Quando abbiamo team con distribuzioni Linux sotto la nostra responsabilità, è importante avere una chiara conoscenza delle centinaia, o migliaia, di strumenti che abbiamo a nostra disposizione per ottimizzare tutti i parametri di sistema, sia in termini di sicurezza, accesso, controllo o altri.
Uno dei punti principali che dobbiamo gestire oggi è la sicurezza, il che lo rende un problema complesso quando dobbiamo gestire server online, poiché, sebbene sia possibile configurare firewall, politiche fail2ban, servizi sicuri e applicazioni di blocco, è difficile sapere con certezza se ogni attacco è stato effettivamente bloccato e ciò può comportare criticità per gli utenti e per il comportamento generale dell'organizzazione.
Pensando a questo, Solvetic oggi porta una preziosa utility chiamata Tripwire per la sua implementazione in ambienti Ubuntu, in questo caso Ubuntu 17.10, ed avere così la certezza di avere uno strumento di sicurezza in più sotto la nostra amministrazione.
Cos'è Tripwire?Tripwire è un sistema di rilevamento delle intrusioni (IDS) gratuito e open source.
Tripwire è uno strumento di sicurezza che ci darà la possibilità di monitorare e avvisare su eventuali modifiche apportate ai file nel sistema operativo.
Tripwire è un potente IDS progettato per proteggere il sistema da modifiche indesiderate. Con questo strumento sarà possibile monitorare i file di sistema, inclusi i file del sito Web, in modo che quando si verifica una modifica indesiderata di un file in uno dei file monitorati, Tripwire controllerà il sistema e ci avviserà se è stato configurato.
Un sistema di rilevamento delle intrusioni basato su host (HIDS) funziona raccogliendo dettagli sul file system e sulla configurazione del computer acquistato, quindi memorizza queste informazioni per fare riferimento e convalidare lo stato corrente del sistema. Se si riscontrano cambiamenti tra lo stato noto e lo stato attuale, potrebbe essere un segno che la sicurezza è stata compromessa e sarà urgente prendere le misure amministrative necessarie.
Caratteristiche di TripwireUtilizzando questo strumento abbiamo alcune funzionalità come:
- Rilevamento in tempo reale: Tripwire si occupa di catturare e limitare i danni da minacce sospette, anomalie e modifiche.
- Integrità della sicurezza e applicazioni IT
- Intelligenza del cambiamento in tempo reale: Tripwire offre la soluzione più completa per l'integrità dei file per aziende di qualsiasi dimensione. Tripwire è stato sviluppato per rilevare e valutare le modifiche e dare priorità ai rischi per la sicurezza con integrazioni che forniscono avvisi di modifiche ad alto e basso volume. Tripwire offre una solida soluzione FIM (File Integrity Monitoring), in grado di monitorare l'integrità dettagliata del sistema: file, directory, registri, parametri di configurazione, DLL, porte, servizi, protocolli, ecc.
- Sistema di rafforzamento e miglioramento della conformità: Tripwire dispone della libreria più ampia e completa di policy e piattaforme che supporta più di 800 policy, coprendo una varietà di versioni e dispositivi del sistema operativo della piattaforma.
- Automazione e correzione della sicurezza: la capacità di correzione di Tripwire automatizza le attività e ci guida attraverso una rapida correzione dei sistemi non conformi e delle configurazioni errate della sicurezza. Sarà possibile automatizzare i flussi di lavoro attraverso integrazioni con SIEM, IT-GRC e sistemi di change management.
Requisiti precedentiPer installare, configurare e utilizzare in modo ideale Tripwire, avrai bisogno di quanto segue:
- Server Ubuntu 17.10: Ubuntu 17.10
- Avere i privilegi di root
1. Come aggiornare il sistema operativo e installare Tripwire su Ubuntu 17.10
Passo 1
Il primo passo da compiere è installare Tripwire nel sistema operativo, questo strumento è disponibile nel repository ufficiale di Ubuntu, quindi è sufficiente aggiornare il repository Ubuntu 17.10 con il seguente comando:
sudo apt update
INGRANDIRE
Passo 2
Una volta aggiornato Ubuntu 17.10, procediamo con l'installazione di Tripwire eseguendo il seguente comando:
sudo apt install -y Tripwire
INGRANDIRE
Passaggio 3
Durante il processo di installazione, verrà visualizzata la seguente domanda sulla configurazione SMTP di Postfix, selezioneremo l'opzione Sito Internet e faremo clic su Accetta per continuare con l'installazione:
INGRANDIRE
Passaggio 4
Cliccando su OK, nella seguente finestra per il nome del sistema di posta, lasceremo il valore predefinito:
INGRANDIRE
Passaggio 5
Fare nuovamente clic su OK e nella finestra successiva sarà necessario creare una nuova chiave del sito per Tripwire, in questo caso selezioniamo Sì e premiamo Invio per continuare:
INGRANDIRE
Passaggio 6
Possiamo vedere che queste chiavi sono associate a fattori di sicurezza poiché esiste una finestra temporale in cui l'attaccante può accedere. Dopo aver fatto clic su Sì, vedremo la seguente finestra:
INGRANDIRE
Passaggio 7
In questo caso abbiamo i file chiave di Tripwire, in questo caso selezioniamo Sì e premiamo Invio per continuare. Ora, dobbiamo confermare se ricostruiremo il file di configurazione di Tripwire poiché sono state apportate modifiche ai file chiave. Selezioniamo Sì e premiamo Invio per continuare il processo.
