1. Home
  2. Lainnya

Cara Memantau dan Mendeteksi File Diubah menggunakan Tripwire IDS pada Ubuntu

  

Cara Memantau dan Mendeteksi File Diubah menggunakan Tripwire IDS pada

Ubuntu 16.04

  Tripwire adalah gratis dan open source Intrusion Detection System (IDS). Ini adalah alat keamanan untuk memantau dan mengingatkan perubahan file pada sistem. Tripwire adalah IDS kuat yang melindungi sistem Anda terhadap perubahan yang tidak diinginkan. Anda dapat memantau file sistem Anda, termasuk file website. Jadi ketika ada perubahan berkas yang tidak diinginkan di salah satu file yang sedang dipantau, tripwire akan memeriksa sistem Anda dan akan mengingatkan Anda (jika setup yang ada di tempat). Dalam tutorial ini, kami akan menunjukkan cara untuk menginstal dan mengkonfigurasi Tripwire host IDS Berdasarkan Ubuntu 16.04. Kami juga akan menunjukkan cara mengkonfigurasi tripwire untuk memantau dan mendeteksi file diubah pada sistem.

  Apa yang akan kita lakukan 1.

  Instal tripwire 2. Mengkonfigurasi kebijakan Tripwire untuk sistem Ubuntu 3. Verifikasi konfigurasi tripwire 4. Menambahkan ruleset baru untuk kebijakan Tripwire 5. Pengaturan Tripwire pemberitahuan dan cron

  Prasyarat

  Ubuntu 16.04 Server 

   hak akses root Langkah 1 - Instal tripwire

  Langkah pertama adalah menginstal tripwire ke sistem. Alat ini tersedia dalam resmi repositori Ubuntu - hanya memperbarui repositori Ubuntu Anda dan menginstal Tripwire menggunakan perintah berikut. sudo update apt sudo apt install -y tripwire Selama instalasi, Anda akan ditanya tentang konfigurasi SMTP Postfix. Pilih 'Situs internet'Dan klik'baik'Untuk melanjutkan instalasi.

  Untuk nama sistem email, biarkan default (seperti yang ditunjukkan di bawah ini), dan pilih 'baik' untuk melanjutkan.

  Berikutnya, Anda akan akan ditanya tentang konfigurasi tripwire. Membuat baru 'situs-key'Untuk Tripwire - pilih 'iya nih'Dan tekan Enter untuk melanjutkan.

  Sekarang untuk 'Lokal-key', pilih 'iya nih'Dan tekan Enter lagi.

  Untuk Membangun kembali pilihan Tripwire Konfigurasi, pilih 'iya nih'.

  Sama untuk membangun kembali opsi Kebijakan Tripwire - pilih 'iya nih'.

  Sekarang Anda akan diminta untuk 'situs-key'passphrase. Ketik password dan pilih 'baik'.

  Ulangi 'situs-key'passphrase.

  Kemudian untuk 'lokal-key'passphrase, ketik password dan pilih 'baik'.

  Ulangi 'lokal-key'passphrase.

  Dan sekarang Tripwire instalasi di Ubuntu 16.04 telah selesai.

  Langkah 2 - Mengkonfigurasi kebijakan Tripwire untuk sistem Ubuntu

  Pada langkah ini, kita akan mengkonfigurasi Tripwire untuk sistem Ubuntu kita. Semua konfigurasi tripwire terkait terletak di '/ etc / tripwire' direktori. Setelah instalasi Tripwire, kita perlu menginisialisasi sistem database. Jalankan perintah berikut untuk itu. sudo tripwire --init Anda akan ditanya tentang passphrase lokal-kunci Anda - ketik passphrase lokal-kunci dan tekan Enter. Dan Anda mungkin akan mendapatkan error 'Direktori tersebut tidak ada', seperti yang ditunjukkan di bawah ini.

