Cài Đặt Tripwire Cho Kusanagi

Vì chúng tôi đã sử dụng một CMS hoặc trình cắm dễ bị tấn công như là một ứng dụng thực sự được sử dụng bởi khách hàng của chúng tôi, các tập lệnh bất hợp pháp được cài đặt thông qua lỗ hổng và thư rác được gửi đến những người không xác định Nó đã được. 
Nếu bạn đã giới thiệu Tripwire, bạn có thể nhận thấy sớm rằng các tệp (tập lệnh) ngoài ý muốn đã được cài đặt.

1. Kích hoạt Tripwire bằng lệnh KUSANAGI

Từ phiên bản trên, bạn có thể cài đặt nó bằng cách chạy # kusanagi addon cài đặt tripwire. 
Mặc dù bạn có thể yêu cầu cài đặt cụm mật khẩu (đầu vào) nhiều lần trong quá trình cài đặt, vì có nhiều thứ phải nhập ngay cả trong khi vận hành, do đó bạn không nhập đúng và quên nó sẽ không được.

# kusanagi addon install tripwire

----------------------------------------------
The Tripwire site and local passphrases are used to sign a variety of
files, such as the configuration, policy, and database files.

Passphrases should be at least 8 characters in length and contain both
letters and numbers.

See the Tripwire manual for more information.

----------------------------------------------
Creating key files...

(When selecting a passphrase, keep in mind that good passphrases typically
have upper and lower case letters, digits and punctuation marks, and are
at least 8 characters in length.)

Enter the site keyfile passphrase:
Verify the site keyfile passphrase:
Generating key (this may take several minutes)...Key generation complete.

(When selecting a passphrase, keep in mind that good passphrases typically
have upper and lower case letters, digits and punctuation marks, and are
at least 8 characters in length.)

Enter the local keyfile passphrase:
～～以下省略～～

2. Điều chỉnh cài đặt Tripwire

Các tệp cấu hình được tạo trong /etc/tripwire/. 
Phát hiện gian lận Tripwire tạo ra một cơ sở dữ liệu ghi lại thông tin tệp và thư mục và đưa ra cảnh báo khi cập nhật, xóa hoặc thêm được thực hiện so với cơ sở dữ liệu đó.

Quản trị viên đánh giá xem đó là tệp được cài đặt có chủ ý hay tệp bị xóa bằng cách nhìn vào cảnh báo.

Đó là một ý tưởng tốt để chỉnh sửa cơ sở dữ liệu cơ bản dựa trên /etc/tripwire/twpol.txt được chuẩn bị dưới dạng tệp mẫu.

Nội dung của twpol.txt được chia thành các phần cho mỗi thư mục và có thể thực hiện cài đặt chi tiết. 
(Chúng tôi sẽ loại trừ các thư mục và tệp nhất định khỏi các mục tiêu phát hiện, phát hiện thư mục này sẽ thông báo cảnh báo đến các địa chỉ email được chỉ định, v.v.) trong tệp này)

Ví dụ, trong phần mô tả gần dòng 169, nó được viết như sau, nhưng đây là cho / (root), / home, bên dưới / v.v.

 169 (
 170 rulename = "Invariant Directories",
 171 severity = $(SIG_MED)
 173 )
 174 {
 175 / -> $(SEC_INVARIANT) (recurse = 0) ;
 176 /home -> $(SEC_INVARIANT) (recurse = 0) ;
 177
 178 /etc -> $(SEC_INVARIANT) (recurse = 0) ;
 179
 180 }

Trong trường hợp của Kusanagi là /home/Kusanagi / << profile>> / to, nhưng thư mục của mỗi profile được tạo ra, 
nếu, ví dụ, để phát hiện sự sáng tạo tập tin vào lĩnh vực này, để thay đổi mô tả như sau (tình cờ Thông báo thư cũng sẽ được kích hoạt).

* Để thực hiện thông báo qua email, hãy viết nó dưới mức độ nghiêm trọng dưới dạng emailto =. Chúng tôi cũng thêm, vào cuối của mức độ nghiêm trọng. 
* Những người có recurse = 0 không bị phát hiện. Thêm dòng của / home / kusanagi và tạo dòng đó -1, để / home / kusanagi và bên dưới sẽ được phát hiện.

  (
  rulename = "Invariant Directories",
  severity = $(SIG_MED);
  emailto = *****@example.com 
  )
  {
  / -> $(SEC_INVARIANT) (recurse = 0) ;
  /home -> $(SEC_INVARIANT) (recurse = 0) ;
  /etc -> $(SEC_INVARIANT) (recurse = 0) ;
 /home/kusanagi -> $(SEC_INVARIANT) (recurse = -1) ;
  }

Trên thực tế, sử dụng cài đặt này sẽ phát hiện các bản cập nhật của tệp nhật ký bên dưới hồ sơ, vì vậy nó không thực tế, nhưng ở đây nó được đặt làm một ví dụ dễ hiểu trong thư mục này.

Hãy mã hóa nó sau khi chỉnh sửa tệp chính sách.

# twadmin -m P -c /etc/tripwire/tw.cfg -p /etc/tripwire/tw.pol -S /etc/tripwire/site.key /etc/tripwire/twpol.txt

3. Tạo và cập nhật cơ sở dữ liệu và tệp chính sách

Sử dụng lệnh sau để tạo cơ sở dữ liệu theo tệp chính sách đã điều chỉnh.

#  /usr/sbin/tripwire --init

Ngoài ra, do thông tin tệp (thư mục) thay đổi tương tự được thông báo cho nội dung báo cáo khi phát hiện mỗi khi cơ sở dữ liệu không được cập nhật sau khi phát hiện, nếu không có vấn đề gì trong nội dung phát hiện hoặc quá trình xử lý được hoàn thành, cơ sở dữ liệu sẽ được cập nhật mới nhất, vì vậy ban đầu Vui lòng cập nhật hoặc cập nhật cơ sở dữ liệu dựa trên tệp báo cáo.

# tripwire --Update-policy -Z Low /etc/tripwire/twpol.txt

4. Kiểm tra hoạt động phát hiện tập tin

Hãy thiết lập một tệp phù hợp trong thư mục đích phát hiện.

# touch /home/kusanagi/＜＜プロファイル>>/testfile

Sau khi cài đặt tệp, hãy để nó kiểm tra bằng lệnh tiếp theo để phát hiện nó. - M được sử dụng để gửi thư.

# tripwire -m c -c /etc/tripwire/tw.cfg -M

Kết quả lệnh (báo cáo) trên màn hình và nội dung báo cáo được thông báo qua e-mail là khác nhau.

Đây là một cài đặt của 2. Vì việc gửi thư có liên quan đến một thư mục cụ thể 
, nó là một thông báo cho cài đặt của tệp phát hiện được mô tả trong thư.

Một thư chứa nội dung sau đến và một báo cáo rằng testfile đã được thêm vào (thêm).

-------------------------------------------------------------------------------
Rule Name: Invariant Directories (/home/kusanagi)
Severity Level: 66
-------------------------------------------------------------------------------
 ----------------------------------------
 Added Objects: 1
 ----------------------------------------

Added object name: /home/kusanagi/＜＜プロファイル＞＞/testfile