Com instal·lar Tripwire IDS (sistema de detecció d'intrusions) a Linux

Tripwire és un sistema de detecció d'intrusions (IDS) de Linux popular que s'executa en sistemes per detectar si s'han produït canvis no autoritzats al sistema de fitxers al llarg del temps.

A les distribucions CentOS i RHEL, un tripwire no forma part dels dipòsits oficials. Tanmateix, el paquet tripwire es pot instal·lar a través dels repositoris Epel.

Per començar, primer instal·leu els dipòsits Epel al sistema CentOS i RHEL, emetent l'ordre següent.

# yum install epel-release

Després d'haver instal·lat els dipòsits d'Epel, assegureu-vos d'actualitzar el sistema amb l'ordre següent.

# yum update

Un cop finalitzi el procés d'actualització, instal·leu el programari Tripwire IDS executant l'ordre següent.

# yum install tripwire

Afortunadament, Tripwire forma part dels repositoris predeterminats d'Ubuntu i Debian i es pot instal·lar amb les ordres següents.

$ sudo apt update
$ sudo apt install tripwire

A Ubuntu i Debian, es demanarà a la instal·lació de tripwire que triï i confirmi una clau de lloc i una frase de contrasenya de clau local. Tripwire utilitza aquestes claus per protegir els seus fitxers de configuració.

A CentOS i RHEL, heu de crear claus tripwire amb l'ordre següent i proporcionar una contrasenya per a la clau del lloc i la clau local.

# tripwire-setup-keyfiles

Per validar el vostre sistema, heu d'inicialitzar la base de dades Tripwire amb l'ordre següent. A causa del fet que la base de dades encara no s'ha inicialitzat, un tripwire mostrarà molts avisos falsos positius.

# tripwire --init

Finalment, genereu un informe del sistema tripwire per comprovar les configuracions emetent l'ordre següent. Utilitzeu el commutador --help per llistar totes les opcions d'ordres de verificació de tripwire.

# tripwire --check --help
# tripwire --check

Un cop finalitzada l'ordre de verificació de tripwire, reviseu l'informe obrint el fitxer amb l'extensió .twr del directori /var/lib/tripwire/report/ amb la vostra ordre d'editor de text preferida, però abans heu de convertir al fitxer de text.

# twprint --print-report --twrfile /var/lib/tripwire/report/tecmint-20170727-235255.twr > report.txt
# vi report.txt

Això és! heu instal·lat correctament Tripwire al servidor Linux. Espero que ara puguis configurar fàcilment el teu Tripwire IDS.