  Untuk mengatasi kesalahan ini, kita perlu mengedit file konfigurasi tripwire dan regenerasi konfigurasi. Sebelum mengedit konfigurasi tripwire, kita perlu memeriksa direktori tidak ada, sesuatu yang dapat Anda lakukan dengan menggunakan perintah berikut. sudo sh -c > no-directory.txt Sekarang Anda bisa melihat semua direktori dan file yang tidak ada dengan cara berikut. kucing tidak-directory.txt

  Berikutnya, pergi ke direktori konfigurasi Tripwire dan mengedit file konfigurasi twpol.txt. cd / etc / tripwire / vim twpol.txt Pada aturan 'Boot Scripts', komentar baris seperti di bawah ini.

  ( rulename =, keparahan = $(SIG_HI) ) { /etc/init.d -> $(SEC_BIN); # / Etc / rc.boot -> $(SEC_BIN); /etc/rcS.d -> $(SEC_BIN);

  ( rulename =, keparahan = $(SIG_HI) ) { # / Var / lock -> $(SEC_CONFIG); # / Var / run -> $(SEC_CONFIG); # PID daemon / Var / log -> $(SEC_CONFIG);

  Pada aturan 'Akar config file', membuat perubahan berikut.

  ( rulename =, keparahan = 100 ) { / Root -> $(SEC_CRIT); # Menangkap semua penambahan / root # / Root / mail -> $(SEC_CONFIG); # / Root / Mail -> $(SEC_CONFIG); # / Root / .xsession-kesalahan -> $(SEC_CONFIG); # / Root / .xauth -> $(SEC_CONFIG); # / Root / .tcshrc -> $(SEC_CONFIG); # / Root / .sawfish -> $(SEC_CONFIG); # / Root / .pinerc -> $(SEC_CONFIG); # / Root / .mc -> $(SEC_CONFIG); # / Root / .gnome_private -> $(SEC_CONFIG); # / Root / .gnome-desktop -> $(SEC_CONFIG); # / Root / .gnome -> $(SEC_CONFIG); # / Root / .esd_auth -> $(SEC_CONFIG); # / Root / .elm -> $(SEC_CONFIG); # / Root / cshrc -> $(SEC_CONFIG); /root/.bashrc -> $(SEC_CONFIG); # / Root / .bash_profile -> $(SEC_CONFIG); # / Root / .bash_logout -> $(SEC_CONFIG); /root/.bash_history -> $(SEC_CONFIG); # / Root / .amandahosts -> $(SEC_CONFIG); # / Root / .addressbook.lu -> $(SEC_CONFIG); # / Root / .addressbook -> $(SEC_CONFIG); # / Root / .Xresources -> $(SEC_CONFIG);

# / Root / .Xauthority -> $(SEC_CONFIG) -i; # Mengubah nomor

inode pada login # / Root / .ICEauthority -> $(SEC_CONFIG);

  Di 'Device dan Kernel informasi' aturan, mengubah baris seperti di bawah ini.

  ( rulename = & informasi kernel, keparahan = $(SIG_HI), ) { / Dev -> $(Device); / Dev / pts -> $(Alat); / Dev / shm -> $(Alat); / Dev / hugepages -> $(Alat); / Dev / mqueue -> $(Alat); # / Proc -> $(Device); / Proc / perangkat -> $(Device); / Proc / net -> $(Device); / Proc / tty -> $(Device); / Proc / cpuinfo -> $(Device); / Proc / modules -> $(Device); / Proc / mounts -> $(Device); / Proc / dma -> $(Device); / Proc / filesystems -> $(Device); / Proc / interrupts -> $(Device); / Proc / ioports -> $(Device); / Proc / scsi -> $(Device); / Proc / kcore -> $(Device); / Proc / self -> $(Device); / Proc / kmsg -> $(Device); / Proc / Stat -> $(Device); / Proc / loadavg -> $(Device); / Proc / uptime -> $(Device); / Proc / kunci -> $(Device); / Proc / meminfo -> $(Device); / Proc / misc -> $(Device); }

  Itu dia. Menyimpan perubahan dan keluar dari editor. Setelah mengedit file konfigurasi, mengimplementasikan semua perubahan dengan menciptakan kebijakan file terenkripsi menggunakan perintah twadmin seperti yang ditunjukkan di bawah ini. sudo twadmin -m P /etc/tripwire/twpol.txt Ketik 'situs-key' passphrase dan tekan Enter.

