Forum Mjukvara Linux och övriga operativsystem Tråd Inlägg

Tripwire för nybörjare samt installation instruktioner och diskussion med alternativa tillvägagångssätt!

1
Skriv svar
Permalänk
Medlem

Tripwire för nybörjare samt installation instruktioner och diskussion med alternativa tillvägagångssätt!

Tripwire för nybörjare samt installation instruktioner och diskussion med alternativa tillvägagångssätt!

Är nybörjare och denna tråd är för nybörjare.
Tripwire är ett - intrusion detection system - det är ett oslagbart passivt säkerhets program som visar dig, vart, hur och när ett intrång skett.
Om det sker.

Det fungerar på följande sätt, en databas ger alla dina filer på hela ditt linux system en krypterad nyckel med ett visst värde.
Och så fort någon fil ändras på ditt system, så kommer databasen visa dig vart, hur och när den förändringen skett.

Denna lösning förhindrar inte intrång, utan visar bara att den har skett och du kan se vad som skett med dina filer vid ett intrång.
Och om ett intrång sker så kan det inte döljas av förövaren.
Eftersom vi kommer spara Tipwires databas på en extern USB-sticka.
På så sätt är detta upplägg 99.9% säkert.

Problemet eller lösningen är lite tvetydigt.
För att när du installerar program eller uppdaterar ditt linux system, så kommer Tripwire markera alla förändringar och du måste nollställa databasen, eftersom det inte skett något intrång.

Så ett intrång kan ju ske under dom få eller enstaka minut du installerar ett program eller uppdaterar ditt system.
Och då nollställer du alla spår, men den situationen är ju minimal för att inträffa samt osannolik.

För om man inte lever i en värld med 99.9% utan vill ha 100% säkerhet.
Så får man skaffa sig en distribution som erbjuder laddbara uppdateringar som man kan installera manuellt.

Med 99.9% kan man ju alltid sätta olika fasta tider som man noterar vid installation av program och uppdateringar.
Och direkt efter stänger av internet och nollställer Tripwrie databas.

Förslag på bättre förfarande är välkommet eller andra lösningar.
Senare idag kommer jag skriva steg för steg instruktioner för hur man installerar Tripwire.

MVH

Redigera
Citera flera Citera
Permalänk
Medlem

Här är min engelska version av min guide för installation och konfiguration av Tripwrie.
https://ubuntuforums.org/showthread.php?t=2235300&highlight=T...

Och gör den här, fast på svenska.

MVH

Redigera
Citera flera Citera
Permalänk
Medlem

Kan även tipsa om AIDE som är ett free och opensource alternativ till Tripwire: 'https://github.com/aide/aide'

Redigera
Citera flera Citera
Permalänk
Medlem

Tack, ,men är nybörjare och behöver bra och lättanvända instruktioner, så jag har just nu installerat Tripwire på Debian 12.
Databasen sitter på en USB sticka som jag har kopplat ur, så ingen kan modifiera systemet eller göra någon ändring, utan att jag upptäcker det.
Följde HowTo som jag länka till ovan och den fungera klockrent, alla koder fungerar att kopiera och följa instruktionerna.

Vågar inte börja om på ny kula med Aide och misslyckas för att någon konfiguration kod inte fungerar eller saknas med en HowTo.
Vet att det ska finnas en till intrustion detection system för linux med GUI, men glömt namnet.

MVH

EDIT
När man tar bort USB stickan, så märker Tripwire det och kommer alarmera om Violations på linux systemet, när man sätter tillbaks den för att kolla systemet, databasen, man behöver bara komma ihåg antalet Violations som i mitt fall var 39 samt att det tydligt står att det är USB och några andra övriga filer som ändrats.
Så om det skulle stå 40 eller något annat tal då vet jag att något är fel och någon mixtrat med systemet, går även se detaljer på vad som ändrats.

Notera att jag kommer kolla systemet en gång i veckan, så det krävs inte mycket.

MVH

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Ser inte poängen med detta förutsatt att man kräver extrem säkerhet och i en miljö där man inte gör några förändringar. Alla updates, program som skriver tempfiler etc. lär väl trigga detta? Låter som att det är mer jobb än det är värt. Sen lär det ju bli en performance hit om varje fil ska beräknas hashar på och uppdatera databasen.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av martengooz:

Ser inte poängen med detta förutsatt att man kräver extrem säkerhet och i en miljö där man inte gör några förändringar. Alla updates, program som skriver tempfiler etc. lär väl trigga detta? Låter som att det är mer jobb än det är värt. Sen lär det ju bli en performance hit om varje fil ska beräknas hashar på och uppdatera databasen.

