Cómo instalar Tripwire IDS (sistema de detección de intrusiones) en Linux


Tripwire es un popular Sistema de detección de intrusiones de Linux ( IDS ) que se ejecuta en los sistemas para detectar si se produjeron cambios no autorizados en el sistema de archivos con el tiempo.

En las distribuciones CentOS y RHEL , tripwire no forma parte de los repositorios oficiales. Sin embargo, el paquete tripwire se puede instalar a través de los repositorios de Epel.

Para comenzar, primero instale los repositorios Epel en los sistemas CentOS y RHEL , emitiendo el siguiente comando.

# yum install epel-release

Después de instalar los repositorios de Epel , asegúrese de actualizar el sistema con el siguiente comando.

# yum update

Una vez que finalice el proceso de actualización, instale el software Tripwire IDS ejecutando el siguiente comando.

# yum install tripwire

Afortunadamente, tripwire es parte de los repositorios predeterminados de Ubuntu y Debian y se puede instalar con los siguientes comandos.

$ sudo apt update
$ sudo apt install tripwire

En Ubuntu y Debian , se le pedirá a la instalación de tripwire que elija y confirme una clave de sitio y una frase de contraseña de clave local. Tripwire utiliza estas claves para proteger sus archivos de configuración.

En CentOS y RHEL , debe crear claves Tripwire con el siguiente comando y proporcionar una frase de contraseña para la clave del sitio y la clave local.

# tripwire-setup-keyfiles

Para validar su sistema, necesita inicializar la base de datos Tripwire con el siguiente comando. Debido al hecho de que la base de datos aún no se ha inicializado, tripwire mostrará muchas advertencias de falsos positivos.

# tripwire --init

Finalmente, genere un informe del sistema Tripwire para verificar las configuraciones emitiendo el siguiente comando. Use el interruptor --help para enumerar todas las opciones de comando de comprobación de Tripwire.

# tripwire --check --help
# tripwire --check

Después de que se complete el comando de comprobación de Tripwire, revise el informe abriendo el archivo con el directorio .twr desde /var/lib/tripwire/report/ con su comando de editor de texto favorito. pero antes de eso necesitas convertir a un archivo de texto.

# twprint --print-report --twrfile /var/lib/tripwire/report/tecmint-20170727-235255.twr > report.txt
# vi report.txt

¡Eso es! ha instalado con éxito Tripwire en el servidor de Linux. Espero que ahora pueda configurar fácilmente su ID de Tripwire.