Difference between revisions of "Tripwire"
Jump to navigation
Jump to search
Onnowpurbo (talk | contribs) |
Onnowpurbo (talk | contribs) |
||
| (19 intermediate revisions by the same user not shown) | |||
| Line 1: | Line 1: | ||
| − | Logika tripwire adalah membuat baseline database dari file yang ada di system. Jika file tersebut berubah maka tripwire akan mencatat atau memberitahukan administrator. | + | Tripwire adalah termasuk kategori Host [[Intrusion Detection System]] ([[IDS]]). Yang mendeteksi perubahan file di mesin yang mungkin dilakukan oleh penyerang. |
| + | |||
| + | Logika bekerja tripwire adalah dengan membuat baseline [[database]] dari file yang ada di system. Jika file tersebut berubah maka tripwire akan mencatat dan / atau memberitahukan administrator mesin. | ||
==Instalasi tripwire== | ==Instalasi tripwire== | ||
| − | apt- | + | Instalasi |
| + | |||
| + | sudo su | ||
| + | apt update | ||
| + | apt -y install tripwire | ||
| + | |||
| + | masukan password | ||
Enter site key passphrase | Enter site key passphrase | ||
| Line 14: | Line 22: | ||
==Edit Policy== | ==Edit Policy== | ||
| + | |||
| + | edit policy | ||
vi /etc/tripwire/twpol.txt | vi /etc/tripwire/twpol.txt | ||
| + | |||
| + | encrypt policy | ||
cd /etc/tripwire | cd /etc/tripwire | ||
| Line 22: | Line 34: | ||
==Edit Configurasi== | ==Edit Configurasi== | ||
| + | |||
| + | edit konfigurasi | ||
vi /etc/tripwire/twcfg.txt | vi /etc/tripwire/twcfg.txt | ||
| + | |||
| + | encrypt konfigurasi | ||
cd /etc/tripwire | cd /etc/tripwire | ||
| − | twadmin --create- | + | twadmin --create-cfgfile --cfgfile ./tw.cfg --site-keyfile ./site.key ./twcfg.txt |
==Inisialisasi Database== | ==Inisialisasi Database== | ||
| − | Inisialisasi baseline database | + | Inisialisasi baseline [[database]] |
tripwire --init --cfgfile /etc/tripwire/tw.cfg \ | tripwire --init --cfgfile /etc/tripwire/tw.cfg \ | ||
| Line 39: | Line 55: | ||
atau jika HOSTNAME anda adalah ubuntu maka | atau jika HOSTNAME anda adalah ubuntu maka | ||
| − | tripwire --init --cfgfile /etc/tripwire/tw.cfg \ | + | tripwire --init --cfgfile /etc/tripwire/tw.cfg \ |
--polfile /etc/tripwire/tw.pol --site-keyfile /etc/tripwire/site.key \ | --polfile /etc/tripwire/tw.pol --site-keyfile /etc/tripwire/site.key \ | ||
--local-keyfile /etc/tripwire/ubuntu-local.key | --local-keyfile /etc/tripwire/ubuntu-local.key | ||
Ini akan membutuhkan waktu beberapa lama karena dia akan mencek seluruh harddisk. | Ini akan membutuhkan waktu beberapa lama karena dia akan mencek seluruh harddisk. | ||
| − | |||
==Check System== | ==Check System== | ||
| Line 54: | Line 69: | ||
Untuk server yang beroperasi 24/7 kita dapat menggunakan cron dan e-mail hasilnya ke administrator. | Untuk server yang beroperasi 24/7 kita dapat menggunakan cron dan e-mail hasilnya ke administrator. | ||
| − | + | ==Update policy== | |
| + | |||
| + | Jika kita mengupdate policy, misalnya menambahkan / mengurangi folder yang akan di scan dll kita dapat melakukan | ||
| + | edit policy | ||
| + | |||
| + | vi /etc/tripwire/twpol.txt | ||
| + | |||
| + | kemudian update policy | ||
| + | |||
| + | tripwire --update-policy --cfgfile ./tw.cfg --polfile ./tw.pol \ | ||
| + | --site-keyfile ./site.key --local-keyfile ./HOSTNAME-local.key ./twpol.txt | ||
| − | + | atau jika HOSTNAME yang digunakan ubuntu maka | |
| − | + | tripwire --update-policy --cfgfile ./tw.cfg --polfile ./tw.pol \ | |
| − | --site-keyfile ./site.key --local-keyfile ./ | + | --site-keyfile ./site.key --local-keyfile ./ubuntu-local.key ./twpol.txt |
| − | + | ==Update secara regular== | |
| − | + | Kita perlu mengupdate secara periodik [[database]] tentang file system. Mohon di cek dulu sebelum melakukan update. Proses update dapat menggunakan perintah | |
| − | + | tripwire --update -Z low | |
| − | + | perintah di atas akan melakukan perbandingan antara [[database]] yang ada dengan file yang ada di system. Kemudian jalankan editor untuk memilih perubahan di database. | |
| + | Jika kita menjalankan perintah ini dan memperoleh message error karena tidak ada file report, sebab utamanya kemungkinan karena check yang dilakukaan belakangan tidak dilakukan sesudah update. File report berada di folder | ||
| − | + | /var/lib/tripwire/report | |
| − | + | dan menggunakan hostname sebagai nama, dilanjutkan dengan tanggal (yyyymmdd) dan waktu (tttttt). Jika kita baru saja menjalankan check dan menginginkan update untuk dilakukan menggunakan report file terakhir, maka kita dapat mengunakan opsi -r dan menggunakan report file terakhir | |
| + | tripwire --update -Z low --twrfile host-yyyymmdd-tttttt.twr | ||
==Local Manual== | ==Local Manual== | ||
| Line 84: | Line 111: | ||
* http://www.ubuntu-unleashed.com/2007/08/protecting-your-ubuntu-machine.html | * http://www.ubuntu-unleashed.com/2007/08/protecting-your-ubuntu-machine.html | ||
* http://www.ubuntugeek.com/list-of-security-tools-available-in-ubuntu.html | * http://www.ubuntugeek.com/list-of-security-tools-available-in-ubuntu.html | ||
| + | * https://www.digitalocean.com/community/tutorials/how-to-use-tripwire-to-detect-server-intrusions-on-an-ubuntu-vps | ||
==Pranala Menarik== | ==Pranala Menarik== | ||
| + | * [[Tripwire: Intro]] | ||
| + | * [[Tripwire: Admin]] | ||
| + | * [[Tripwire: Files]] | ||
* [[Tripwire: Notifikasi e-mail]] | * [[Tripwire: Notifikasi e-mail]] | ||
| + | * [[Tripwire: Policy Reference]] | ||
* [[Keamanan Jaringan]] | * [[Keamanan Jaringan]] | ||
* [[OS Security]] | * [[OS Security]] | ||
| + | * [[OSSEC]] | ||
[[Category: network security]] | [[Category: network security]] | ||
Latest revision as of 19:05, 15 January 2021
Tripwire adalah termasuk kategori Host Intrusion Detection System (IDS). Yang mendeteksi perubahan file di mesin yang mungkin dilakukan oleh penyerang.