Gå till inlägget

Jag känner mig trygg med Tripwire, men tycker att du har en annan poäng med uppdateringar och installation av program.
För då måste man nollställa databasen, vilket görs i ett nafs.
Men först innan man installerar eller uppdaterar måste man göra en kontroll av databasen, för att se att allt är ok.
Sedan intallera eller uppdatera och sedan nollställa, tycker det är ett lätt förfarande.

Men problemet är att en intrång eller något fuffens kan ju ske just vid det tillfället då du installerar eller uppdaterar systemet.
Och då upptäcker du inte det eftersom du inte har vetskap om det sket eller inte.
Så det är en svaghet.
Men å andra sidan, kollar man checksum vid installation av program, samt uppdateringar sker via säkra servrar, så är väl risken liten, men den finns där med min ringa förståelse.

Å andra sidan om en keylogger eller något annat kommit in i systemet så kommer du se ändringar efter att du nollställt.
Eftersom om systemet inte är passivt och någon fuffens program eller liknande försöker kopiera eller ändra något så kommer det att synas vid en tripwire --check

MVH

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pompado:

Å andra sidan om en keylogger eller något annat kommit in i systemet så kommer du se ändringar efter att du nollställt.
Eftersom om systemet inte är passivt och någon fuffens program eller liknande försöker kopiera eller ändra något så kommer det att synas vid en tripwire --check

MVH

Gå till inlägget

Men problemet är ju att keyloggers och virus just kommer vid installation av ny mjukvara. Det är extremt liten chans att din dator blir hackad utan att du själv laddar ner eller kör okänd kod på datorn (så kallade zero click exploits). Speciellt om du inte har några tjänster öppna mot internet som kan bli hackade (typ filserve, spelserver etc.). Och har du inte koll på EXAKT vilka filer som bör ändras vid en update eller installation, så känns det som att det är lätt att man förbiser en suspekt fil.

Visst du kanske upptäcker det efter ett tag, men virus som är gjorda för att stjäla din information eller utpressa dig på pengar kommer redan att ha gjort sin skada innan du märker det genom att köra en check. Så det enda som den skulle vara nyttig mot är ju om en angripare försöker sig på att ha en persistent bot på systemet som försöker undgå att bli upptäckt.

Säger inte att det inte har sina användingsområden, men låter onödigt bökigt för ett system med vardagligt bruk. Kanske skulle passa bättre på en server som kör en enda tjänst som man vet inte ska påverkas av skrivningar.

Redigera
Citera flera Citera
Permalänk
Medlem

Finns säker vägar runt all säkerhet, men jag känner mig trygg med att om det sker något fuffens i bakgrunden på mitt system så kommer tripwire registrera det.
Rootkit eller annan skit, är ingen expert, men känns bättre med en utan.

MVH

Redigera
Citera flera Citera
Permalänk
Medlem

Kanske ska prova koppla tripwire till epost
Då får man en varning i realtid

Sedan ska det tydligt framföra att det är enkelt
Och inte krångligt

Använder usb och två kommandon

Sätter in usb stickan och skriver
sudo tripwire --check

Kollar att allt är ok med output listan
Sedan skapar jag ny databas på usb stickan
sudo tripwire -m i

Klart och tar bort usb stickan
Enkelt och lätt

Man kan oxå skräddarsy tripwire
Om man bara vill kolla rootkits
Så kan man utesluta alla andra och endast kolla root

Mvh

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pompado:

Jag känner mig trygg med Tripwire, men tycker att du har en annan poäng med uppdateringar och installation av program.
För då måste man nollställa databasen, vilket görs i ett nafs.

Gå till inlägget

Någon som kan va intressant känna till som få verkar nyttja tillräckligt även sysadmin som jobbar proffesionellt, att vissa pakethanterare. RPM exemeplvis har en inbyggd databas över vilka filer som är installerad, med tillhörande kommandot för integrity checking. Där den visar om filerna blivit modifierade utanför pakethanteraren. Det hindrar ju ingen för mixa med databasen så då är det fördel som du gör köra tripwire med databasen på ett USB minne. Men ändå funktionaliteten finns inbyggd i pakethanteraren.

