Asegurar el sistema de archivos de GNU/Linux con Tripwire

 

 

 

 

 

 

 

 

 

 

 

Si bien Linux se considera el sistema operativo más seguro (por delante de Windows y MacOS), sigue siendo vulnerable a los rootkits y otras variantes de malware. Por lo tanto, los usuarios de Linux necesitan saber cómo proteger sus servidores o computadoras personales de la destrucción,  el primer paso que deben dar es proteger el sistema de archivos.

En este artículo, conoceremos Tripwire, una excelente herramienta para proteger los sistemas de archivos de Linux. Tripwire es una herramienta de comprobación de integridad que permite a los administradores del sistema, ingenieros de seguridad y otros detectar alteraciones en los archivos del sistema. Aunque no es la única opción disponible (AIDE y Samhain ofrecen características similares), Tripwire es posiblemente el comprobador de integridad más comúnmente utilizado para los archivos del sistema Linux, y está disponible como código abierto bajo GPLv2.

Cómo funciona Tripwire

Es útil saber cómo funciona Tripwire para comprender lo que hace una vez que está instalado. Tripwire se compone de dos componentes principales: política y base de datos. La política enumera todos los archivos y directorios de los que el verificador de integridad debe tomar una instantánea, además de crear reglas para identificar violaciones de cambios en directorios y archivos. La base de datos consiste en la instantánea tomada por Tripwire.

Tripwire también tiene un archivo de configuración que especifica las ubicaciones de la base de datos, el archivo de políticas y el ejecutable de Tripwire. También proporciona dos claves criptográficas: clave de sitio y clave local, para proteger los archivos importantes contra manipulaciones. La clave de sitio protege la política y los archivos de configuración, mientras que la clave local protege la base de datos y los informes generados.

Tripwire funciona comparando periódicamente los directorios y archivos con la instantánea en la base de datos e informando sobre cualquier cambio.

Instalación de Tripwire

Para usar Tripwire, primero debemos descargarlo e instalarlo. Tripwire funciona en casi todas las distribuciones de Linux; puedes descargar una versión de código abierto de Sourceforgee instálalo de la siguiente manera, dependiendo de tu versión de Linux.

Los usuarios de Debian y Ubuntu pueden instalar Tripwire directamente desde el repositorio usando apt-get. Los usuarios no root deben escribir el comando sudo para instalar Tripwire a través de apt-get.

sudo apt-get update
sudo  apt-get install tripwire

CentOS y otras distribuciones basadas en rpm usan un proceso similar. En aras de la mejor práctica, actualiza el repositorio antes de instalar un nuevo paquete como Tripwire. El comando yum install epel-release simplemente significa que queremos instalar repositorios adicionales. (epel significa Paquetes extra para Enterprise Linux.)

yum update 
yum install epel-release 
yum install tripwire  

Este comando hace que la instalación ejecute una configuración de paquetes que se requieren para que Tripwire funcione de manera efectiva. Además, te preguntará si deseas seleccionar frases de contraseña durante la instalación. Puedes seleccionar “Sí” para ambas indicaciones.

Además, selecciona o elige “Sí” si es necesario para compilar el archivo de configuración. Elige y confirma una frase de contraseña para una clave de sitio y para una clave local. (Se recomienda una frase de contraseña compleja como Il0ve0pens0urce).

Construye e inicializa la base de datos de Tripwire

A continuación, inicializa la base de datos Tripwire de la siguiente manera:

tripwire –-init

 

Tendrás que proporcionar tu frase de clave local para ejecutar los comandos.

Comprobación de integridad básica con Tripwire:
Puedes usar el siguiente comando para indicar a Tripwire que verifique si tus archivos o directorios han sido modificados. La capacidad de Tripwire de comparar archivos y directorios con la instantánea inicial en la base de datos se basa en las reglas que creaste en la política activa.

tripwire  --check  

También puedes limitar el comando -check a archivos o directorios específicos, como en este ejemplo:

tripwire   –-check   /usr/tmp  

Además, si necesitas ayuda adicional sobre el uso del comando check de Tripwire, este comando te permite consultar el manual de Tripwire:

tripwire  --check  --help  

 

Generando informes usando Tripwire:
Para generar fácilmente un informe diario de integridad del sistema, crea un crontab con este comando:

crontab -e

Después, puedes editar este archivo (con el editor de texto de tu elección) para presentar las tareas que ejecutará cron. Por ejemplo, puedes configurar un trabajo cron para enviar informes Tripwire a tu correo electrónico todos los días a las 5:40 a.m. mediante el uso de este comando:

40 5  *  *  *  usr/sbin/tripwire   --check

Ya sea que decidas utilizar Tripwire u otro comprobador de integridad con características similares, la cuestión clave es asegurarse de que tengas una solución para proteger la seguridad de tu sistema de archivos Linux.

Original

Comparte

(Artículo visitado 47 veces, 1 visitas hoy)

Responder

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

  Suscribirse  
Notificarme de