INGRANDIRE
Lo stesso processo che eseguiamo per ricostruire le direttive:
INGRANDIRE
Passaggio 8
Cliccando su Sì, il processo selezionato verrà eseguito:
INGRANDIRE
Successivamente dobbiamo assegnare una chiave del sito perché non esiste:
INGRANDIRE
NotaDobbiamo ricordare questa password poiché non abbiamo modo di accedervi in caso di dimenticanza.
Passaggio 9
Fare clic su OK e dobbiamo confermare la password inserita:
INGRANDIRE
Passaggio 10
Il passaggio successivo consiste nell'assegnare e confermare la password per la chiave locale:
INGRANDIRE
Una volta che questa password è stata assegnata e quindi abbiamo completato il processo di installazione di Tripwire in Ubuntu 17.10:
INGRANDIRE
2. Come configurare i criteri di Tripwire in Ubuntu 17.10
Passo 1
Una volta installato lo strumento sul sistema, sarà necessario configurare Tripwire per il nostro sistema Ubuntu 17, tutta la configurazione relativa a Tripwire si trova nella directory /etc/tripwire.
Dopo l'installazione di Tripwire, sarà necessario inizializzare il sistema di database con il seguente comando:
sudo tripwire -initLì inseriremo la password dell'amministratore e poi la password locale che è stata configurata durante l'installazione:
INGRANDIRE
Passo 2
Questo avvierà il database dove vedremo quanto segue:
INGRANDIRE
Passaggio 3
Come risultato finale sarà il seguente. Possiamo vedere l'errore Il file o la directory non esiste quindi, per risolvere questo errore, dobbiamo modificare il file di configurazione di Tripwire e rigenerare la configurazione.
INGRANDIRE
Passaggio 4
Prima di modificare la configurazione di Tripwire, dobbiamo verificare quale directory non esiste, cosa che si può fare con il seguente comando:
sudo sh -c "tripwire --check | grep Nome file> no-directory.txt"Successivamente possiamo vedere il contenuto di detto file eseguendo quanto segue:
cat no-directory.txt
INGRANDIRE
Lì vedremo l'elenco delle directory mancanti.
3. Come configurare le directory di Tripwire
Passo 1
Il prossimo passo è andare alla directory di configurazione di Tripwire e modificare il file di configurazione twpol.txt eseguendo quanto segue:
cd / etc / tripwire / nano twpol.txtVedremo quanto segue:
INGRANDIRE
Passo 2
Lì faremo quanto segue: Nella regola Boot Scripts, commenteremo la riga
/etc/rc.boot -> $ (SEC_BIN);
INGRANDIRE
Passaggio 3
Nella riga System Boot Changes commenteremo le seguenti righe:
# /var/lock -> $ (SEC_CONFIG); # /var/run -> $ (SEC_CONFIG); # PID del demone
INGRANDIRE
Passaggio 4
Nella riga Root Config Files commenteremo le seguenti righe:
/ radice -> $ (SEC_CRIT); # Cattura tutte le aggiunte a / root # / root / mail -> $ (SEC_CONFIG); # / root / Posta -> $ (SEC_CONFIG); # / root / .xsession-errors -> $ (SEC_CONFIG); # / root / .xauth -> $ (SEC_CONFIG); # /root/.tcshrc -> $ (SEC_CONFIG); # / root / .sawfish -> $ (SEC_CONFIG); # / root / .pinerc -> $ (SEC_CONFIG); # /root/.mc -> $ (SEC_CONFIG); # /root/.gnome_private -> $ (SEC_CONFIG); # / root / .gnome-desktop -> $ (SEC_CONFIG); # /root/.gnome -> $ (SEC_CONFIG); # /root/.esd_auth -> $ (SEC_CONFIG); # / root / .elm -> $ (SEC_CONFIG); # /root/.cshrc -> $ (SEC_CONFIG); /root/.bashrc -> $ (SEC_CONFIG); # / root / .bash_profile -> $ (SEC_CONFIG); # / root / .bash_logout -> $ (SEC_CONFIG); /root/.bash_history -> $ (SEC_CONFIG); # /root/.amandahosts -> $ (SEC_CONFIG); # / root / .addressbook.lu -> $ (SEC_CONFIG); # / root / .addressbook -> $ (SEC_CONFIG); # / root / .Xresources -> $ (SEC_CONFIG); # / root / .Xauthority -> $ (SEC_CONFIG) -i; # Cambia il numero di Inode al login # / root / .ICEauthority -> $ (SEC_CONFIG);
INGRANDIRE
Passaggio 5
Nella regola delle informazioni sul dispositivo e sul kernel dobbiamo aggiungere quanto segue:
