Tripwire linux как работает

Инсталляция типичного Red Hat Linux сервера включает в среднем около 30400 файлов. Администратор не в состоянии проконтролировать целостность всех системных файлов, и если хакер получит доступ к серверу и сможет модифицировать какие-либо файлы, то вы можете об этом не узнать. Для решения этих проблем было создано несколько программ.

Согласно информации опубликованной на официальном сайте Tripwire:
Tripwire работает на самом фундаментальном уровне, защищая сервера и рабочие станции, представляющие основу корпоративной сети. Запускаемая первый раз, она сканирует компьютер и создает базу данных системных файлов, компактный цифровой «снимок» системы в безопасном состоянии. Пользователи могут настраивать Tripwire очень точно, определяя конкретные файлы и каталоги на каждой машине, или создавая стандартный шаблон, который может использоваться на всех машинах предприятия.

Как только такая базовая база данных создана, администратор может запускать Tripwire для проверки целостности системы в любое время. Она сканирует текущую систему и сравнивает результаты со своей базой. Tripwire определяет и рапортует о любых дополнения, удаления и изменениях произошедших среди контролируемых ею файлов. Если изменения правильные, то администратор может обновить базу данных новой информацией. Если были найдены злонамеренный изменения, то администратор будет знать на какую часть системы было оказано воздействие.

Эта версия Tripwire имеет значительные изменения по сравнению с предыдущей. Некоторые расширения включают:

Множество уровней сообщений позволяет вам выбрать различную информационность отчетов.
Опция Syslog посылает информация об инициализации и обновлении базы данных, изменении политики, и целостности в syslog.
Производительность базы данных может быть оптимизирована для увеличения эффективности проверки целостности
Разные разделы отчета могут быть посланы разным получателям
Поддержка отправки отчетов по почте через SMTP
Режим тестирования почты для проверки правильности почтовых настроек
Возможность создания нескольких независимо исполняемых секций с политиками

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам «/var/tmp» (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем «root».
Tripwire версии 2.2.1

Пакеты.
Домашняя страница Tripwire : http://www.tripwiresecurity.com/
Вы должны скачать: Tripwire_221_for_Linux_x86_tar.gz

[root@deep /]# cp Tripwire_version_for_Linux_x86_tar.gz /var/tmp
[root@deep /]# cd /var/tmp
[root@deep tmp]# tar xzpf Tripwire_version_for_Linux_x86_tar.gz

ЗАМЕЧАНИЕ. После раскрытия архива Tripwire в каталоге «/var/tmp» вы увидите файлы, связанные с Tripwire: License.txt, README, Release_Notes, install.cfg, install.sh, созданный каталог и Tripwire_version_for_Linux_x86_tar.gz.

Конфигурирование файла «/var/tmp/install.cfg».

Помните, что Tripwire не является программой с открытыми исходными кодами, поэтому процесс компиляции не выглядит как обычно; вместо этого, вы должны модифицировать файл «install.cfg» (который будет автоматически инсталлировать Tripwire), чтобы определить в нем все необходимые пути. Мы должны это сделать так, чтобы он был совместим со структурой файловой системы Red Hat и исполняемые файлы Tripwire попали под переменную PATH.

Редактируйте файл install.cfg (vi install.cfg) и измените этот файл следующим образом:

ЗАМЕЧАНИЕ. Файл «install.cfg» используются Bourne shell скриптом при инсталляции для определения конфигурационных переменных. Они определяют места куда устанавливаются файлы и предпринимаемые действия, если подобные файлы существуют.

Сейчас мы должны запустить инсталляционный скрипт для установки исполняемых и сопутствующих файлов Tripwire.

Для запуска инсталляционного скрипта и установки Tripwire, используйте следующую команду:

[root@deep tmp]# ./install.sh

Замечание. Файл «install.sh» — это инсталляционный скрипт, который запускается для начала установки Tripwire.