  Dengan ini, kebijakan Tripwire baru akan dibuat. Sekarang, reinitialize database Tripwire. sudo tripwire --init

  Kebijakan Tripwire telah dikonfigurasi untuk sistem Ubuntu

  Langkah 3 - Periksa integritas file system

  Tripwire telah diinstal, dan kebijakan tripwire telah diperbarui dan reinitialized. Pada langkah ini, kami akan memeriksa sistem menggunakan Tripwire secara manual. Verifikasi semua file sistem menggunakan perintah berikut. sudo tripwire --check Dan Anda harus mendapatkan 'Tidak ada Pelanggaran' dan 'Tidak Error' dalam hasil / output.

  Berikutnya, menambahkan file baru di direktori root dan kemudian memeriksa sistem menggunakan Tripwire lagi. cd ~ / menyentuh Hakase-labs.txt sudo tripwire --check Dan di output, penambahan file dan modifikasi direktori dimana Resides file harus ditampilkan sebagai pelanggaran. Lihat hasil di bawah ini.

  Langkah 4 - Tambahkan aturan baru untuk tripwire

  Pada langkah ini, kita ingin menambahkan Aturan Tripwire baru untuk konfigurasi. Untuk membuat kebijakan tripwire baru, kita perlu mendefinisikan nama aturan, kerasnya, dan jenis file. Pada langkah ini, kita akan mencoba untuk menambahkan aturan baru bernama 'Wordpress Data' dengan keparahan 'High / SIG_HI' dan semua file di direktori yang kritis tidak dapat diubah. Pergi ke direktori konfigurasi tripwire dan mengedit file konfigurasi 'twpol.txt'. cd / etc / tripwire / vim twpol.txt Pergi ke akhir baris dan paste sampel aturan Tripwire bawah. # Ruleset untuk WordPress rulename =, keparahan = $(SIG_HI) ) { /var / www -> $(SEC_CRIT); } Simpan dan keluar.

  Sekarang menumbuhkan tripwire file konfigurasi. sudo twadmin -m P /etc/tripwire/twpol.txt Ketik passphrase situs-kunci Anda.

  Dan menginisialisasi ulang database Tripwire. sudo tripwire --init Ketik passphrase Anda lokal-key.

  Jika semua konfigurasi yang lengkap, kita dapat mencoba untuk membuat file baru atau memodifikasi file di bawah '/ var / www /' direktori. Pergi ke direktori '/ var / www /', membuat file baru dan memodifikasi file indeks. cd / var / www / menyentuh Hakase-labs.txt gema<h1> Hakase-laboratorium Tutorial</h1>" > html / index.nginx-debian.html Periksa sistem dengan menggunakan perintah tripwire bawah. sudo tripwire --check Dan Anda akan mendapatkan pemberitahuan tentang pelanggaran sistem dengan tingkat keamanan 100 seperti di bawah ini.

  Sebuah Aturan Tripwire baru telah ditambahkan.

  Langkah 5 - Pengaturan Tripwire pemberitahuan dan cron

  Pada langkah ini, kita akan mengkonfigurasi pemberitahuan untuk kebijakan ruleset Tripwire tertentu, dan mengkonfigurasi cron untuk memeriksa sistem otomatis. Untuk pemberitahuan email, Tripwire menyediakan fungsi 'emailto' di konfigurasi. Tripwire menggunakan Postfix untuk notifikasi email, dan itu otomatis terpasang selama instalasi alat ini. Sebelum mengkonfigurasi pemberitahuan email, menguji Tripwire pemberitahuan menggunakan perintah di bawah ini. tripwire --test --email [email protected] Dan pastikan Anda memiliki email dari server Anda, seperti yang ditunjukkan di bawah ini.

