Наблюдение за изменениями файлов на сервере

making-a-trip-wire-alarm-system

Данный метод не защитит ваш сервер от несанкционированного входа посторонних лиц, но зато уведомит вас о том, что кто-то или что-то поменял файл на сервере. Программа, которая поможет нам в этом деле называется «Tripwire».

Шаг 1. Установите tripwire на вашем Linux сервере.

sudo apt-get update
sudo apt-get install tripwire

Вы должны увидеть несколько подобных сообщении, отвечайте каждый раз Yes:

Screen Shot 2017-02-10 at 14.19.00

Затем вас попросят ввести site key и local key. Введите их:
Screen Shot 2017-02-10 at 14.21.20

Сообщение об успешной установке:

Screen Shot 2017-02-10 at 14.22.04

Шаг 2. Email

Установите утилиту для отправки электронных сообщений.

sudo apt-get install mailutils

Шаг 3. Настройка tripwire.

Создайте конфигурационный файл:

sudo twadmin --create-polfile /etc/tripwire/twpol.txt

Инициализируйте tripwire через команду:

sudo tripwire --init

Отправьте себе письмо с отчетом:

sudo tripwire --check | mail -s "Report from tripwire" [your email address]

Screen Shot 2017-02-10 at 14.31.07

Проверьте свою почту. Если отчет содержит сотни строк с директория «/proc», можно удалить эту директорию с области видимости tripwire. proc — виртуальная файловая система, поэтому он будет генерировать множество ложных срабатываний tripwire. Остальную часть данного шага можно пропустить, если вы не собираетесь убирать «/proc» из «зоны ответственности» tripwire.

Измените конфигурационный файл закомментировав строку с «/proc»:

sudo vim /etc/tripwire/twpol.txt

Screen Shot 2017-02-10 at 14.35.43

Сохраните в выйдите из файлов («/wq» в vim).

Запишите новый конфигурационный файл в базу tripwire:

sudo twadmin -m P /etc/tripwire/twpol.txt

Заново инициализируйте:

sudo tripwire --init

Проверьте отчет еще один раз:

sudo tripwire --check | mail -s "Report from tripwire" [your email address]

На этот раз отчет должен быть достаточно компактным, чтобы иметь возможность просмотреть весь отчет.

Удалите временный конфигурационный файл:

sudo rm /etc/tripwire/twpol.txt

Шаг 4. Настройте cron на отправку вам отчета.

Измените файл cron-а, чтобы сервер отправлял вам отчет ежедневно в 3.30 ночи:

crontab -e

Screen Shot 2017-02-10 at 14.44.14

Шаг 5. Ежедневная рутина

Со дня установки tripwire вам надо периодически проверять отчет. Если письмо с отчетом содержит множество новых строк — пора навести порядок:

sudo tripwire --check --interactive

Найдите все строки с отметкой «[x]» (Control+W — команда поиска в nano) и удостоверьтесь, что изменения ожидаемые. Не удаляйте отметку «[x]», оставьте все как есть, просто просмотрите все такие строки. Сохраните и выйдите из файла. Tripwire изменения в файлах с отметкой «[x]» как хорошие и не включит в следующий отчет, разумеется, если этот файл не будет изменен повтороно.

 

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Картинка профиля Doszhan Kalibek

Doszhan Kalibek