosa inseriamo il comando:
apt-get updatePer aggiornare tutti i pacchetti disponibili sul sistema.
NotaAnteponiamo sudo in caso di non aver effettuato l'accesso come utenti root.
Sui computer con CentOS 7 o RHEL dobbiamo inserire il comando:
yum aggiornamentoCon questo, avremo aggiornato i pacchetti.
2. Scarica e installa TripWire
Una volta che abbiamo il sistema aggiornato, procediamo a inserire il seguente comando per scaricare e installare TripWire:
apt-get install tripwireIn squadre con CentOS 7 inseriremo il comando:
yum installa tripwire
Possiamo vedere che viene visualizzata la seguente procedura guidata in cui accettiamo il messaggio:
Una volta accettato questo messaggio, viene visualizzata la seguente finestra in cui dobbiamo definire quando creare le chiavi della password. Tripwire.
Vedremo quanto segue:
premiamo Accettare e dobbiamo configurare la chiave locale.
Fare clic su Sì e vedremo nella finestra successiva il percorso in cui verrà salvata la configurazione di TripWire.
Successivamente vedremo il percorso delle linee guida di TripWire.
Fare clic sull'opzione richiesta e il processo di installazione continuerà.
Successivamente vedremo la seguente finestra in cui dobbiamo inserire la chiave del sito per TripWire.
Dobbiamo confermare la password e poi dobbiamo inserire la password locale.
Confermiamo la password e finalmente vedremo che l'installazione è stata completata correttamente.
premiamo Accettare per uscire dalla procedura guidata. Nel caso in cui la procedura guidata non venga visualizzata, dobbiamo inserire quanto segue per configurare sia il sito che le chiavi locali:
twadmin -m G -L /etc/tripwire/dummy-local.key -S /etc/tripwire/site.keyChiave del sito.
3. Avvia il servizio TripWire
Una volta installato lo strumento TripWire, procediamo ad avviare il servizio utilizzando il seguente comando:
tripwire -initE dobbiamo inserire la password locale che abbiamo creato in precedenza.
Finora abbiamo visto come installare e avviare Tripwire, clicca sulla pagina successiva un po' sotto per sapere come configurarlo.
4. Modifica il file di configurazione di Tripwire
Il prossimo passo è configurare il file twpol.txt utilizzando l'editor che ci piace di più.
In questo caso inseriremo il seguente comando:
sudo nano /etc/tripwire/twpol.txtVerrà visualizzata la seguente finestra:
Lì individueremo le seguenti righe:
Queste righe sono relative al database creato in precedenza quando il Servizio TripWire. Lì dobbiamo abilitare queste righe usando l'icona #, semplicemente non selezioniamo le seguenti righe:
/root/.bashrc /root/.bash_profile
Allo stesso modo dobbiamo attivare le seguenti righe:
Salviamo le modifiche utilizzando la combinazione di tasti:
Ctrl + O
E lasciamo l'editor usando la combinazione:
Ctrl + X
5. Modifica i modelli TripWire
Successivamente inseriremo il seguente percorso per modificare il modello dello strumento:
twadmin -m P /etc/tripwire/twpol.txt
Vediamo che il file policy è stato scritto correttamente. Una volta configurati questi parametri, dobbiamo utilizzare nuovamente il comando:
tripwire -initPer le modifiche da apportare.
6. Verifica TripWire
Per verificare i parametri del strumento tripwire inseriremo il seguente comando:
tripwire -check
Possiamo espandere un po' di più il testo e lo troveremo nel Riepilogo delle regole di riga gli oggetti che sono stati scansionati dallo strumento e le possibili violazioni o effetti su di essi.
7. Automatizza i report di TripWire in Debian 8
Uno dei parametri utilizzati da TripWire, come accennato in precedenza, è che lo strumento crea un punto di ripristino per i file critici.
Per questo possiamo usare quanto segue:
crontab -eVedremo quanto segue:
Alla fine della console dobbiamo inserire i parametri per eseguire il backup delle informazioni:
In questo modo configuriamo che via e-mail riceviamo notifiche di qualsiasi modifica nei file.
Salviamo le modifiche utilizzando la combinazione di tasti Ctrl + O.
Come abbiamo visto con il strumento tripwire possiamo contare sulla possibilità di garantire il integrità e sicurezza dei file dei nostri sistemi Linux.
Controllo CentOS 7