Kan nämnas att har även experimenterat lite med bygga kernel baserade rootkits som använder ftrace för hooka kernel funktioner. Dessa kommer flyga under radarn för tripwire eftersom du modifierar ingen fil utan backdörren ligger på kernel nivå. Det blir licksom en kernel module som du kör insmod på som sen försvinner så inget spår att den har installerats. Dessa är ganska vanliga om någon är ute efter just din dator. Så kan tipsa att du sätter upp auditd också med en logserver utöver tripwire för kunna sova bättre.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av nighter:

Någon som kan va intressant känna till som få verkar nyttja tillräckligt även sysadmin som jobbar proffesionellt, att vissa pakethanterare. RPM exemeplvis har en inbyggd databas över vilka filer som är installerad, med tillhörande kommandot för integrity checking. Där den visar om filerna blivit modifierade utanför pakethanteraren. Det hindrar ju ingen för mixa med databasen så då är det fördel som du gör köra tripwire med databasen på ett USB minne. Men ändå funktionaliteten finns inbyggd i pakethanteraren.

Kan nämnas att har även experimenterat lite med bygga kernel baserade rootkits som använder ftrace för hooka kernel funktioner. Dessa kommer flyga under radarn för tripwire eftersom du modifierar ingen fil utan backdörren ligger på kernel nivå. Det blir licksom en kernel module som du kör insmod på som sen försvinner så inget spår att den har installerats. Dessa är ganska vanliga om någon är ute efter just din dator. Så kan tipsa att du sätter upp auditd också med en logserver utöver tripwire för kunna sova bättre.

Gå till inlägget

Tack
Är lite nyfiken

Har en dator som kan fungera som logserver
Kör man tripwire på den oxå
Eller bränner man loggarna på cd r
Eller printar dom med skrivare

Det vore extremt för dagligt bruk

Frågan är ju att loggar kan raderas eller ändras
Räcker det då med samma upplägg med tripwire
För att se om någon mixtrat med loggarna och loggservern

Eller räcker det att installera ett program
För rootkits
Som bekämpar o upptäcker

Tänker om man handskas med tex ett trading konto med 100K och loggar in dagligen
Så vill man ju inte enbart förlita sig på
Lösenordshanterare och två stegs indentifiering
Tripwire och UFW

Eller kan man använa ett program på operativt
Men hur ska man då säkerställa att loggar inte raderats eller modifieras

Från en rookie som vill lära sig mer

Bästa kanske är bränna live cd vid bank crypto trading konto. Med större summor
Och slippa allt trixande

Mvh

EDIT kolla lite på logwatch som kan skicka loggarna till eposten och fattar det som att du kan installer direkt utan ha en fristående dator.
Skulle det funka? samt att Tripwire skulle ha koll på logwatch filernas intigritet.

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pompado:

Tack
Är lite nyfiken

Har en dator som kan fungera som logserver
Kör man tripwire på den oxå
Eller bränner man loggarna på cd r
Eller printar dom med skrivare

Det vore extremt för dagligt bruk

Frågan är ju att loggar kan raderas eller ändras
Räcker det då med samma upplägg med tripwire
För att se om någon mixtrat med loggarna och loggservern

Eller räcker det att installera ett program
För rootkits
Som bekämpar o upptäcker

Gå till inlägget

Fördelen med logserver är att samma stund någon fifflar med din dator så skickas loggarna iväg till en annan dator. Så blir lättare att upptäcka och jobbigare för en angripare. Men självklart är du inte skyddad mot att någon även äger din logserver. Är du paranoid behöver du härda även den ordentligt. Där kan man gå hur långt som hellst. Finns exemeplvis grsec som kan låsa ner root användaren så inte root kontot finns enablat. Om den featuren forfarande finns va länge sen kika på den, så kan du få systemet lära sig vilka syscalls som behöver ha access och sen låsa ner root kontot helt på maskinen. Är du ännu mer extrem kan du installera logservern med en unikernel. Det är ett library operatingsystem. Den plockar bort hela operativsystemet så det är bara din logserver som körs där. Allså inget OS eller shell som en angripare kan använda. Du kan gå till det extrema om man så vill, men så klart bra skydda logservern också. Annars det jag menade var tipsa att sätta upp auditd för fånga om någon satte upp ett kernel baserad rootkit vilket du inte ser med tripwire.

Skrivet av pompado:

Tänker om man handskas med tex ett trading konto med 100K och loggar in dagligen
Så vill man ju inte enbart förlita sig på
Lösenordshanterare och två stegs indentifiering
Tripwire och UFW

Eller kan man använa ett program på operativt
Men hur ska man då säkerställa att loggar inte raderats eller modifieras

Från en rookie som vill lära sig mer

Bästa kanske är bränna live cd vid bank crypto trading konto. Med större summor
Och slippa allt trixande

Mvh

EDIT kolla lite på logwatch som kan skicka loggarna till eposten och fattar det som att du kan installer direkt utan ha en fristående dator.
Skulle det funka? samt att Tripwire skulle ha koll på logwatch filernas intigritet.