Во время инсталляции вы будете:

Отвечать на некоторые вопросы, связанные с инсталляцией.
Задавать две парольные фразы (pass phrases) соответственно для ключа сервера и локального ключа.

Шаг 3

Когда Tripwire установится на вашу систему, она скопирует файлы «License.txt», «README» и «Release_Notes» в каталог «/usr». Конечно, после прочтения, вы можете спокойно удалить их следующей командой:

[root@deep /usr]# rm -f /usr/License.txt README Release_Notes

Очистка после работы. [root@deep /]# cd /var/tmp
[root@deep tmp]# rm -rf License.txt README Release-Notes install.cfg install.sh pkg/Tripwire_version_for_Linux_x86_tar.gz

Команда «rm», использованная выше, будет удалять все исходные коды, которые мы использовали при компиляции и инсталляции Tripwire. Она также удалит .tgz архив.

Конфигурации.

Все программное обеспечение, описанное в книге, имеет определенный каталог и подкаталог в архиве «floppy.tgz», включающей все конфигурационные файлы для всех программ. Если вы скачаете этот файл, то вам не нужно будет вручную воспроизводить файлы из книги, чтобы создать свои файлы конфигурации. Скопируйте файл из архива и измените его под свои требования. Затем поместите его в соответствующее место на сервере, так как это показано ниже. Файл с конфигурациями вы можете скачать с адреса:
http://www.openna.com/books/floppy.tgz

Для запуска Tripwire под Linux следующий файл должен быть создан или скопирован в требуемый каталог:

Копируйте файл twpol.txt в каталог «/usr/TSS/policy».

Настройка файла «/usr/TSS/policy/twpol.txt».

«/usr/TSS/policy/twpol.txt» — это текстовый файл политик Tripwire, где вы можете определить файлы и каталог для проверки. Обратите внимание, что при редактировании этого файла необходимы обширные испытания и опыты, прежде чем удастся получить работающие файлы отчетов. Следующий работающий пример вы можете использовать, как стартовую площадку для ваших настроек.

Вы должны редактировать файл политик, заданный по умолчанию, для получения вашей версии. Файл «policyguide.txt» в каталоге «/usr/TSS/policy» может вам помочь. Откройте файл «twpol.txt» в текстовом редакторе (vi /usr/TSS/policy/twpol.txt) и измените все, что нужно:

ЗАМЕЧАНИЕ. Это пример файла политик, который мы вам предоставляем, конечно, вы должны модифицировать его под вашу систему.

Так как мы уже готовы использовать наш файл политик в первый раз, инсталлируйте его следующей командой:

[root@deep /]# twadmin —create-polfile /usr/TSS/policy/twpol.txt
Please enter your site passphrase:
Wrote policy file: /usr/TSS/policy/tw.pol

Организация защиты Tripwire для Linux

Важно удостовериться, что целостность системы уже не была нарушена. Для максимальной безопасности вашей основной базы данных, вы должны инсталлировать систему с оригинальных носителей. Также рекомендуется удалить текстовую копию конфигурационного файла Tripwire «twcfg.txt», расположенного в каталоге «/usr/bin», для сокрытия месторасположения файлов Tripwire и предотвращения создания альтернативного конфигурационного файла.

[root@deep /]# rm -f /usr/bin/twcfg.txt

Дополнительная документация.

Здесь перечислены некоторые страницы руководства (man), которые могут дать вам дополнительную информацию.

$ siggen (8) — сбор сигнатур кодов для Tripwire
$ tripwire (8) — программа проверки целостности файлов UNIX систем
$ twadmin (8) — административная и инструментальная программа Tripwire
$ twconfig (4) — конфигурационный файл Tripwire
$ twfiles (5) — краткий обзор фалов используемых Tripwire и процесса
резервного копирования файлов
$ twintro (8) — введение в Tripwire
$ twpolicy (4) — файл политик Tripwire
$ twprint (8) — база данных и печать отчетов Tripwire

Команды.

