Устанавливаем Tripwire, защищаемся от шелов!

Что же такое Tripwire?
Tripware это система для контроля за целостностью и изменениями файлов. Очень хорошее подспорье для повышения безопасности сервера и обнаружения вторжений. Например поможет определить, что сломали ваше веб-приложение и залили какой-нибудь веб-шелл.
Суть в том, что файлы изменились, то вы узнаете об этом. Если это изменение вызвано правомерной установкой, то никаких проблем. Но если двоичные файлы изменились в результате установки трояна или руткита, то у вас будет отправная точка, отталкиваясь от которой можно исследовать атаку и исправлять проблему.

Итак, начнем установку:
aptitude install tripwire

Здесь пользователи систем на основе Debian информируются о потенциальном сценарии, в котором злоумышленник может получить парольную фразу, используемую для Tripwire, пока она еще не зашифрована. Опытные пользователи могут в этом месте остановиться и создать свой собственный общий ключ шифрования и свои конфигурационные файлы. Начинающим пользователям следует выбрать OK и двигаться дальше.

1. На следующем экране будет задан вопрос, хотите ли вы создать свою собственную парольную фразу во время установки. Нужно выбрать Yes.

2. Следующий экран информирует о том, как работает Tripwire. Программа создает текстовый файл, который хранит зашифрованную базу данных конфигурации системы. Этот текстовый файл является эталоном исходного состояния файлов. Если с конфигурацией системы происходят какие-либо изменения, Tripwire замечает их и выдает оповещение. Чтобы можно было вносить правомерные изменения в систему, используется парольная фраза. Выберите Yes для начала сборки файла конфигурации.

3. На следующем экране объясняется то же самое, но только в применении к сборке файла политики Tripwire. Снова нужно выбрать Yes.

4. После создания файлов будет предложено ввести фразу-пароль для общего ключа. Эту парольную фразу необходимо будет запомнить. Выберите OK. На следующем экране опять будет предложено ввести парольную фразу.

5. Мы дошли до экрана с локальной парольной фразой. Эта фраза-пароль требуется для локальных файлов на сервере. Её нужно ввести, выбрать OK. Эту парольную фразу также нужно будет ввести повторно.

6. После установки Tripwire выдается сообщение о местоположении базы данных и двоичных файлов. Выбираем OK, для завершения процесса конфигурирования.

Сам файл с описанием политики проверки /etc/tripwire/twpol.txt
Правим его, добавляем свои папки. Обращаем внимание на уровень критичности и рекурсивность проверки $(SEC_CRIT) (recurse = true). В глобальной конфигурации прописываем e-mail для отчетов:
GLOBALEMAIL=admin@domain.com;

Потом обновляем политику (она преобразуется из текстового файла в свой формат) и инициализируем базу:


Запустить проверку вручную:


В crontab на ежедневный запуск:


Чтобы просмотреть этот отчеты, используйте команду twprint:


Введите местоположение и имя файла отчета, который нужно отобразить:


Если точное время создания отчёта неизвестно, нужно перейти в каталог /var/lib/tripwire/reports и посмотреть полное имя файла.

Пока все, статья рассчитана на людей, хоть немного умеющих работать в unix системах.
PS// Для редактирования файлов советую использовать nano либо vi


vi