Cómo instalar Tripwire IDS (sistema de detección de intrusiones) en Linux


Tripwire es un popular sistema de detección de intrusiones (IDS) de Linux que se ejecuta en sistemas para detectar si se produjeron cambios no autorizados en el sistema de archivos con el tiempo.

En las distribuciones de CentOS y RHEL, un tripwire no forma parte de los repositorios oficiales. Sin embargo, el paquete tripwire se puede instalar a través de los repositorios de Epel.

Para comenzar, primero instale los repositorios de Epel en el sistema CentOS y RHEL, emitiendo el siguiente comando.

# yum install epel-release

Después de haber instalado los repositorios de Epel, asegúrese de actualizar el sistema con el siguiente comando.

# yum update

Una vez finalizado el proceso de actualización, instale el software Tripwire IDS ejecutando el siguiente comando.

# yum install tripwire

Afortunadamente, Tripwire es parte de los repositorios predeterminados de Ubuntu y Debian y se puede instalar con los siguientes comandos.

$ sudo apt update
$ sudo apt install tripwire

En Ubuntu y Debian, se le pedirá a la instalación de Tripwire que elija y confirme una clave de sitio y una frase de contraseña de clave local. Tripwire utiliza estas claves para proteger sus archivos de configuración.

En CentOS y RHEL, debe crear claves tripwire con el siguiente comando y proporcionar una frase de contraseña para la clave del sitio y la clave local.

# tripwire-setup-keyfiles

Para validar su sistema, necesita inicializar la base de datos Tripwire con el siguiente comando. Debido al hecho de que la base de datos aún no se ha inicializado, un cable trampa mostrará muchas advertencias falsas positivas.

# tripwire --init

Finalmente, genere un informe del sistema tripwire para verificar las configuraciones emitiendo el siguiente comando. Use el interruptor --help para listar todas las opciones de comando de verificación de tripwire.

# tripwire --check --help
# tripwire --check

Después de que se complete el comando de verificación de tripwire, revise el informe abriendo el archivo con la extensión .twr del directorio/var/lib/tripwire/report/con su comando de editor de texto favorito, pero antes de eso, debe convertir al archivo de texto.

# twprint --print-report --twrfile /var/lib/tripwire/report/tecmint-20170727-235255.twr > report.txt
# vi report.txt

¡Eso es! ha instalado con éxito Tripwire en el servidor Linux. Espero que ahora pueda configurar fácilmente su Tripwire IDS.