Ниже приведены команды из тех, что мы часто используем в регулярной работе, но из существует много больше. Читайте страницы руководства (man) для получения большей информации.

Создание базы данных в первый раз.

Так как ваш файл с политиками инсталлирован, то наступило время создать базу данных объектов файловой системы, базирующуюся на файле с политиками. Эта база данных будет выступать как основание для дальнейших проверок целостности.

Синтаксис для перехода в режим инициализации базы данных:

Инициализируем вашу базу данных:

[root@deep /]# tripwire —init
Please enter your local passphrase:
Parsing policy file: /usr/TSS/policy/tw.pol
Generating the database.
*** Processing Unix File System ***
Wrote database file: /usr/TSS/db/deep.openna.com.twd
The database was successfully generated.

ЗАМЕЧАНИЕ. Когда команда выполнена, база данных готова и вы можете выполнить проверку целостности файловой системы и просматривать отчеты.

Запуск режима проверки целостности и интерактивного режима проверки.

Tripwire имеет возможность называемую «Режим проверки целостности». Сейчас, когда наша база данных инициализована, мы можем использовать этот режим для сравнения текущих объектов файловой системы с их свойствами, записанными в базу данных Tripwire. Все файлы с нарушениями будут выводится в stdout; файл генератор отчетов будет создан и может быть использован в дальнейшем с помощью утилиты twprint.

Синтаксис для режима проверки целостности:

Для запуска проверки целостности используйте команду:

[root@deep /]# tripwire —check

Tripwire может быть также запущен в режиме «Интерактивный режим проверки». В этом режиме вы можете автоматически обновлять ваши изменения с терминала.

Для запуска интерактивного режима проверки используйте команду:

[root@deep /]# tripwire —check —interactive

В Tripwire есть опция email, которая позволяет отправлять письма. Эта опция определяет, что отчет должен быть отправлен по электронной почте адресату, определенному в файле политик.

Для запуска режима проверки целостности и отправки отчета по электронной почте, используйте команду:

[root@deep /]# tripwire —check —email-report Обновление базы данных после проверки целостности.

Если вы решили использовать «Режим проверки целостности » вместо «Интерактивного режима проверки «, вы должны обновить базу данных Tripwire, используя возможность «Режим обновления базы данных». Этот процесс позволяет вам сэкономить время, обновляя базу данных без ее полного пересоздания, и также допускается выборочное обновление, которое не может быть осуществлена через восстановление.

Синтаксис режима обновления базы данных:

Для обновления базы данных дайте команду:

[root@deep /]# tripwire —update -r /usr/TSS/report/deep.openna.com-200001-021854.twr

где «-r» читает определенный файл отчет (deep.openna.com-200001-021854.twr). Эта опция требуется, так как переменная REPORTFILE в текущем файле конфигурации использует $(DATE).

ЗАМЕЧАНИЕ: В режиме обновления базы данных или режиме интерактивной проверки, Tripwire выводит отчет на вашем терминале с местом для отметки напротив каждого нарушения политики. Вы можете принять изменения в файловой системе установив знак «x» или не обновлять базу данных убрав «x». После того, как вы вышли из редактора и ввели локальную парольную фразу, Tripwire будет обновлять и записывать изменения.

Обновление файла с политиками.

