Recherche de site Web

Comment installer Tripwire IDS (système de détection d'intrusion) sur Linux

Tripwire est un système de détection d'intrusion Linux (IDS) populaire qui s'exécute sur les systèmes afin de détecter si des modifications non autorisées du système de fichiers se sont produites au fil du temps.

Dans les distributions CentOS et RHEL, un tripwire ne fait pas partie des référentiels officiels. Cependant, le package tripwire peut être installé via les référentiels Epel.

Pour commencer, installez d'abord les référentiels Epel dans les systèmes CentOS et RHEL, en exécutant la commande ci-dessous.

yum install epel-release

Après avoir installé les référentiels Epel, assurez-vous de mettre à jour le système avec la commande suivante.

yum update

Une fois le processus de mise à jour terminé, installez le logiciel Tripwire IDS en exécutant la commande ci-dessous.

yum install tripwire

Heureusement, Tripwire fait partie des référentiels par défaut Ubuntu et Debian et peut être installé avec les commandes suivantes.

sudo apt update
sudo apt install tripwire

Sur Ubuntu et Debian, l'installation de tripwire sera invitée à choisir et à confirmer une clé de site et une phrase secrète de clé locale. Ces clés sont utilisées par tripwire pour sécuriser ses fichiers de configuration.

Sur CentOS et RHEL, vous devez créer des clés tripwire avec la commande ci-dessous et fournir une phrase secrète pour la clé de site et la clé locale.

tripwire-setup-keyfiles

Afin de valider votre système, vous devez initialiser la base de données Tripwire avec la commande suivante. Étant donné que la base de données n’a pas encore été initialisée, un fil-piège affichera de nombreux avertissements faussement positifs.

tripwire --init

Enfin, générez un rapport du système tripwire afin de vérifier les configurations en exécutant la commande ci-dessous. Utilisez le commutateur --help pour répertorier toutes les options de commande de vérification du fil-piège.

tripwire --check --help
tripwire --check

Une fois la commande tripwire check terminée, examinez le rapport en ouvrant le fichier avec l'extension .twr depuis le répertoire /var/lib/tripwire/report/ avec votre commande d'éditeur de texte préférée, mais avant cela, vous devez convertir en fichier texte.

twprint --print-report --twrfile /var/lib/tripwire/report/tecmint-20170727-235255.twr > report.txt
vi report.txt

C'est ça! vous avez installé avec succès Tripwire sur le serveur Linux. J'espère que vous pourrez désormais configurer facilement votre Tripwire IDS.