Gå till inlägget

Trading konto som hanterar 100K, använder messagebrokers. Det är ofta specialbyggade hårdvaruappliances eller går kör ren mjukvara också som är byggda för inte kunna hantera meddelanden i stora mängder utan att de försvinner. Även Splunk är vanligt för hantera mycket loggar för övervakning.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pompado:

EDIT kolla lite på logwatch som kan skicka loggarna till eposten och fattar det som att du kan installer direkt utan ha en fristående dator.
Skulle det funka? samt att Tripwire skulle ha koll på logwatch filernas intigritet.

Gå till inlägget

Är du intresserad av logwatch kan du googla på ELK stack det är som Splunk men opensource. Annars är tanken med logserver att loggarna skickas någon annanstans, så om någon angriper din dator är de svårare för dem att mixa med loggarna, då de hamnar på en annan dator sp, de måste komma åt också. Men skapa larm med email låter ju vettigt, för ditt use-case om någon fifflar så går det iväg lite mail och så har du möjlighet upptäcka det innan någon äger din email också

Men är intressant hur som att du är så intresserad av IDS som privat-person.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av nighter:

Fördelen med logserver är att samma stund någon fifflar med din dator så skickas loggarna iväg till en annan dator. Så blir lättare att upptäcka och jobbigare för en angripare. Men självklart är du inte skyddad mot att någon även äger din logserver. Är du paranoid behöver du härda även den ordentligt. Där kan man gå hur långt som hellst. Finns exemeplvis grsec som kan låsa ner root användaren så inte root kontot finns enablat. Om den featuren forfarande finns va länge sen kika på den, så kan du få systemet lära sig vilka syscalls som behöver ha access och sen låsa ner root kontot helt på maskinen. Är du ännu mer extrem kan du installera logservern med en unikernel. Det är ett library operatingsystem. Den plockar bort hela operativsystemet så det är bara din logserver som körs där. Allså inget OS eller shell som en angripare kan använda. Du kan gå till det extrema om man så vill, men så klart bra skydda logservern också. Annars det jag menade var tipsa att sätta upp auditd för fånga om någon satte upp ett kernel baserad rootkit vilket du inte ser med tripwire.

Trading konto som hanterar 100K, använder messagebrokers. Det är ofta specialbyggade hårdvaruappliances eller går kör ren mjukvara också som är byggda för inte kunna hantera meddelanden i stora mängder utan att de försvinner. Även Splunk är vanligt för hantera mycket loggar för övervakning.

Gå till inlägget
Skrivet av nighter:

Är du intresserad av logwatch kan du googla på ELK stack det är som Splunk men opensource. Annars är tanken med logserver att loggarna skickas någon annanstans, så om någon angriper din dator är de svårare för dem att mixa med loggarna, då de hamnar på en annan dator sp, de måste komma åt också. Men skapa larm med email låter ju vettigt, för ditt use-case om någon fifflar så går det iväg lite mail och så har du möjlighet upptäcka det innan någon äger din email också

Men är intressant hur som att du är så intresserad av IDS som privat-person.

Gå till inlägget

Hej nighter ...

Det börja med lek och trixande för första gången med Red Hat 8 och köpte bibeln för referens när man stötte på problem.
Min känsla och övertygelse är att man vill skapa samma nivå av säkerhet eller bättre som köpt programvara till en PC.
Red Hat 8 bibeln har ett kapitel om Tripwire och jag blev sold direkt och tänkte vilket ypperligt sätt att ha kontroll över sitt system.

Och med min ringa förståelse så får man det med IDS, UFW, Clam, och nu logwatch.
Snäppet vassare och jag gillar det, inte för att jag är paranoid, men förstår att internet är ingen lekplats, utan ska respekteras för all skit som finns där ute med script kids och hackers.

Satsar på logwatch och konfigurerar så jag får loggarna till min e-post.
Hitta HowTo.
Där får det räcka.

... nighter om du har tid kan du hålla ett öga på den här tråden, tänker om man stöter på något problem, så kanske du kan tipsa om en lösning.