/ dev -> $ (Dispositivo); /dev/pts -> $ (Dispositivo); /dev/shm -> $ (Dispositivo); / dev / enormi pagine -> $ (Dispositivo); /dev/mqueue -> $ (Dispositivo); # / proc -> $ (Dispositivo); /proc/dispositivi -> $ (Dispositivo); /proc/net -> $ (Dispositivo); /proc/tty -> $ (Dispositivo); /proc/cpuinfo -> $ (Dispositivo); /proc/moduli -> $ (Dispositivo); / proc / monta -> $ (Dispositivo); /proc/dma -> $ (Dispositivo); /proc/filesystem -> $ (Dispositivo); /proc/interrupt -> $ (Dispositivo); /proc/ioports -> $ (Dispositivo); / proc / scsi -> $ (Dispositivo); /proc/kcore -> $ (Dispositivo); /proc/self -> $ (Dispositivo); /proc/kmsg -> $ (Dispositivo); /proc/stat -> $ (Dispositivo); /proc/loadavg -> $ (Dispositivo); /proc/uptime -> $ (Dispositivo); /proc/locks -> $ (Dispositivo); /proc/meminfo -> $ (Dispositivo); / proc / misc -> $ (Dispositivo);
INGRANDIRE
Una volta registrate queste modifiche, salveremo le modifiche utilizzando i tasti Ctrl + O e usciremo utilizzando i tasti Ctrl + X.
Passaggio 6
Dopo aver modificato il file di configurazione, implementeremo tutte le modifiche ricaricando il file di policy crittografato utilizzando il comando twadmin come segue. Lì, verranno eseguiti tre passaggi di verifica.
sudo tripwire -update-policy -secure-mode low /etc/tripwire/twpol.txt
INGRANDIRE
Passaggio 7
Per rigenerare il file di configurazione di Tripwire eseguiremo la seguente riga:
sudo twadmin -m P /etc/tripwire/twpol.txt
INGRANDIRE
4. Come usare Tripwire
Passo 1
Per avviare un'analisi con questo strumento, eseguiremo prima quanto segue:
sudo tripwire -check
INGRANDIRE
Passo 2
Lì inizierà il processo di analisi che darà il seguente risultato:
INGRANDIRE
Passaggio 3
Con Tripwire sarà possibile scansionare una sola directory, ad esempio per scansionare la directory /home eseguiremo quanto segue:
sudo tripwire -check / home
INGRANDIRE
Passaggio 4
In fondo possiamo vedere i dettagli specifici della directory:
INGRANDIRE
Passaggio 5
Abbiamo aggiunto un nuovo file nella directory /dev e una volta eseguito il controllo di Tripwire possiamo vedere che la violazione è stata rilevata:
INGRANDIRE
Lì abbiamo il livello di gravità e il numero di file modificati.
5. Come impostare le notifiche e-mail di tripwire
Per le notifiche e-mail, Tripwire offre una funzione "emailto" nelle impostazioni. Tripwire utilizza Postfix per inviare notifiche e-mail e questo viene installato automaticamente durante il processo di installazione dello strumento.
Prima di configurare le notifiche e-mail, possiamo testare le notifiche di Tripwire utilizzando il seguente comando:
tripwire --test --email [email protected]
INGRANDIRE
Ora, per configurare definitivamente la posta, accederemo nuovamente al file twpol.txt e nella sezione Dati Wordpress aggiungeremo quanto segue:
# Regole per l'app Web (nomeregola = "Regola WordPress", gravità = $ (SIG_HI), emailto = [email protected])Una volta salvato questo processo, dobbiamo rigenerare il file eseguendo le seguenti righe:
sudo twadmin -m P /etc/tripwire/twpol.txt sudo tripwire -initInfine abbiamo la possibilità di utilizzare cron per eseguire attività periodiche con Tripwire.
Per fare ciò eseguiremo la seguente riga con la quale verrà creato un nuovo cron:
sudo crontab -e -u radiceUna volta che accediamo al file, aggiungeremo alla fine la seguente riga:
0 0 * * * tripwire --check --email-reportIn questo modo definiamo i tempi e alleghiamo un report da inviare alla mail. Possiamo salvare le modifiche usando i tasti Ctrl + O ed uscire dall'editor usando i tasti Ctrl + X.
Riavviamo cron eseguendo quanto segue:
systemctl riavvia cronIn questo modo Tripwire è un alleato per rilevare i cambiamenti nei file di sistema nelle distribuzioni Linux.
