Tripwire
Tripwire adalah termasuk kategori Host Intrusion Detection System (IDS). Yang mendeteksi perubahan file di mesin yang mungkin dilakukan oleh penyerang.
Logika bekerja tripwire adalah dengan membuat baseline database dari file yang ada di system. Jika file tersebut berubah maka tripwire akan mencatat dan / atau memberitahukan administrator mesin.
Instalasi tripwire
Instalasi
sudo su apt update apt -y install tripwire
masukan password
Enter site key passphrase Enter local key passphrase
Pastikan konfigurasi tripwire aman dan hanya bisa di akses oleh root saja.
cd /etc/tripwire chmod 0600 tw.cfg tw.pol
Edit Policy
edit policy
vi /etc/tripwire/twpol.txt
encrypt policy
cd /etc/tripwire twadmin --create-polfile --cfgfile ./tw.cfg --site-keyfile ./site.key ./twpol.txt
Edit Configurasi
edit konfigurasi
vi /etc/tripwire/twcfg.txt
encrypt konfigurasi
cd /etc/tripwire twadmin --create-cfgfile --cfgfile ./tw.cfg --site-keyfile ./site.key ./twcfg.txt
Inisialisasi Database
Inisialisasi baseline database
tripwire --init --cfgfile /etc/tripwire/tw.cfg \ --polfile /etc/tripwire/tw.pol --site-keyfile /etc/tripwire/site.key \ --local-keyfile /etc/tripwire/HOSTNAME-local.key
atau jika HOSTNAME anda adalah ubuntu maka
tripwire --init --cfgfile /etc/tripwire/tw.cfg \ --polfile /etc/tripwire/tw.pol --site-keyfile /etc/tripwire/site.key \ --local-keyfile /etc/tripwire/ubuntu-local.key
Ini akan membutuhkan waktu beberapa lama karena dia akan mencek seluruh harddisk.
Check System
Untuk mencek apakah terjadi perubahan file kita dapat melakukan
tripwire --check
Untuk server yang beroperasi 24/7 kita dapat menggunakan cron dan e-mail hasilnya ke administrator.
Update policy
Jika kita mengupdate policy, misalnya menambahkan / mengurangi folder yang akan di scan dll kita dapat melakukan edit policy
vi /etc/tripwire/twpol.txt
kemudian update policy
tripwire --update-policy --cfgfile ./tw.cfg --polfile ./tw.pol \ --site-keyfile ./site.key --local-keyfile ./HOSTNAME-local.key ./twpol.txt
atau jika HOSTNAME yang digunakan ubuntu maka
tripwire --update-policy --cfgfile ./tw.cfg --polfile ./tw.pol \ --site-keyfile ./site.key --local-keyfile ./ubuntu-local.key ./twpol.txt
Update secara regular
Kita perlu mengupdate secara periodik database tentang file system. Mohon di cek dulu sebelum melakukan update. Proses update dapat menggunakan perintah
tripwire --update -Z low
perintah di atas akan melakukan perbandingan antara database yang ada dengan file yang ada di system. Kemudian jalankan editor untuk memilih perubahan di database.
Jika kita menjalankan perintah ini dan memperoleh message error karena tidak ada file report, sebab utamanya kemungkinan karena check yang dilakukaan belakangan tidak dilakukan sesudah update. File report berada di folder
/var/lib/tripwire/report
dan menggunakan hostname sebagai nama, dilanjutkan dengan tanggal (yyyymmdd) dan waktu (tttttt). Jika kita baru saja menjalankan check dan menginginkan update untuk dilakukan menggunakan report file terakhir, maka kita dapat mengunakan opsi -r dan menggunakan report file terakhir
tripwire --update -Z low --twrfile host-yyyymmdd-tttttt.twr
Local Manual
/usr/share/doc/tripwire/README.Debian
Referensi
- http://remoteadmin.org.uk/tutorials/42-linux/56-tripwire-ubuntu
- http://www.ubuntu-unleashed.com/2007/08/protecting-your-ubuntu-machine.html
- http://www.ubuntugeek.com/list-of-security-tools-available-in-ubuntu.html
- https://www.digitalocean.com/community/tutorials/how-to-use-tripwire-to-detect-server-intrusions-on-an-ubuntu-vps