Schutz vor Eindringlingen

Tripwire: Sicherheitslücken am Server schnell aufdecken

Ein Intrusion Detection System (IDS) wie Tripwire erkennt automatisiert Veränderungen auf Linux-Servern. Dieser Artikel zeigt, wie Sie damit Ihr Betriebssystem optimal überwachen.

Tripwire bietet eine einfache Möglichkeit, die Integrität Ihres Systems zu überprüfen. Wichtige Voraussetzung und einziger Aufwand ist lediglich, dem Tool vorab alle Besonderheiten des vorliegenden Systems bekannt zu machen. Danach kann ein Cron-Job einen Großteil der restlichen Arbeit übernehmen – alles in allem ein gutes Sicherheitsnetz, um Eindringlingen und deren Machenschaften auf die Schliche zu kommen. Bei Tripwire handelt es sich um ein Host-basiertes IDS, das auf zu überwachenden Linux-Betriebssystemen installiert wird und seine Informationen aus den lokalen Logdateien, Kernel-Daten und anderen Systemdateien erhält. Das IDS überwacht all diese Informationen und meldet sich, sobald eine Veränderung auf diese Dateien erkannt wird. Die Meldungen erhalten Sie in einem selbst festgelegten Intervall als Bericht. Anschließend liegt es an Ihnen, diesen Bericht zu überprüfen und gegebenenfalls verdächtige Aktionen ausfindig zu machen.

Download und Installation von Tripwire

Zur Installation von Tripwire verwenden Sie am besten ein Terminal mit Administrationsrechten. Das folgende Beispiel beschreibt die Installation unter Ubuntu. Aktivieren Sie im ersten Schritt die interne Firewall des Ubuntu-Betriebssystems:

sudo ufw enable

Vor der Installation von Tripwire sollten Sie das Betriebssystem auf den neuesten Stand bringen:

sudo apt-get update

Führen Sie anschließend die Installation mittels des Standard-Repositories durch. Damit laden Sie die notwendigen Programmbibliotheken herunter.

sudo apt-get install tripwire

Während der Installation leitet Sie ein Assistent durch die verschiedenen Schritte. Zuerst konfigurieren Sie den E-Mail-Versand mittels Postfix. Dafür wählen Sie am besten die Option „Internet-Site“ aus und geben die E-Mail-Adresse an, mit der die Nachrichten verschickt werden sollen. Es handelt sich dabei allerdings nur um lokale Nachrichten, mit denen Sie als Administrator über mögliche Probleme informiert werden. Die komplette Konfiguration übernimmt Tripwire im Hintergrund für Sie. Falls Sie nähere Informationen zu Postfix und seiner Funktionsweise benötigen, empfehlen wir Ihnen den entsprechenden Artikel im Wiki von Ubuntuusers.

Leiten Sie zur besseren Übersicht alle Fehlermeldungen, über die Tripwire nach der Installation berichtet, in eine Datei um.
Leiten Sie zur besseren Übersicht alle Fehlermeldungen, über die Tripwire nach der Installation berichtet, in eine Datei um.

Tripwire benötigt für den Betrieb zwei Schlüsselpaare, die Sie bei der Einrichtung definieren, erstens einen Site-Schlüssel um Dateien zu schützen, die über mehrere Systeme hinweg verwendet werden, zweitens einen lokalen Schlüssel zum Schutz der Dateien, die zum entsprechenden Rechner gehören. Dazu zählt beispielsweise auch die Tripwire-Datenbank.

Während der Installation werden auch die Konfigurationsdateien generiert. Sie finden diese anschließend im Verzeichnis „/etc/tripwire“.