Иногда вы можете захотеть изменить правила в вашей политике, чтобы отразить изменения правил и отразить расположение новых файлов и политик. Существуют специальные команды, чтобы выполнить работу по обновлению базы данных без полного обновления базы. Это поможет сохранить много времени и безопасность, сохраняя файлы политик синхронизированными с базой данных

Синтаксис для режима обновления политик:

Для обновления файла с политиками используйте команду:

[root@deep /]# tripwire —update-policy /usr/TSS/policy/newtwpol.txt

Режим обновления политик по умолчанию запускается с опцией «—secure-mode high». Вы можете столкнуться с ошибкой когда запускаете Tripwire с этой опцией, если файловая система изменилась по сравнению с последним обновлением базы данных, и если эти изменения будут причиной нарушений по новым правилам политики. После уточнения, что все отчеты о нарушениях в high security режиме санкционированы, вы можете обновить файл с политиками в low security режиме для решения этой проблемы:

Для обновления файла политик в low security режиме используйте команду:

Источник

Глава 12. Программы обеспечения безопасности (Целостность системы)

Linux Tripwire 2.2.1

Инсталляция типичного Red Hat Linux сервера включает в среднем около 30400 файлов. Администратор не в состоянии проконтролировать целостность всех системных файлов, и если хакер получит доступ к серверу и сможет модифицировать какие-либо файлы, то Вы можете об этом не узнать. Для решения этих проблем было создано несколько программ.

Согласно информации, опубликованной на официальном сайте Tripwire:
Tripwire работает на самом фундаментальном уровне, защищая серверы и рабочие станции, представляющие основу корпоративной сети. Запускаемая первый раз, программа сканирует компьютер и создает базу данных системных файлов, компактный цифровой снимок системы в безопасном состоянии. Пользователи могут настраивать Tripwire очень точно, определяя конкретные файлы и каталоги на каждой машине, или создавая стандартный шаблон, который может использоваться на всех машинах предприятия.

Как только такая база данных создана, администратор может запускать Tripwire для проверки целостности системы в любое время. Она сканирует текущую систему и сравнивает результаты со своей базой. Tripwire определяет и рапортует о любых дополнениях, удалениях и изменениях, произошедших среди контролируемых ею файлов. Если изменения правильные, то администратор может обновить базу данных новой информацией. Если были найдены злонамеренные изменения, то администратор будет знать, на какую часть системы было оказано воздействие.

Эта версия Tripwire имеет значительные изменения по сравнению с предыдущей. Некоторые расширения включают:

Множество уровней сообщений позволяет Вам выбрать различную информативность отчетов.
Опция Syslog посылает информация об инициализации и обновлении базы данных, изменении политики и целостности в syslog.
Производительность базы данных может быть оптимизирована для увеличения эффективности проверки целостности.
Разные разделы отчета могут быть посланы разным получателям.
Поддержка отправки отчетов по почте через SMTP.
Режим тестирования почты для проверки правильности почтовых настроек.
Возможность создания нескольких независимо исполняемых секций с политиками.

Эти инструкции предполагают.
Unix-совместимые команды.
Путь к исходным кодам /var/tmp (возможны другие варианты).
Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.
Все шаги инсталляции осуществляются суперпользователем root.
Tripwire версии 2.2.1.

Пакеты.
Домашняя страница Tripwire: http://www.tripwiresecurity.com ,
Вы должны скачать: Tripwire_221_for_Linux_x86_tar.gz.

ЗАМЕЧАНИЕ. После раскрытия архива Tripwire в каталоге /var/tmp Вы увидите файлы, связанные с Tripwire: License.txt, README, Release_Notes, install.cfg, install.sh, созданный каталог и Tripwire_version_for_Linux_x86_tar.gz.

Конфигурирование файла /var/tmp/install.cfg

Помните, что Tripwire не является программой с открытыми исходными кодами, поэтому процесс компиляции не выглядит как обычно. Вместо этого, Вы должны модифицировать файл install.cfg (который будет автоматически инсталлировать Tripwire), чтобы определить в нем все необходимые пути. Мы должны это сделать так, чтобы он был совместим со структурой файловой системы Red Hat, а исполняемые файлы Tripwire попали под переменную PATH.

Редактируйте файл install.cfg (vi install.cfg) и измените этот файл следующим образом:

ЗАМЕЧАНИЕ. Файл install.cfg используются Bourne shell-скриптом при инсталляции для определения конфигурационных переменных. Они определяют места куда устанавливаются файлы и предпринимаемые действия, если подобные файлы существуют.