  Sekarang pergi ke '/ etc / tripwire' direktori dan mengedit konfigurasi 'twpol.txt'. cd / etc / tripwire / vim twpol.txt Tambahkan baris baru di dalam aturan 'data Wordpress', seperti yang ditunjukkan di bawah ini.

  # Aturan untuk Web-aplikasi ( rulename =, keparahan = $(SIG_HI), emailto = [email protected] )

  Itu dia. Simpan dan keluar.

  Berikutnya, regenerasi konfigurasi dan menginisialisasi ulang database Tripwire. sudo twadmin -m P /etc/tripwire/twpol.txt sudo tripwire --init Ketik passphrase situs-kunci untuk regenerasi konfigurasi, dan passphrase lokal-kunci untuk reinitialize.

  Sekarang, membuat file baru lagi di direktori '/ var / www /', dan memeriksa sistem manual menggunakan Tripwire dan mengirim laporan melalui email. sudo tripwire --check --email-laporan

  Dan Anda harus mendapatkan laporan email di kotak masuk Anda.

  Bergerak, untuk konfigurasi cron, kita hanya perlu mendefinisikan waktu di mana perintah tripwire akan berjalan. Kita akan mengkonfigurasi Tripwire sistem pengecekan setiap hari. Buat cron baru menggunakan perintah crontab bawah. sudo crontab -e u root Dan konfigurasi pasta cron bawah. 0 0 * * * tripwire --check --email-laporan Simpan dan keluar, dan kemudian kembali cron yang. systemctl me-restart cron

  Sekarang sistem akan melakukan pengecekan setiap hari dan mengirimkan pemberitahuan untuk 'Wordpress' pelanggaran aturan untuk email Anda. The Tripwire IDS telah diinstal dan dikonfigurasi pada Ubuntu 16.04, dan semua file dan direktori pada sistem telah dipantau. Anda dapat menambahkan ruleset Anda sendiri dengan mengikuti petunjuk pada langkah 4.

  Referensi

Dokumen yang terkait

Faktor Risiko Yang Dapat Diubah Dan Tidak Dapat Diubah Pada Pasien Penderita Penyakit Jantung Koroner Di Rsup Ham Medan

6 123 121

Implementasi Algoritma Rabin-Karp Menggunakan Stemming Nazief Dan Adriani Untuk Mendeteksi Tingkat Kemiripan File Teks Yang Berbentuk Skripsi

25 150 80

Aplikasi Untuk Mendeteksi Jenis Penyakit Pada Tanaman Tebu Dan Cara Penanganannya Berbasis

0 6 1

Implementasi Keamanan Jaringan menggunakan IDS Snort Di Balai Besar Bahan Dan Barang Teknik

0 6 1

Izin Mengakses pada File dan Direktori

0 0 6

Pengembangan IDS Berbasis J48 Untuk Mendeteksi Serangan DoS Pada Perangkat Middleware IoT

2 4 6

Peran Trombomodulin untuk Mendeteksi Kerusakan Sel Endotel pada Malaria Tropika dan Malaria Tertiana

0 0 6

HALAMAN PERSETUJUAN Karya Tulis Ilmiah dengan Judul: Faktor Risiko yang Dapat Diubah dan Tidak Dapat Diubah pada Pasien Penderita Penyakit Jantung Koroner di RSUP HAM Yang dipersiapkan oleh: NANDA LADITA

0 0 16

Implementasi Kriptografi Des pada File Gambar ke Dalam File Audio dengan Algoritma Steganografi LSB+1

0 1 20

Implementasi Kriptografi Des pada File Gambar ke Dalam File Audio dengan Algoritma Steganografi LSB+1

1 2 12