Pesquisa de site

Como instalar o Tripwire IDS (sistema de detecção de intrusões) no Linux

Tripwire é um Sistema de Detecção de Intrusão Linux (IDS) popular que é executado em sistemas para detectar se alterações não autorizadas no sistema de arquivos ocorreram ao longo do tempo.

Nas distribuições CentOS e RHEL, um tripwire não faz parte dos repositórios oficiais. No entanto, o pacote tripwire pode ser instalado através dos repositórios Epel.

Para começar, primeiro instale os repositórios Epel no sistema CentOS e RHEL, emitindo o comando abaixo.

yum install epel-release

Depois de instalar os repositórios Epel, certifique-se de atualizar o sistema com o seguinte comando.

yum update

Após a conclusão do processo de atualização, instale o software Tripwire IDS executando o comando abaixo.

yum install tripwire

Felizmente, o Tripwire faz parte dos repositórios padrão do Ubuntu e do Debian e pode ser instalado com os seguintes comandos.

sudo apt update
sudo apt install tripwire

No Ubuntu e no Debian, a instalação do tripwire será solicitada a escolher e confirmar uma chave de site e uma senha de chave local. Essas chaves são usadas pelo tripwire para proteger seus arquivos de configuração.

No CentOS e no RHEL, você precisa criar chaves tripwire com o comando abaixo e fornecer uma senha para a chave do site e a chave local.

tripwire-setup-keyfiles

Para validar seu sistema, você precisa inicializar o banco de dados Tripwire com o seguinte comando. Devido ao fato de o banco de dados ainda não ter sido inicializado, um tripwire exibirá muitos avisos de falsos positivos.

tripwire --init

Por fim, gere um relatório do sistema tripwire para verificar as configurações emitindo o comando abaixo. Use a opção --help para listar todas as opções de comando de verificação do tripwire.

tripwire --check --help
tripwire --check

Após a conclusão do comando de verificação do tripwire, revise o relatório abrindo o arquivo com a extensão .twr do diretório /var/lib/tripwire/report/ com seu comando de editor de texto favorito, mas antes disso você precisa converter para um arquivo de texto.

twprint --print-report --twrfile /var/lib/tripwire/report/tecmint-20170727-235255.twr > report.txt
vi report.txt

É isso! você instalou o Tripwire com sucesso no servidor Linux. Espero que agora você possa configurar facilmente seu Tripwire IDS.