La seguridad es uno de los temas más críticos a los cuales debemos enfrentarnos diariamente y esto debido a que no sólo en nuestras organizaciones sino también a nivel personal tenemos numerosos archivos y configuraciones que en caso de ser mal usadas pueden ocasionar daños irreparables.
Conocemos diversas herramientas que nos pueden ser útiles para supervisar el comportamiento diario del sistema y en esta oportunidad hablaremos sobre una en particular llamada TripWire.
TripWire enviará al administrador del sistema un mensaje en caso de presentarse alguna falla en el sistema. TripWire es una herramienta de código abierto la cual permitirá que el área de IT sea notificada en caso de alguna modificación en el sistema Linux, en este caso Debian 8.
El funcionamiento básico de TripWire es el siguiente:
- En primer lugar la herramienta realiza un análisis y crea un punto de referencia de todos los archivos críticos en un archivo cifrado incrementando la seguridad.
- Posteriormente monitorea cualquier cambio anómalo y lo compara contra el punto de referencia incluyendo detalles como fecha y hora, permisos, entre otros.
Para este análisis usaremos un equipo con Debian 8.
1. Actualizar sistema
En primer lugar ingresaremos el comando:
apt-get updatePara actualizar todos los paquetes disponibles en el sistema.
En equipos con CentOS 7 o RHEL debemos ingresar el comando:
yum updateCon ello, habremos actualizado los paquetes.
2. Descargar e instalar TripWire
Una vez tengamos el sistema actualizado procedemos a ingresar el siguiente comando para la descarga e instalación de TripWire:
apt-get install tripwireEn equipos con CentOS 7 ingresaremos el comando:
yum install tripwire
Podemos ver que se despliega el siguiente asistente donde aceptamos el mensaje:
Una vez aceptado este mensaje se despliega la siguiente ventana donde debemos definir en qué momento crear las claves de TripWire.
Veremos lo siguiente:
Pulsamos Aceptar y debemos configurar la clave local.
Pulsamos Sí y veremos en la siguiente ventana la ruta donde se guardará la configuración de TripWire.
A continuación veremos la ruta de las directrices de TripWire.
Pulsamos la opción requerida y el proceso de instalación continuará.
Posteriormente veremos la siguiente ventana donde debemos ingresar la clave de sitio para TripWire.
Debemos confirmar la contraseña y posteriormente debemos ingresar la contraseña local.
Reconfirmamos la contraseña y finalmente veremos que la instalación ha sido finalizada de manera correcta.
Pulsamos Aceptar para salir del asistente. En caso que el asistente no sea desplegado debemos ingresar lo siguiente para configurar tanto la clave de sitio como la local:
twadmin -m G -L /etc/tripwire/dummy-local.key -S /etc/tripwire/site.keyClave de sitio.
3. Iniciar servicio TripWire
Una vez se haya instalado la herramienta TripWire procedemos a iniciar el servicio usando el siguiente comando:
tripwire –initY debemos ingresar la contraseña local que hemos creado anteriormente.
Hasta aquí hemos visto cómo instalar e iniciar Tripwire, pulsa en página siguiente un poco más abajo para pasar a aprender cómo configurarlo.
4. Modificar archivo configuración Tripwire
El siguiente paso es configurar el archivo twpol.txt usando el editor que más nos agrade.
En este caso ingresaremos el siguiente comando:
sudo nano /etc/tripwire/twpol.txtSe desplegará la siguiente ventana:
Allí ubicaremos las siguientes líneas:
Estas líneas están relacionadas con la base de datos creada anteriormente cuando se inició el servicio TripWire. Allí debemos habilitar estas líneas usando el ícono #, solamente no seleccionamos las siguientes líneas:
/root/.bashrc /root/.bash_profile
De la misma manera debemos activar las siguientes líneas:
Guardamos los cambios usando la combinación de teclas:
Ctrl + O
Y salimos del editor usando la combinación:
Ctrl + X
5. Modificar las plantillas TripWire
A continuación ingresaremos en la siguiente ruta para modificar la plantilla de la herramienta:
twadmin -m P /etc/tripwire/twpol.txt
Vemos que se ha escrito correctamente la política del archivo. Una vez configurados estos parámetros debemos usar nuevamente el comando:
tripwire –initPara que los cambios sean efectuados.
6. Verificación de TripWire
Para verificar los parámetros de la herramienta TripWire ingresaremos el siguiente comando:
tripwire –check
Podemos desplegar un poco más el texto y encontraremos en la fila Rule Summary los objetos que han sido escaneados por la herramienta y las posibles violaciones o afectaciones en los mismos.
7. Automatizar reportes TripWire en Debian 8
Uno de los parámetros que usa TripWire, como lo mencionamos anteriormente, es que la herramienta crea un punto de restauración de los archivos críticos.
Para esto podemos usar lo siguiente:
crontab -eVeremos lo siguiente:
Al final de la consola debemos ingresar los parámetros para el respaldo de la información:
De esta manera configuramos que vía correo electrónico nos lleguen las notificaciones de alguna modificación en los archivos.
Guardamos los cambios usando la combinación de teclas Ctrl + O.
Como hemos visto con la herramienta TripWire podemos contar con la posibilidad de velar por la integridad y seguridad de los archivos de nuestros sistemas Linux.
Esto se llama tutorial de útil, bueno, bonito y barato (gratis) jeje gracias amigos. TripWire es el mejor sistema para detectar hackers malos.