Quando temos equipes com distros Linux sob nossa responsabilidade, é importante ter um conhecimento claro das centenas, ou milhares, de ferramentas que temos à nossa disposição para otimizar todos os parâmetros do sistema, tanto em termos de segurança, acesso, controle ou outros.
Um dos principais pontos que devemos gerenciar hoje é a segurança, o que torna um problema complexo quando devemos gerenciar servidores online, já que, embora seja possível configurar firewalls, políticas fail2ban, proteger serviços e bloquear aplicativos, é difícil saber com certeza se cada ataque foi bloqueado de forma eficaz e isso pode resultar em problemas críticos para os usuários e o comportamento geral da organização.
Pensando nisso, a Solvetic traz hoje um valioso utilitário chamado Tripwire para sua implementação em ambientes Ubuntu, neste caso Ubuntu 17.10, e assim ter a certeza de ter mais uma ferramenta de segurança sob nossa administração.
O que é TripwireTripwire é um sistema de detecção de intrusão (IDS) de código aberto gratuito.
Tripwire é uma ferramenta de segurança que nos permitirá monitorar e alertar sobre quaisquer alterações feitas nos arquivos do sistema operacional.
Tripwire é um IDS poderoso que foi projetado para proteger o sistema contra alterações indesejadas. Com esta ferramenta será possível monitorar arquivos do sistema, inclusive arquivos do site, para que quando houver uma alteração indesejada de algum dos arquivos monitorados, o Tripwire verificará o sistema e nos alertará se o fizemos.
Um sistema de detecção de intrusão baseado em host (HIDS) funciona reunindo detalhes sobre o sistema de arquivos e a configuração do computador adquirido e, em seguida, armazena essas informações para fazer referência e validar o estado atual do sistema. Se forem encontradas alterações entre o estado conhecido e o estado atual, pode ser um sinal de que a segurança foi comprometida e será urgente tomar as medidas administrativas necessárias.
Recursos do TripwireAo usar esta ferramenta, temos alguns recursos como:
- Detecção em tempo real: Tripwire se encarrega de capturar e limitar os danos de ameaças suspeitas, anomalias e alterações.
- Integridade de segurança e aplicativos de TI
- Inteligência em tempo real de mudança: Tripwire oferece a solução de integridade de arquivo mais abrangente para empresas de qualquer tamanho. O Tripwire foi desenvolvido para detectar e julgar mudanças e priorizar riscos de segurança com integrações que fornecem alertas de mudança de alto e baixo volume. Tripwire oferece uma solução robusta de monitoramento de integridade de arquivos (FIM), capaz de monitorar a integridade detalhada do sistema: arquivos, diretórios, registros, parâmetros de configuração, DLLs, portas, serviços, protocolos, etc.
- Sistema de reforço e aprimoramento de conformidade - Tripwire tem a maior e mais abrangente biblioteca de políticas e plataformas que oferece suporte a mais de 800 políticas, cobrindo uma variedade de versões de sistemas operacionais de plataforma e dispositivos.
- Automação de segurança e correção: o recurso de correção do Tripwire automatiza tarefas e nos orienta por meio da correção rápida de sistemas não compatíveis e configurações incorretas de segurança. Será possível automatizar workflows através de integrações com SIEM, IT-GRC e sistemas de gestão de mudanças.
Requisitos anterioresPara instalar, configurar e usar o Tripwire de maneira ideal, você precisará do seguinte:
- Servidor Ubuntu 17.10: Ubuntu 17.10
- Ter privilégios de root
1. Como atualizar o sistema operacional e instalar o Tripwire no Ubuntu 17.10
Passo 1
O primeiro passo é instalar o Tripwire no sistema operacional, esta ferramenta está disponível no repositório oficial do Ubuntu, então basta atualizar o repositório do Ubuntu 17.10 com o seguinte comando:
atualização do apt sudo
PROLONGAR
Passo 2
Assim que o Ubuntu 17.10 for atualizado, procedemos à instalação do Tripwire executando o seguinte comando:
sudo apt install -y Tripwire
PROLONGAR
etapa 3
Durante o processo de instalação, a seguinte pergunta sobre a configuração do Postfix SMTP será exibida, selecionaremos a opção Site da Internet e clicaremos em Aceitar para continuar com a instalação:
PROLONGAR
Passo 4
Ao clicar em OK, na janela seguinte para o nome do sistema de e-mail, deixaremos o valor padrão:
PROLONGAR
Etapa 5
Clique em OK novamente e na próxima janela será necessário criar uma nova chave de site para Tripwire, neste caso selecionamos Sim e pressionamos Enter para continuar:
PROLONGAR
Etapa 6
Podemos ver que essas chaves estão associadas a fatores de segurança, pois há uma janela de tempo na qual o invasor pode acessar. Assim que clicarmos em Sim, veremos a seguinte janela:
PROLONGAR
Etapa 7
Neste caso temos os arquivos-chave do Tripwire, neste caso selecionamos Sim e pressionamos Enter para continuar. Agora, devemos confirmar se iremos reconstruir o arquivo de configuração Tripwire, uma vez que as alterações foram feitas nos arquivos-chave. Selecionamos Sim e pressionamos Enter para continuar o processo.