Сейчас мы должны запустить инсталляционный скрипт для установки исполняемых и сопутствующих файлов Tripwire.

Для запуска инсталляционного скрипта и установки Tripwire, используйте следующую команду:

Замечание. Файл install.sh это инсталляционный скрипт, который запускается для начала установки Tripwire.

Во время инсталляции Вы будете:

Отвечать на некоторые вопросы, связанные с инсталляцией.
Задавать две парольные фразы (pass phrases) соответственно для ключа сервера и локального ключа.

Когда Tripwire установится на Вашу систему, она скопирует файлы License.txt, README и Release_Notes в каталог /usr. Конечно, после прочтения, Вы можете спокойно удалить их следующей командой:

Очистка после работы.

Команда rm, использованная выше, будет удалять все исходные коды, которые мы использовали при компиляции и инсталляции Tripwire. Она также удалит архив .tgz.

Конфигурации

Все программное обеспечение, описанное в книге, имеет определенный каталог и подкаталог в архиве floppy.tgz, включающем все конфигурационные файлы для всех программ. Если Вы скачаете этот файл, то Вам не нужно будет вручную воспроизводить файлы из книги, чтобы создать свои файлы конфигурации. Скопируйте файл из архива и измените его под свои требования. Затем поместите его в соответствующее место на сервере так, как это показано ниже. Файл с конфигурациями Вы можете скачать с адреса http://www.openna.com/books/floppy.tgz

Для запуска Tripwire под Linux следующий файл должен быть создан или скопирован в требуемый каталог:

Копируйте файл twpol.txt в каталог /usr/TSS/policy.

Настройка файла /usr/TSS/policy/twpol.txt

/usr/TSS/policy/twpol.txt это текстовый файл политик Tripwire, где Вы можете определить файлы и каталог для проверки. Обратите внимание, что при редактировании этого файла необходимы обширные испытания и опыты, прежде чем удастся получить работающие файлы отчетов. Следующий работающий пример Вы можете использовать, как стартовую площадку для Ваших настроек.

Вы должны редактировать файл политик, заданный по умолчанию, для получения Вашей версии. Файл policyguide.txt в каталоге /usr/TSS/policy может Вам помочь. Откройте файл twpol.txt в текстовом редакторе (vi /usr/TSS/policy/twpol.txt) и измените все, что нужно:

ЗАМЕЧАНИЕ. Это пример файла политик, который мы Вам предоставляем, конечно, Вы должны модифицировать его под Вашу систему.

Так как мы уже готовы использовать наш файл политик в первый раз, инсталлируйте его следующей командой:

Организация защиты Tripwire для Linux

Важно удостовериться, что целостность системы уже не была нарушена. Для максимальной безопасности основной базы данных, Вы должны инсталлировать систему с оригинальных носителей. Также рекомендуется удалить текстовую копию конфигурационного файла Tripwire twcfg.txt, расположенного в каталоге /usr/bin, для сокрытия месторасположения файлов Tripwire и предотвращения создания альтернативного конфигурационного файла.

Дополнительная документация

Здесь перечислены некоторые страницы руководства (man), которые могут дать Вам дополнительную информацию.

$ siggen (8) сбор сигнатур кодов для Tripwire
$ tripwire (8) программа проверки целостности файлов UNIX-систем
$ twadmin (8) административная и инструментальная программа Tripwire
$ twconfig (4) конфигурационный файл Tripwire
$ twfiles (5) краткий обзор файлов, используемых Tripwire и процесса резервного копирования файлов
$ twintro (8) введение в Tripwire
$ twpolicy (4) файл политик Tripwire
$ twprint (8) база данных и печать отчетов Tripwire

Команды

Ниже приведены команды из тех, что мы часто используем в регулярной работе, но их существует много больше. Читайте страницы руководства (man) для получения большей информации.

