tripwire-2.3.1-2

Introduction à tripwire

Site de téléchargement (HTTP):  http://telia.dl.sourceforge.net/sourceforge/tripwire/tripwire-2.3.1-2.tar.gz
Site de téléchargemenr (FTP):   
Version utilisée:               2.3.1-2
Taille du package:              1,5 Mo
Estimation de l'espace disque requis:  63 Mo

Le package tripwire contient les programmes tripwire utilisés par tripwire pour vérifier l'intégrité des fichiers sur un système donné.

tripwire dépend de:
gcc-2.95.3

Installation de tripwire

Téléchargez le correctif pour la configuration de tripwire à partir de http://downloads.linuxfromscratch.org/blfs-patches.

Installez tripwire en lançant les commandes suivantes:

export PATH_HOLD=$PATH &&
export PATH=/opt/gcc2/bin:$PATH &&
ln -s make /usr/bin/gmake &&
cd src &&
gmake release &&
cd .. &&
cp install/install.{sh,cfg} . &&
patch -Np0 -i ../tripwire-cfg.patch &&
./install.sh &&
cp /etc/tripwire/tw.cfg /usr/sbin &&
cp policy/*.txt /usr/share/doc/tripwire

Supprimez les modifications faites ci-dessus:
rm /usr/bin/gmake &&
export PATH=$PATH_HOLD

Explication des commandes

ln -s make /usr/bin/gmake : La raison pour laquelle nous créons le lien symbolique gmake est que tripwire s'installera seulement si celui-ci est présent.

gmake release : Cette commande crée les binaires tripwire.

cp install.{sh,cfg} . : Ces fichiers sont copiés vers le répertoire principal de tripwire de façon à ce que le script puisse être utilisé pour installer le package.

cp policy/*.txt /usr/share/doc/tripwire : Cette commande installe la documentation.

Configurer tripwire

Informations de configuration

Tripwire utilise un fichier de règles pour déterminer quels sont les fichiers dont l'intégrité est vérifié. Le fichier de règles par défaut ( twpol.txt trouvé dans /etc/tripwire/) est celui disponible lors de l'installation de la RedHat 7.0 et est quelque peu ancien.

Les fichiers de règles sont aussi personnalisés et doivent être ajustés à la distribution/installation de chacun. Quelques fichiers de règles personnalisés peuvent être trouvés ci-dessous:

http://home.iprimus.com.au/glombowski/blfs/twpol-all.txt
Vérifie l'intégrité de tous les fichiers
http://home.iprimus.com.au/glombowski/blfs/twpol-lfs.txt
Fichier de règles personnalisé pour un système de base LFS-3.0.
http://home.iprimus.com.au/glombowski/blfs/twpol-suse7.2.txt
Fichier de règles personnalisé pour un système Suse-7.2.

Téléchargez le fichier de règles personnalisé que vous souhaitez essayer, copiez-le dans /etc/tripwire/ et utilisez-le à la place de twpol.txt. Il est néanmoins recommendé de créer votre propre fichier de règles. Récupérez des idées des exemples ci-dessus et lisez /usr/share/doc/tripwire/policyguide.txt. twpol.txt est un bon fichier de règles pour les débutants car il notera tout changement au système de fichiers et peut même être utilisé comme moyen de garder traces d'installation/désinstallation de logiciels.

Une fois que vous avez transféré votre fichier de règles dans /etc/tripwire/, vous pouvez commencer les étapes de configuration:

twadmin -m P /etc/tripwire/twpol.txt &&
tripwire -m i

Lors de la configuration, tripwire va créer deux clés: une clé pour le site et une clé locale qui seront stockées sous /etc/tripwire/.

Informations sur l'utilisation

Pour utiliser tripwire après cela, lancez un rapport en lançant la commande suivante:
tripwire -m c > /etc/tripwire/report.txt

View the output to check the integrity of your files. An automatic integrity report can be produced by using fcron.

Please note that after you run an integrity check, you must check the report or email and then modify the tripwire database of the files on your system so that tripwire will not continually notify you that files you intentionally changed are a security violation. To do this you must first ls /var/lib/tripwire/report/ and note the name of the newest file which starts with linux- and ends in .twr. This encrypted file was created during the last report creation and is needed to update the tripwire database of your system. Then, type in the following command making the appropriate substitutions for '?':
tripwire -m u -r /var/lib/tripwire/report/linux-???????-??????.twr

You will be placed into vim with a copy of the report in front of you. If all the chnages were good, then just type :x and after entering your local key, the database will be updated. If there are files which you still want to be warned about, please remove the x before the filename in the report and type :x.

Changing the Policy File

If you are unhappy with your policy file and would like to modify it or use a new one, modify the policy file and then execute the following commands:
twadmin -m P /etc/tripwire/twpol.txt &&
tripwire -m i

Contenu

Le package tripwire contient siggen, tripwire, twadmin et twprint.