PROLONGAR
O mesmo processo que executamos para reconstruir as diretivas:
PROLONGAR
Etapa 8
Ao clicar em Sim, será realizado o processo selecionado:
PROLONGAR
Posteriormente, devemos atribuir uma chave de site porque ela não existe:
PROLONGAR
ObservaçãoDevemos lembrar esta senha, pois não temos como acessá-la em caso de esquecimento.
Etapa 9
Clique em OK e devemos confirmar a senha inserida:
PROLONGAR
Etapa 10
A próxima etapa é atribuir e confirmar a senha da chave local:
PROLONGAR
Uma vez que esta senha foi atribuída e, assim, concluímos o processo de instalação do Tripwire no Ubuntu 17.10:
PROLONGAR
2. Como configurar as políticas do Tripwire no Ubuntu 17.10
Passo 1
Uma vez instalada a ferramenta no sistema, será necessário configurar o Tripwire para o nosso sistema Ubuntu 17, toda a configuração relacionada ao Tripwire está localizada no diretório / etc / tripwire.
Após a instalação do Tripwire, será necessário inicializar o sistema de banco de dados com o seguinte comando:
sudo tripwire -initLá, inseriremos a senha do administrador e, em seguida, a senha local que foi configurada durante a instalação:
PROLONGAR
Passo 2
Isso iniciará o banco de dados, onde veremos o seguinte:
PROLONGAR
etapa 3
Como resultado final, será o seguinte. Podemos ver o erro O arquivo ou diretório não existe, portanto, para resolver este erro, devemos editar o arquivo de configuração do Tripwire e regenerar a configuração.
PROLONGAR
Passo 4
Antes de editar a configuração do Tripwire, devemos verificar qual diretório não existe, o que pode ser feito com o seguinte comando:
sudo sh -c "tripwire --check | grep Filename> no-directory.txt"Posteriormente, podemos ver o conteúdo do referido arquivo executando o seguinte:
cat no-directory.txt
PROLONGAR
Lá, veremos a lista de diretórios ausentes.
3. Como configurar diretórios Tripwire
Passo 1
A próxima etapa é ir para o diretório de configuração do Tripwire e editar o arquivo de configuração twpol.txt executando o seguinte:
cd / etc / tripwire / nano twpol.txtVeremos o seguinte:
PROLONGAR
Passo 2
Lá faremos o seguinte: Na regra de scripts de inicialização, comentaremos sobre a linha
/etc/rc.boot -> $ (SEC_BIN);
PROLONGAR
etapa 3
Na linha System Boot Changes, comentaremos as seguintes linhas:
# / var / lock -> $ (SEC_CONFIG); # / var / run -> $ (SEC_CONFIG); # daemon PIDs
PROLONGAR
Passo 4
Na linha Arquivos de configuração raiz, comentaremos as seguintes linhas:
/ root -> $ (SEC_CRIT); # Pega todas as adições a / root # / root / mail -> $ (SEC_CONFIG); # / root / Mail -> $ (SEC_CONFIG); # / root / .xsession-errors -> $ (SEC_CONFIG); # / root / .xauth -> $ (SEC_CONFIG); # / root / .tcshrc -> $ (SEC_CONFIG); # / root / .sawfish -> $ (SEC_CONFIG); # / root / .pinerc -> $ (SEC_CONFIG); # / root / .mc -> $ (SEC_CONFIG); # / root / .gnome_private -> $ (SEC_CONFIG); # / root / .gnome-desktop -> $ (SEC_CONFIG); # / root / .gnome -> $ (SEC_CONFIG); # / root / .esd_auth -> $ (SEC_CONFIG); # / root / .elm -> $ (SEC_CONFIG); # / root / .cshrc -> $ (SEC_CONFIG); /root/.bashrc -> $ (SEC_CONFIG); # / root / .bash_profile -> $ (SEC_CONFIG); # / root / .bash_logout -> $ (SEC_CONFIG); /root/.bash_history -> $ (SEC_CONFIG); # / root / .amandahosts -> $ (SEC_CONFIG); # / root / .addressbook.lu -> $ (SEC_CONFIG); # / root / .addressbook -> $ (SEC_CONFIG); # / root / .Xresources -> $ (SEC_CONFIG); # / root / .Xauthority -> $ (SEC_CONFIG) -i; # Altera o número do Inode no login # / root / .ICEauthority -> $ (SEC_CONFIG);
PROLONGAR
Etapa 5
Na regra de informações do dispositivo e kernel, devemos adicionar o seguinte:
