Il pacchetto Tripwire contiene programmi usati per verificare l'integrità dei file in un dato sistema.
Download (HTTP): http://www.frenchfries.net/paul/tripwire/tripwire-portable-0.9.tar.gz
Download MD5 sum: 02610d0593fe04d35d809ff6c5becc02
Dimensione del download: 869 KB
Stima dello spazio su disco richiesto: 22 MB
Stima del tempo di costruzione: 2.96 SBU
MTA (Vedere Capitolo 21, Mail Server Software)
Compilare Tripwire eseguendo i seguenti comandi:
sed -i -e 's@TWDB="${prefix}@TWDB="/var@' install/install.cfg &&
./configure --prefix=/usr --sysconfdir=/etc/tripwire &&
make
Ora, come utente root:
make install &&
cp policy/*.txt /usr/share/doc/tripwire
La configurazione di default prevede l'uso di un MTA locale. Se non si ha un MTA installato e non si vuole installarne uno modificare install.cfg per usare invece un server SMTP.
sed -i -e 's@TWDB="${prefix}@TWDB="/var@' install/install.cfg: questo comando dice al pacchetto di installare il database e i report del programma in /var/lib/tripwire.
make install: questo comando crea le chiavi di sicurezza di Tripwire e installa i binari. Ci sono due chiavi: una chiave del sito e una chiave locale, che sono archiviate in /etc/tripwire/.
cp policy/*.txt /usr/share/doc/tripwire: questo comando installa la documentazione.
Tripwire usa un file policy per determinare di quali file è stata verificata l'integrità. Il file di policy di default (/etc/tripwire/twpol.txt) è per una installazione di default di Redhat e dovrà essere aggiornato per il proprio sistema.
I file di policy devono essere adattati a ciascuna distribuzione individuale e/o installazione. Alcuni file di policy personalizzati si possono trovare di seguito:
http://home.iprimus.com.au/glombowski/blfs/twpol-all.txt Verifica l'integrità di tutti i file http://home.iprimus.com.au/glombowski/blfs/twpol-lfs.txt File di policy personalizzato per un sistema Base LFS 3.0 http://home.iprimus.com.au/glombowski/blfs/twpol-suse7.2.txt File di policy personalizzato per un sistema SuSE 7.2
Scaricare il file di policy personalizzato che si vorrebbe provare, copiarlo in /etc/tripwire/, e usarlo invece di twpol.txt. E', invece, raccomandato fare il proprio file di policy personalizzato. Prendere idee dagli esempi precedenti e leggere /usr/share/doc/tripwire/policyguide.txt per informazioni aggiuntive. twpol.txt è un buon file di policy per principianti perché annota ogni cambiamento al file system e può anche essere usato come un fastidioso modo di tenere traccia dei cambiamenti per disinstallare il software.
Dopo che il proprio file di policy è stato trasferito a /etc/tripwire/ si possono iniziare i passi di configurazione:
twadmin --create-polfile --site-keyfile /etc/tripwire/site.key \
/etc/tripwire/twpol.txt &&
tripwire --init
Per usare Tripwire dopo aver creato un file di policy per avviare un report, usare il seguente comando:
tripwire --check > /etc/tripwire/report.txt
Vedere l'output per verificare l'integrità dei propri file. Un rapporto automatico di integrità può essere prodotto usando un servizio cron per pianificare le esecuzioni.
Notare che dopo aver avviato una verifica di integrità bisogna esaminare il rapporto (o email) e quindi modificare il database di Tripwire per riflettere i file cambiati sul proprio sistema. Questo serve perché Tripwire non notificherà continuamente che i file che sono stati intenzionalmente cambiati significano una violazione della sicurezza. Per farlo bisogna prima eseguire ls -l /var/lib/tripwire/report/ e annotare il nome del file più nuovo che inizia con linux- e termina in .twr. Questo file cifrato è stato creato durante l'ultimo rapporto di creazione ed è necessario per aggiornare il database di Tripwire del proprio sistema. In seguito digitare il seguente comando che fa le sostituzioni appropriate per [?]:
tripwire --update -twrfile \
/var/lib/tripwire/report/linux-[???????]-[??????].twr
Verrete portati in vim con una copia del rapporto di fronte a voi. Se tutti i cambiamenti erano corretti digitare semplicemente :x, e dopo aver inserito la propria chiave locale il database verrà aggiornato. Se ci sono file sui quali si vuole ugualmente essere avvisati rimuovere la 'x' prima del nome file nel rapporto e digitare :x.
è un'utilità di raccolta firme che visualizza i valori della funzione hash per i file specificati.
è il programma principale di verifica dell'integrità dei file.
tool amministrativo e di utilità usato per eseguire certe funzioni amministrative legate ai file di Tripwire e alle opzioni di configurazione.
stampa il database di Tripwire e i file di rapporto in formato testo in chiaro.
Last updated on