Ricerca nel sito web

Come installare Tripwire IDS (sistema di rilevamento delle intrusioni) su Linux

Tripwire è un popolare Linux Intrusion Detection System (IDS) che viene eseguito sui sistemi per rilevare se nel tempo si sono verificate modifiche non autorizzate del file system.

Nelle distribuzioni CentOS e RHEL un tripwire non fa parte dei repository ufficiali. Tuttavia, il pacchetto tripwire può essere installato tramite i repository Epel.

Per iniziare, installa prima i repository Epel nel sistema CentOS e RHEL, emettendo il comando seguente.

yum install epel-release

Dopo aver installato i repository Epel, assicurati di aggiornare il sistema con il seguente comando.

yum update

Al termine del processo di aggiornamento, installa il software Tripwire IDS eseguendo il comando seguente.

yum install tripwire

Fortunatamente, Tripwire fa parte dei repository predefiniti Ubuntu e Debian e può essere installato con i seguenti comandi.

sudo apt update
sudo apt install tripwire

Su Ubuntu e Debian, all'installazione di tripwire verrà chiesto di scegliere e confermare una chiave del sito e una passphrase della chiave locale. Queste chiavi vengono utilizzate da tripwire per proteggere i propri file di configurazione.

Su CentOS e RHEL, devi creare chiavi tripwire con il comando seguente e fornire una passphrase per la chiave del sito e la chiave locale.

tripwire-setup-keyfiles

Per convalidare il tuo sistema, devi inizializzare il database Tripwire con il seguente comando. Dato che il database non è stato ancora inizializzato, un tripwire mostrerà molti avvisi di falsi positivi.

tripwire --init

Infine, genera un report del sistema tripwire per verificare le configurazioni emettendo il comando seguente. Utilizza l'opzione --help per elencare tutte le opzioni del comando di controllo tripwire.

tripwire --check --help
tripwire --check

Una volta completato il comando di controllo tripwire, esamina il rapporto aprendo il file con estensione .twr dalla directory /var/lib/tripwire/report/ con il comando del tuo editor di testo preferito, ma prima devi convertirlo in un file di testo.

twprint --print-report --twrfile /var/lib/tripwire/report/tecmint-20170727-235255.twr > report.txt
vi report.txt

Questo è tutto! hai installato con successo Tripwire sul server Linux. Spero che ora tu possa configurare facilmente il tuo IDS Tripwire.