Создание базы данных в первый раз

Так как Ваш файл с политиками инсталлирован, то наступило время создать базу данных объектов файловой системы, базирующуюся на файле с политиками. Эта база данных будет выступать как основание для дальнейших проверок целостности.

Синтаксис для перехода в режим инициализации базы данных:

Инициализируем Вашу базу данных:

ЗАМЕЧАНИЕ. Когда команда выполнена, база данных готова, и Вы можете выполнить проверку целостности файловой системы и просматривать отчеты.

Запуск режима проверки целостности и интерактивного режима проверки.

Tripwire имеет возможность называемую «режим проверки целостности». Сейчас, когда наша база данных инициализована, мы можем использовать этот режим для сравнения текущих объектов файловой системы с их свойствами, записанными в базу данных Tripwire. Все файлы с нарушениями будут выводится в stdout, файл-генератор отчетов будет создан и может быть использован в дальнейшем с помощью утилиты twprint.

Синтаксис для режима проверки целостности:

Для запуска проверки целостности используйте команду:

Tripwire может быть также запущен в режиме «интерактивный режим проверки». В этом режиме Вы можете автоматически обновлять Ваши изменения с терминала.

Для запуска интерактивного режима проверки используйте команду:

Для запуска режима проверки целостности и отправки отчета по электронной почте, используйте команду:

Обновление базы данных после проверки целостности.

Если Вы решили использовать «режим проверки целостности» вместо «интерактивного режима проверки», Вы должны обновить базу данных Tripwire, используя возможность «режим обновления базы данных». Этот процесс позволяет сэкономить время, обновляя базу данных без ее полного пересоздания, и также допускается выборочное обновление, которое не может быть осуществлено через восстановление.

Синтаксис режима обновления базы данных:

Для обновления базы данных дайте команду:

где -r читает определенный файл-отчет (deep.openna.com-200001-021854.twr). Эта опция требуется, так как переменная REPORTFILE в текущем файле конфигурации использует $(DATE).

ЗАМЕЧАНИЕ: В режиме обновления базы данных или режиме интерактивной проверки, Tripwire выводит отчет на Ваш терминал с местом для отметки напротив каждого нарушения политики. Вы можете принять изменения в файловой системе установив знак x или не обновлять базу данных убрав x. После того, как Вы вышли из редактора и ввели локальную парольную фразу, Tripwire будет обновлять и записывать изменения.

Обновление файла с политиками.

Иногда Вы можете захотеть изменить правила в Вашей политике, чтобы отразить изменения правил и отразить расположение новых файлов и политик. Существуют специальные команды, чтобы выполнить работу по обновлению базы данных без полного обновления базы. Это поможет сохранить много времени и безопасность, сохраняя файлы политик синхронизированными с базой данных.

Синтаксис для режима обновления политик:

Для обновления файла с политиками используйте команду:

Режим обновления политик по умолчанию запускается с опцией —secure-mode high. Вы можете столкнуться с ошибкой, когда запускаете Tripwire с этой опцией, если файловая система изменилась по сравнению с последним обновлением базы данных, и если эти изменения будут причиной нарушений по новым правилам политики. После уточнения, что все отчеты о нарушениях в high security режиме санкционированы, Вы можете обновить файл с политиками в low security режиме для решения этой проблемы.

Для обновления файла политик в low security режиме используйте команду:

Linux Tripwire ASR 1.3.1

Tripwire ASR 1.3.1 это «Academic Source Release (ASR)» программы Tripwire. Лично я предпочитаю версию 1.3.1 версии 2.2.1, так как она может быть скомпилирована и инсталлирована без каких-либо проблем с совместимостью на всех версиях Linux

В задачах Tripwire ASR написано:

С появлением все более и более сложных и тонких способов проникновений в систему UNIX, возникает необходимость в утилитах, помогающих обнаружить неправомочные модификации файлов. Tripwire это утилита, которая помогает администраторам и пользователям контролировать обозначенный набор файлов на предмет любых изменений. Используемая на регулярной основе (например, ежедневно), Tripwire может предупредить администраторов о нарушении или разрушении файлов, так чтобы меры были предприняты в кратчайшие сроки.