Logika bekerja tripwire adalah dengan membuat baseline database dari file yang ada di system. Jika file tersebut berubah maka tripwire akan mencatat dan / atau memberitahukan administrator mesin.
Instalasi tripwire
Instalasi
sudo su apt update apt -y install tripwire
masukan password
Enter site key passphrase Enter local key passphrase
Pastikan konfigurasi tripwire aman dan hanya bisa di akses oleh root saja.
cd /etc/tripwire chmod 0600 tw.cfg tw.pol
Edit Policy
edit policy
vi /etc/tripwire/twpol.txt
encrypt policy
cd /etc/tripwire twadmin --create-polfile --cfgfile ./tw.cfg --site-keyfile ./site.key ./twpol.txt
Edit Configurasi
edit konfigurasi
vi /etc/tripwire/twcfg.txt
encrypt konfigurasi
cd /etc/tripwire twadmin --create-cfgfile --cfgfile ./tw.cfg --site-keyfile ./site.key ./twcfg.txt
Inisialisasi Database
Inisialisasi baseline database
tripwire --init --cfgfile /etc/tripwire/tw.cfg \ --polfile /etc/tripwire/tw.pol --site-keyfile /etc/tripwire/site.key \ --local-keyfile /etc/tripwire/HOSTNAME-local.key
atau jika HOSTNAME anda adalah ubuntu maka
tripwire --init --cfgfile /etc/tripwire/tw.cfg \ --polfile /etc/tripwire/tw.pol --site-keyfile /etc/tripwire/site.key \ --local-keyfile /etc/tripwire/ubuntu-local.key
Ini akan membutuhkan waktu beberapa lama karena dia akan mencek seluruh harddisk.
Check System
Untuk mencek apakah terjadi perubahan file kita dapat melakukan
tripwire --check
Untuk server yang beroperasi 24/7 kita dapat menggunakan cron dan e-mail hasilnya ke administrator.
Update policy
Jika kita mengupdate policy, misalnya menambahkan / mengurangi folder yang akan di scan dll kita dapat melakukan edit policy
vi /etc/tripwire/twpol.txt
kemudian update policy
tripwire --update-policy --cfgfile ./tw.cfg --polfile ./tw.pol \ --site-keyfile ./site.key --local-keyfile ./HOSTNAME-local.key ./twpol.txt
atau jika HOSTNAME yang digunakan ubuntu maka
tripwire --update-policy --cfgfile ./tw.cfg --polfile ./tw.pol \ --site-keyfile ./site.key --local-keyfile ./ubuntu-local.key ./twpol.txt
Update secara regular
Kita perlu mengupdate secara periodik database tentang file system. Mohon di cek dulu sebelum melakukan update. Proses update dapat menggunakan perintah
tripwire --update -Z low
perintah di atas akan melakukan perbandingan antara database yang ada dengan file yang ada di system. Kemudian jalankan editor untuk memilih perubahan di database.
Jika kita menjalankan perintah ini dan memperoleh message error karena tidak ada file report, sebab utamanya kemungkinan karena check yang dilakukaan belakangan tidak dilakukan sesudah update. File report berada di folder
/var/lib/tripwire/report
dan menggunakan hostname sebagai nama, dilanjutkan dengan tanggal (yyyymmdd) dan waktu (tttttt). Jika kita baru saja menjalankan check dan menginginkan update untuk dilakukan menggunakan report file terakhir, maka kita dapat mengunakan opsi -r dan menggunakan report file terakhir
tripwire --update -Z low --twrfile host-yyyymmdd-tttttt.twr
Local Manual
/usr/share/doc/tripwire/README.Debian
Referensi
- http://remoteadmin.org.uk/tutorials/42-linux/56-tripwire-ubuntu
- http://www.ubuntu-unleashed.com/2007/08/protecting-your-ubuntu-machine.html
- http://www.ubuntugeek.com/list-of-security-tools-available-in-ubuntu.html
- https://www.digitalocean.com/community/tutorials/how-to-use-tripwire-to-detect-server-intrusions-on-an-ubuntu-vps