Установка и настройка программы Tripwire

АБ
Антон Белов
31 января 2020

Программа Tripwire используется для наблюдения за состоянием файловой системы и обнаружения вторжений в нее. После установки она сканирует файловую систему и сохраняет информацию о каждом найденном объекте в собственную базу данных. При этом каждый старт операционной системы начинается с мониторинга и текущие значения сравниваются с уже сохраненными. Если программа находит отличия, то оповещает об этом администратора. В качестве контроля используются хэш-суммы, поэтому значения объекта не сохраняются в программе в полном виде.

Расскажем подробнее про установку Tripwire. В качестве тестовой ОС используется Ubuntu Server 18.04.

Установка

Для установки программы воспользуемся штатным менеджером:

sudo apt-get install tripwire

Во время установки появится диалоговое окно с первичной настройкой ключей:

Конфигурация ключей.
Скриншот №1. Конфигурация ключей.

Tripwire генерирует буквенно-числовой код для защиты хэша файлов. Такой подход гарантирует, что злоумышленник не получит доступ к информации, хранящейся внутри программы. Выбираем пункт Yes дважды.

Мастер создаст два ключа: site-key и local-key.

  • Первый ключ гарантирует сохранность и надежность конфигурационных файлов программы. Данный тип защиты используется на разных серверных платформах.
  • Второй предназначен для защиты бинарных файлов, которые расположены на каждом хосте под наблюдением Tripwire.

Первый запуск

Конфигурирование на первом этапе окончено — инициализируем модуль:

sudo tripwire --init

Процесс занимает 5-7 минут. По окончании продукт сгенерирует хэш-суммы файловых объектов операционной системы, которые в дальнейшем будут использоваться для сравнения.

Конфигурация программного обеспечения хранится по следующему адресу: /etc/tripwire/twpol.txt. Чтобы внести изменения открываем файл при помощи текстового редактора и вносим правки. После этого сохраняем новый шаблон и обновляем политику в программе. Далее вводим в терминале:

tripwire --update-policy --secure-mode low /etc/tripwire/twpol.txt

Важно! Редактирование доступно только с правами суперпользователя. Прежде чем вносить изменения в текущую конфигурацию, рекомендуется выполнить резервное копирование файла, а также ознакомиться с правилами.

Для проверки внесенных правок, используем следующий синтаксис:

tripwire --check –interactive

Автоматизация процессов

Рассмотрим дополнительные возможности программы, в частности, автоматизацию сбора отчетов.

Любой процесс в Tripwire автоматизируется с помощью внешнего демона Cron, входящего в состав Linux по умолчанию. Создадим для примера шаблон активации проверки Tripwire два раза в день: ночью и днем. Откроем панель управления с расписанием:

crontab –e

Операционная система выдаст перечень доступных редакторов для открытия файла, указываем любой. В открывшемся окне прописываем следующую строку:

30 */12 * * * tripwire --check --interactive > system-$(date +"%H:%M:%S_%d-%m-%Y")

Теперь отчеты собираются автоматически.

Остались вопросы? Задайте их нашему эксперту и получите квалифицированную помощь