Tripwire это программа для проверки целостности файлов и каталогов, утилита которая сравнивает обозначенный набор файлов и каталогов с информацией о них, сохраненной в базе данных, сформированной ранее. Помечаются и регистрируются любые изменения, в том числе добавление или удаление элементов. Системный администратор может заключить с высокой степенью уверенности, что требуемый набор файлов не был подвержен неправомочным модификациям, если Tripwire не сообщала об изменениях.

Пакеты.
Домашняя страница Tripwire: http://www.tripwiresecurity.com ,
Вы должны скачать: Tripwire-1.3.1-1.tar.gz.

Компиляция и оптимизация

Редактируйте файл utils.c (vi +462 src/utils.c) и измените следующую строку:

Редактируйте файл config.parse.c (vi +356 src/config.parse.c) и измените следующую строку:

Редактируйте файл config.h (vi +106 include/config.h) и измените следующие строки:

Редактируйте файл config.h (vi +165 include/config.h) и измените следующую строку:

Редактируйте файл config.pre.y (vi +66 src/config.pre.y) и измените следующую строку:

Команды make и make install настаивают программное обеспечение, чтобы удостовериться, что Ваша система имеет необходимые возможности и библиотеки для успешной компиляции пакета, компилируют все исходные файлы в исполняемые, а затем инсталлирует их и сопутствующие им файлы в определенное место.

Команда chmod изменяет права доступа по умолчанию к каталогу tripwire на 700 (drwx——), чтение, запись и исполнение только для пользователя root. И изменяет права доступа на чтение и исполнение только пользователем root (-r-x——) для программ /usr/sbin/tripwire и /usr/sbin/siggen. Команда rm используется для удаления файла tw.config, расположенного в /usr/sbin. Нам этот файл не нужен, так как мы создадим подобный новый файл позже в каталоге /etc.

Очистка после работы.

Команда rm, использованная выше, будет удалять все исходные коды, которые мы использовали при компиляции и инсталляции Tripwire. Она также удалит архив .tar.gz.

Конфигурации

Все программное обеспечение, описанное в книге, имеет определенный каталог и подкаталог в архиве floppy.tgz, включающем все конфигурационные файлы для всех программ. Если Вы скачаете этот файл, то Вам не нужно будет вручную воспроизводить файлы из книги, чтобы создать свои файлы конфигурации. Скопируйте файл из архива и измените его под свои требования. Затем поместите его в соответствующее место на сервере так, как это показано ниже. Файл с конфигурациями вы можете скачать с адреса: http://www.openna.com/books/floppy.tgz .

Для запуска Tripwire следующие файлы должны быть созданы или скопированы в нужный каталог:

Копируйте файл tw.config в /etc.
Копируйте скрипт tripwire.verify в каталог /etc/cron.daily.

Вы можете взять эти файлы из архива floppy.tgz.

Настройка файла /etc/tw.config

Файл /etc/tw.config это конфигурационный файл для Tripwire, в котором определяется, какие каталоги и файлы должны контролироваться. Обратите внимание, что при редактировании этого файла необходимы обширные испытания и опыты, прежде чем удастся получить работающие файлы отчетов. Следующий работающий пример Вы можете использовать как стартовую площадку для Ваших настроек.