/ dev -> $ (dispositivo); / dev / pts -> $ (dispositivo); / dev / shm -> $ (dispositivo); / dev / largepages -> $ (dispositivo); / dev / mqueue -> $ (dispositivo); # / proc -> $ (dispositivo); / proc / devices -> $ (Device); / proc / net -> $ (dispositivo); / proc / tty -> $ (dispositivo); / proc / cpuinfo -> $ (dispositivo); / proc / modules -> $ (dispositivo); / proc / mounts -> $ (dispositivo); / proc / dma -> $ (dispositivo); / proc / filesystems -> $ (dispositivo); / proc / interrupts -> $ (dispositivo); / proc / ioports -> $ (dispositivo); / proc / scsi -> $ (dispositivo); / proc / kcore -> $ (dispositivo); / proc / self -> $ (dispositivo); / proc / kmsg -> $ (dispositivo); / proc / stat -> $ (dispositivo); / proc / loadavg -> $ (dispositivo); / proc / uptime -> $ (dispositivo); / proc / locks -> $ (dispositivo); / proc / meminfo -> $ (dispositivo); / proc / misc -> $ (dispositivo);
PROLONGAR
Uma vez que essas alterações sejam registradas, vamos salvá-las usando as teclas Ctrl + O e sair usando as teclas Ctrl + X.
Etapa 6
Depois de editar o arquivo de configuração, implementaremos todas as alterações recarregando o arquivo de política criptografado usando o comando twadmin conforme a seguir. Lá, três etapas de verificação serão executadas.
sudo tripwire -update-policy -secure-mode low /etc/tripwire/twpol.txt
PROLONGAR
Etapa 7
Para regenerar o arquivo de configuração Tripwire, executaremos a seguinte linha:
sudo twadmin -m P /etc/tripwire/twpol.txt
PROLONGAR
4. Como usar o Tripwire
Passo 1
Para iniciar uma análise com esta ferramenta, vamos primeiro executar o seguinte:
sudo tripwire -check
PROLONGAR
Passo 2
Aí terá início o processo de análise que dará o seguinte resultado:
PROLONGAR
etapa 3
Com Tripwire será possível escanear apenas um diretório, por exemplo, para escanear o diretório / home vamos executar o seguinte:
sudo tripwire - verificar / home
PROLONGAR
Passo 4
Na parte inferior, podemos ver detalhes específicos do diretório:
PROLONGAR
Etapa 5
Adicionamos um novo arquivo no diretório / dev e, uma vez que executamos a verificação Tripwire, podemos ver que a violação foi detectada:
PROLONGAR
Aí temos o nível de gravidade e o número de arquivos modificados.
5. Como configurar notificações por e-mail tripwire
Para notificações por e-mail, o Tripwire oferece um recurso 'emailto' nas configurações. Tripwire usa Postfix para enviar notificações por e-mail, e isso é instalado automaticamente durante o processo de instalação da ferramenta.
Antes de configurar notificações por e-mail, podemos testar a notificação Tripwire usando o seguinte comando:
tripwire --test --email [email protected]
PROLONGAR
Agora, para configurar definitivamente o e-mail, acessaremos novamente o arquivo twpol.txt e na seção Dados do Wordpress adicionaremos o seguinte:
# Regras para aplicativo da Web (rulename = "Wordpress Rule", severity = $ (SIG_HI), emailto = [email protected])Uma vez que este processo é salvo, devemos regenerar o arquivo executando as seguintes linhas:
sudo twadmin -m P /etc/tripwire/twpol.txt sudo tripwire -initFinalmente, temos a opção de usar o cron para realizar tarefas periódicas com o Tripwire.
Para fazer isso, executaremos a seguinte linha com a qual um novo cron será criado:
sudo crontab -e -u rootAssim que acessarmos o arquivo, adicionaremos a seguinte linha no final:
0 0 * * * tripwire --check --email-reportDesta forma definimos horários e anexamos um relatório a ser enviado para o correio. Podemos salvar as alterações usando as teclas Ctrl + O e sair do editor usando as teclas Ctrl + X.
Reiniciamos o cron executando o seguinte:
systemctl reiniciar cronDesta forma o Tripwire é um aliado para detectar mudanças nos arquivos de sistema em distros Linux.