Búsqueda de sitios web

Cómo instalar Tripwire IDS (sistema de detección de intrusiones) en Linux

Tripwire es un popular sistema de detección de intrusiones de Linux (IDS) que se ejecuta en los sistemas para detectar si se produjeron cambios no autorizados en el sistema de archivos con el tiempo.

En las distribuciones CentOS y RHEL, un cable trampa no forma parte de los repositorios oficiales. Sin embargo, el paquete tripwire se puede instalar a través de los repositorios de Epel.

Para comenzar, primero instale los repositorios Epel en los sistemas CentOS y RHEL, emitiendo el siguiente comando.

yum install epel-release

Después de haber instalado los repositorios Epel, asegúrese de actualizar el sistema con el siguiente comando.

yum update

Una vez finalizado el proceso de actualización, instale el software Tripwire IDS ejecutando el siguiente comando.

yum install tripwire

Afortunadamente, Tripwire forma parte de los repositorios predeterminados de Ubuntu y Debian y se puede instalar con los siguientes comandos.

sudo apt update
sudo apt install tripwire

En Ubuntu y Debian, se le pedirá a la instalación de Tripwire que elija y confirme una clave de sitio y una frase de contraseña de clave local. Tripwire utiliza estas claves para proteger sus archivos de configuración.

En CentOS y RHEL, debe crear claves trampa con el siguiente comando y proporcionar una frase de contraseña para la clave del sitio y la clave local.

tripwire-setup-keyfiles

Para validar su sistema, necesita inicializar la base de datos Tripwire con el siguiente comando. Debido a que la base de datos aún no se ha inicializado, un cable trampa mostrará muchas advertencias de falsos positivos.

tripwire --init

Finalmente, genere un informe del sistema tripwire para verificar las configuraciones emitiendo el siguiente comando. Utilice el interruptor --help para enumerar todas las opciones del comando de verificación tripwire.

tripwire --check --help
tripwire --check

Después de que se complete el comando de verificación tripwire, revise el informe abriendo el archivo con la extensión .twr del directorio /var/lib/tripwire/report/ con su comando de editor de texto favorito. pero antes de eso necesitas convertirlo a un archivo de texto.

twprint --print-report --twrfile /var/lib/tripwire/report/tecmint-20170727-235255.twr > report.txt
vi report.txt

¡Eso es todo! ha instalado Tripwire con éxito en el servidor Linux. Espero que ahora puedas configurar fácilmente tu Tripwire IDS.