Создайте файл tw.config (touch /etc/tw.config) и добавьте в него все каталоги и файлы, которые Вы хотите контролировать. Формат конфигурационного файла описан в его заголовке и на странице руководства (man) для tw.config (5):

Конфигурирование скрипта /etc/cron.daily/tripwire.verify

Файл /etc/cron.daily/tripwire.verify это небольшой скрипт, запускаемый crond на Вашем сервере каждый день, для сканирования жесткого диска на предмет возможных изменений в файлах и каталогах и отправки результатов по электронной почте системному администратору. Этот скрипт автоматически выполнит проверку целостности файловой системы. Если Вы хотите автоматизировать эту задачу выполните шаги, описанные ниже.

Создайте скрипт tripwire.verify (touch /etc/cron.daily/tripwire.verify) и добавьте в него:

Сейчас сделайте скрипт исполняемым и измените режим доступа к нему на 0700 следующей командой:

Организация защиты Tripwire

Рекомендуется из соображений безопасности, переместить базы данных Tripwire (tw.db_[hostname]) в какое-либо место (например, на дискету), где они не могут быть модифицированы. Это важно, потому что данные Tripwire заслуживают такого же доверия, что и ее базы данных. Также рекомендуется сделать сразу распечатку базы данных. Если Вы начнете подозревать, что целостность базы данных нарушена, то сможете вручную проверить ее.

Дополнительная документация

Для получения большей информации Вы можете прочитать страницы руководства (man) перечисленные ниже.

$ man siggen (8) генератор сигнатур программ для Tripwire.
$ man tripwire (8) программа проверки целостности файлов для UNIX.
$ man tw.config (5) конфигурационный файл для Tripwire.

Команды

Запуск Tripwire в интерактивном режиме проверки.

В интерактивном режиме проверки Tripwire проверяет файлы и каталоги, выясняя какие были добавлены, удалены или изменены, сравнивая их со своей базой данных, а затем спрашивает у администратора, какие элементы базы данных должны быть обновлены. Это наиболее удобный путь поддерживать базу данных в актуальном состоянии, но он требует наличия администратора за консолью. Если Вы хотите использовать этот режим, то следуйте шагам, приведенным ниже.

Tripwire должна иметь базу данных, сравнивая с которой в дальнейшем файловую систему она сможет определить изменения. Первым нашим действием будет создание файла, называемого tw.db_[hostname] в каталоге, который Вы определили для хранения базы данных ([hostname] будет заменен на имя Вашей машины).

Для создания информационной базы данных Tripwire, используйте команду:

Мы переходим в каталог, который определили для хранения баз данных, а затем создаем информационную базу данных, которая используется для всех последующих проверок целостности.

Так как файл с информационной базой данных Tripwire был создан, мы можем сейчас запустить Tripwire в интерактивном режиме проверки. Этот режим будет запрашивать пользователя относительно того, действительно ли каждый измененный элемент системы должен быть обновлен в базе данных.

Для запуска интерактивного режима проверки используйте команду:

ЗАМЕЧАНИЕ. В интерактивном режиме Tripwire будет сообщать обо всех добавленных, удаленных и измененных файлах, затем позволяя пользователю обновить базу данных.

Запуск Tripwire в режиме обновления базы данных.

Выполнение Tripwire в режиме обновления базы данных совместно со скриптом tripwire.verify, который отправляет результаты системному администратору, будет сокращать время сканирования системы. Вместо запуска Tripwire в интерактивном режиме проверки и ожидания завершения долгого сканирования, скрипт tripwire.verify будет сканировать систему и сообщать по электронной почте о результатах, а затем Вы запускаете Tripwire в режиме обновления базы данных и обновляете только единичные файлы и каталоги, которые были изменены. Например, если один файл был изменен, Вы можете:

Или, если был изменен набор файлов и каталогов, Вы можете выполнить:

В любом случае, Tripwire пересоздает элементы базы данных для каждого заданного файла. Резервная копия старой базы создается в каталоге ./databases.

Некоторые возможные места использования Tripwire

Tripwire может быть использован для:

Проверки целостности файловой системы.
Получения списка новых инсталлированных или удаленных файлов в Вашей системе.

Источник