Como instalar o Tripwire IDS (sistema de detecção de intrusões) no Linux
Tripwire é um Sistema de Detecção de Intrusão Linux (IDS) popular que é executado em sistemas para detectar se alterações não autorizadas no sistema de arquivos ocorreram ao longo do tempo.
Nas distribuições CentOS e RHEL, um tripwire não faz parte dos repositórios oficiais. No entanto, o pacote tripwire pode ser instalado através dos repositórios Epel.
Para começar, primeiro instale os repositórios Epel no sistema CentOS e RHEL, emitindo o comando abaixo.
yum install epel-release
Depois de instalar os repositórios Epel, certifique-se de atualizar o sistema com o seguinte comando.
yum update
Após a conclusão do processo de atualização, instale o software Tripwire IDS executando o comando abaixo.
yum install tripwire
Felizmente, o Tripwire faz parte dos repositórios padrão do Ubuntu e do Debian e pode ser instalado com os seguintes comandos.
sudo apt update
sudo apt install tripwire
No Ubuntu e no Debian, a instalação do tripwire será solicitada a escolher e confirmar uma chave de site e uma senha de chave local. Essas chaves são usadas pelo tripwire para proteger seus arquivos de configuração.
No CentOS e no RHEL, você precisa criar chaves tripwire com o comando abaixo e fornecer uma senha para a chave do site e a chave local.
tripwire-setup-keyfiles
Para validar seu sistema, você precisa inicializar o banco de dados Tripwire com o seguinte comando. Devido ao fato de o banco de dados ainda não ter sido inicializado, um tripwire exibirá muitos avisos de falsos positivos.
tripwire --init
Por fim, gere um relatório do sistema tripwire para verificar as configurações emitindo o comando abaixo. Use a opção --help
para listar todas as opções de comando de verificação do tripwire.
tripwire --check --help
tripwire --check
Após a conclusão do comando de verificação do tripwire, revise o relatório abrindo o arquivo com a extensão .twr
do diretório /var/lib/tripwire/report/ com seu comando de editor de texto favorito, mas antes disso você precisa converter para um arquivo de texto.
twprint --print-report --twrfile /var/lib/tripwire/report/tecmint-20170727-235255.twr > report.txt
vi report.txt
É isso! você instalou o Tripwire com sucesso no servidor Linux. Espero que agora você possa configurar facilmente seu Tripwire IDS.