วิธีการติดตั้ง Tripwire IDS (ระบบตรวจจับการบุกรุก) บน Linux

Tripwire คือ ระบบตรวจจับการบุกรุก Linux (IDS) ยอดนิยมที่ทำงานบนระบบเพื่อตรวจสอบว่ามีการเปลี่ยนแปลงระบบไฟล์ที่ไม่ได้รับอนุญาตเกิดขึ้นเมื่อเวลาผ่านไปหรือไม่

ในการแจกแจง CentOS และ RHEL tripwire ไม่ได้เป็นส่วนหนึ่งของที่เก็บข้อมูลอย่างเป็นทางการ อย่างไรก็ตาม สามารถติดตั้งแพ็คเกจ tripwire ผ่านทางที่เก็บ Epel ได้

ในการเริ่มต้น ให้ติดตั้งที่เก็บ Epel ในระบบ CentOS และ RHEL ก่อน โดยใช้คำสั่งด้านล่าง

yum install epel-release

หลังจากที่คุณติดตั้งที่เก็บ Epel แล้ว ตรวจสอบให้แน่ใจว่าคุณอัปเดตระบบด้วยคำสั่งต่อไปนี้

yum update

หลังจากกระบวนการอัปเดตเสร็จสิ้น ให้ติดตั้งซอฟต์แวร์ Tripwire IDS โดยดำเนินการคำสั่งด้านล่าง

yum install tripwire

โชคดีที่ Tripwire เป็นส่วนหนึ่งของที่เก็บเริ่มต้นของ Ubuntu และ Debian และสามารถติดตั้งได้ด้วยคำสั่งต่อไปนี้

sudo apt update
sudo apt install tripwire

บน Ubuntu และ Debian การติดตั้ง tripwire จะถูกขอให้เลือกและยืนยันคีย์ไซต์และรหัสผ่านคีย์ในเครื่อง tripwire ใช้คีย์เหล่านี้เพื่อรักษาความปลอดภัยไฟล์การกำหนดค่า

บน CentOS และ RHEL คุณต้องสร้างคีย์ tripwire ด้วยคำสั่งด้านล่าง และระบุ ข้อความรหัสผ่าน สำหรับคีย์ไซต์และคีย์ในเครื่อง

tripwire-setup-keyfiles

ในการตรวจสอบระบบของคุณ คุณต้องเริ่มต้นฐานข้อมูล Tripwire ด้วยคำสั่งต่อไปนี้ เนื่องจากฐานข้อมูลยังไม่ได้เริ่มต้น Tripwire จะแสดงคำเตือนเชิงบวกที่ผิดพลาดจำนวนมาก

tripwire --init

สุดท้าย ให้สร้างรายงานระบบ tripwire เพื่อตรวจสอบการกำหนดค่าโดยใช้คำสั่งด้านล่าง ใช้สวิตช์ --help เพื่อแสดงรายการตัวเลือกคำสั่งตรวจสอบ tripwire ทั้งหมด

tripwire --check --help
tripwire --check

หลังจากคำสั่งตรวจสอบ tripwire เสร็จสิ้น ให้ตรวจสอบรายงานโดยเปิดไฟล์ที่มีนามสกุล .twr จากไดเร็กทอรี /var/lib/tripwire/report/ ด้วยคำสั่งโปรแกรมแก้ไขข้อความที่คุณชื่นชอบ แต่ก่อนหน้านั้นคุณต้องแปลงเป็นไฟล์ข้อความ

twprint --print-report --twrfile /var/lib/tripwire/report/tecmint-20170727-235255.twr > report.txt
vi report.txt

แค่นั้นแหละ! คุณติดตั้ง Tripwire บนเซิร์ฟเวอร์ Linux สำเร็จแล้ว ฉันหวังว่าคุณจะสามารถกำหนดค่า Tripwire IDS ของคุณได้อย่างง่ายดาย