Linux에 Tripwire IDS(침입 감지 시스템)를 설치하는 방법

Tripwire는 시간이 지남에 따라 무단 파일 시스템 변경이 발생했는지 감지하기 위해 시스템에서 실행되는 인기 있는 Linux 침입 감지 시스템(IDS)입니다.

CentOS 및 RHEL 배포판에서 트립와이어는 공식 저장소의 일부가 아닙니다. 그러나 Tripwire 패키지는 Epel 저장소를 통해 설치할 수 있습니다.

시작하려면 먼저 아래 명령을 실행하여 CentOS 및 RHEL 시스템에 Epel 저장소를 설치하세요.

yum install epel-release

Epel 저장소를 설치한 후 다음 명령을 사용하여 시스템을 업데이트해야 합니다.

yum update

업데이트 프로세스가 완료되면 아래 명령을 실행하여 Tripwire IDS 소프트웨어를 설치하세요.

yum install tripwire

다행히 Tripwire는 Ubuntu 및 Debian 기본 저장소의 일부이며 다음 명령을 사용하여 설치할 수 있습니다.

sudo apt update
sudo apt install tripwire

Ubuntu 및 Debian에서 트립와이어 설치 시 사이트 키와 로컬 키 암호를 선택하고 확인하라는 메시지가 표시됩니다. 이러한 키는 Tripwire에서 구성 파일을 보호하는 데 사용됩니다.

CentOS 및 RHEL에서는 아래 명령을 사용하여 트립와이어 키를 생성하고 사이트 키와 로컬 키에 대한 암호를 제공해야 합니다.

tripwire-setup-keyfiles

시스템을 검증하려면 다음 명령을 사용하여 Tripwire 데이터베이스를 초기화해야 합니다. 데이터베이스가 아직 초기화되지 않았기 때문에 트립와이어는 많은 거짓 긍정 경고를 표시합니다.

tripwire --init

마지막으로 아래 명령을 실행하여 구성을 확인하기 위해 트립와이어 시스템 보고서를 생성합니다. 모든 트립와이어 확인 명령 옵션을 나열하려면 --help 스위치를 사용하세요.

tripwire --check --help
tripwire --check

tripwire 확인 명령이 완료된 후 선호하는 텍스트 편집기 명령을 사용하여 /var/lib/tripwire/report/ 디렉터리에서 확장자가 .twr인 파일을 열어 보고서를 검토합니다. 하지만 그 전에 텍스트 파일로 변환해야 합니다.

twprint --print-report --twrfile /var/lib/tripwire/report/tecmint-20170727-235255.twr > report.txt
vi report.txt

그게 다야! Linux 서버에 Tripwire를 성공적으로 설치했습니다. 이제 Tripwire IDS를 쉽게 구성할 수 있기를 바랍니다.