MVH

EDIT

Du skrev:

Någon som kan va intressant känna till som få verkar nyttja tillräckligt även sysadmin som jobbar proffesionellt, att vissa pakethanterare. RPM exemeplvis har en inbyggd databas över vilka filer som är installerad, med tillhörande kommandot för integrity checking. Där den visar om filerna blivit modifierade utanför pakethanteraren. Det hindrar ju ingen för mixa med databasen så då är det fördel som du gör köra tripwire med databasen på ett USB minne.

Min fråga:

Har Fedora ett sådan upplägg med pakethanterare med integrity checking.
Eller finne det någon programvara till Debian man kan installera som utför samma.

Fundera på att byta operativ till ett som har en pakethanterare med integrity checking.

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pompado:

Tripwire för nybörjare samt installation instruktioner och diskussion med alternativa tillvägagångssätt!

Är nybörjare och denna tråd är för nybörjare.
Tripwire är ett - intrusion detection system - det är ett oslagbart passivt säkerhets program som visar dig, vart, hur och när ett intrång skett.
Om det sker.

Det fungerar på följande sätt, en databas ger alla dina filer på hela ditt linux system en krypterad nyckel med ett visst värde.
Och så fort någon fil ändras på ditt system, så kommer databasen visa dig vart, hur och när den förändringen skett.

Denna lösning förhindrar inte intrång, utan visar bara att den har skett och du kan se vad som skett med dina filer vid ett intrång.
Och om ett intrång sker så kan det inte döljas av förövaren.
Eftersom vi kommer spara Tipwires databas på en extern USB-sticka.
På så sätt är detta upplägg 99.9% säkert.

Problemet eller lösningen är lite tvetydigt.
För att när du installerar program eller uppdaterar ditt linux system, så kommer Tripwire markera alla förändringar och du måste nollställa databasen, eftersom det inte skett något intrång.

Så ett intrång kan ju ske under dom få eller enstaka minut du installerar ett program eller uppdaterar ditt system.
Och då nollställer du alla spår, men den situationen är ju minimal för att inträffa samt osannolik.

För om man inte lever i en värld med 99.9% utan vill ha 100% säkerhet.
Så får man skaffa sig en distribution som erbjuder laddbara uppdateringar som man kan installera manuellt.

Med 99.9% kan man ju alltid sätta olika fasta tider som man noterar vid installation av program och uppdateringar.
Och direkt efter stänger av internet och nollställer Tripwrie databas.

Förslag på bättre förfarande är välkommet eller andra lösningar.
Senare idag kommer jag skriva steg för steg instruktioner för hur man installerar Tripwire.

MVH

Gå till inlägget

Jag kör med Wazuh hemma för test å labb. Också OSS, enkelt att installera och administrera.
https://wazuh.com/

Visa signatur

.

Redigera
Citera flera Citera
Permalänk
Medlem

Tack men kör med mitt upplägg orkar inte börja inlärningsprocessen från början.
Men har funderat på LFS (Linux From Scratch).

Där man bygger upp ett Linux system från grunden för skoj skull samt lära sig grunderna bakom Linux.
Man skräddarsyr efter dom dator komponenter man har.

Kanske köpa en NUC och starta ett sådan projekt, men då får man skapa en ny tråd här på Sweclockers.
Tänker man kommer lära sig en hel del script och kod och hur saker och ting hänger ihop.

En annan lösning jag redan testat som är häftig.
Ladda ned en server distribution och bara installera grundpaketen.
Sedan Fluxbox och du har det minimala av det minimala Linux systemet och sedan bygga upp det med vad man vill ha själv.
Såsom LFS men utan att lära sig grunderna.

Fan va skoj det är med Linux

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pompado:

Har Fedora ett sådan upplägg med pakethanterare med integrity checking.
Eller finne det någon programvara till Debian man kan installera som utför samma.

Fundera på att byta operativ till ett som har en pakethanterare med integrity checking.

Gå till inlägget

Hej Fedora använder "Red Hat Package Manager (RPM), så den kan du använda för det.

Så här:

sudo rpm -Va

-V: Verbose mode. Visar resultated av verifieringen.
-a: Kolla alla installerade packet.

Sen får du kolla värderna som.

    S : File size differs
    M : File mode differs (permissions and/or file type)
    5 : MD5 checksum differs
    D : Device major/minor number mismatch
    L : Symbolic link targets differ
    U : User ownership differs
    G : Group ownership differs
    T : Modification time differs

Dock är Tripwire bättre, det här är mer som poor mans IDS. Jobbar du som Sysadmin är det användbart bara för snabbt se om någon fil blivit utbytt utanför pakethanteraren. Men en riktigt IDS är så klart bättre att köra.

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara