Установка и настройка программы Tripwire
Программа Tripwire используется для наблюдения за состоянием файловой системы и обнаружения вторжений в нее. После установки она сканирует файловую систему и сохраняет информацию о каждом найденном объекте в собственную базу данных. При этом каждый старт операционной системы начинается с мониторинга и текущие значения сравниваются с уже сохраненными. Если программа находит отличия, то оповещает об этом администратора. В качестве контроля используются хэш-суммы, поэтому значения объекта не сохраняются в программе в полном виде.
Расскажем подробнее про установку Tripwire. В качестве тестовой ОС используется Ubuntu Server 18.04.
Установка
Для установки программы воспользуемся штатным менеджером:
sudo apt-get install tripwire
Во время установки появится диалоговое окно с первичной настройкой ключей:
Скриншот №1. Конфигурация ключей.
Tripwire генерирует буквенно-числовой код для защиты хэша файлов. Такой подход гарантирует, что злоумышленник не получит доступ к информации, хранящейся внутри программы. Выбираем пункт Yes дважды.
Мастер создаст два ключа: site-key и local-key.
- Первый ключ гарантирует сохранность и надежность конфигурационных файлов программы. Данный тип защиты используется на разных серверных платформах.
- Второй предназначен для защиты бинарных файлов, которые расположены на каждом хосте под наблюдением Tripwire.
Первый запуск
Конфигурирование на первом этапе окончено — инициализируем модуль:
sudo tripwire --init
Процесс занимает 5-7 минут. По окончании продукт сгенерирует хэш-суммы файловых объектов операционной системы, которые в дальнейшем будут использоваться для сравнения.
Конфигурация программного обеспечения хранится по следующему адресу: /etc/tripwire/twpol.txt. Чтобы внести изменения открываем файл при помощи текстового редактора и вносим правки. После этого сохраняем новый шаблон и обновляем политику в программе. Далее вводим в терминале:
tripwire --update-policy --secure-mode low /etc/tripwire/twpol.txt
Важно! Редактирование доступно только с правами суперпользователя. Прежде чем вносить изменения в текущую конфигурацию, рекомендуется выполнить резервное копирование файла, а также ознакомиться с правилами.
Для проверки внесенных правок, используем следующий синтаксис:
tripwire --check –interactive
Автоматизация процессов
Рассмотрим дополнительные возможности программы, в частности, автоматизацию сбора отчетов.
Любой процесс в Tripwire автоматизируется с помощью внешнего демона Cron, входящего в состав Linux по умолчанию. Создадим для примера шаблон активации проверки Tripwire два раза в день: ночью и днем. Откроем панель управления с расписанием:
crontab –e
Операционная система выдаст перечень доступных редакторов для открытия файла, указываем любой. В открывшемся окне прописываем следующую строку:
30 */12 * * * tripwire --check --interactive > system-$(date +"%H:%M:%S_%d-%m-%Y")
Теперь отчеты собираются автоматически.