Tripwire-2.4.2.2

Introduction à Tripwire

Le paquet Tripwire contient des programmes utilisés pour vérifier l'intégrité des fichiers sur un système donné.

Ce paquet est connu pour se construire correctement sur une plateforme LFS-7.2.

Informations sur le paquet

Dépendances de Tripwire

Requises

OpenSSL-1.0.1c

Facultatives

An MTA

Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/tripwire

Installation de Tripwire

Compilez Tripwire en lançant les commandes suivantes :

sed -i -e 's@TWDB="${prefix}@TWDB="/var@' install/install.cfg            &&
sed -i -e 's/!Equal/!this->Equal/' src/cryptlib/algebra.h                &&
sed -i -e '/stdtwadmin.h/i#include <unistd.h>' src/twadmin/twadmincl.cpp &&
./configure --prefix=/usr --sysconfdir=/etc/tripwire                     &&
make
[Avertissement]

Avertissement

La configuration par défaut consiste à utiliser un MTA local. Si vous n'avez pas installé de MTA et si vous ne souhaitez pas en installer, modifiez install/install.cfg pour utiliser plutît un serveur SMTP. Sans cela, l'installation échouera.

Ce paquet n'est pas fourni avec une suite de tests.

Maintenant, en tant qu'utilisateur root :

make install &&
cp -v policy/*.txt /usr/doc/tripwire

Explication des commandes

sed -i -e 's@TWDB="${prefix}@TWDB="/var@' install/install.cfg : Cette commande dit au paquet d'installer la base de données et les rapports du programme dans /var/lib/tripwire.

sed ... src/cryptlib/algebra.h : Corrige la compilation avec gcc-4.7.

sed ... src/twadmin/twadmincl.cpp : Corrige la compilation avec gcc-4.7.

make install : Cette commande crée les clés de sécurité Tripwire et installe les the binaires. Il y a deux clés : une clé distante et une clé locale qui sont stockées dans /etc/tripwire/.

cp -v policy/*.txt /usr/doc/tripwire : Cette commande installe las fichiers de politique modèle tripwire avec le reste de la documentation de tripwire.

Configuration de Tripwire

Fichiers de configuration

/etc/tripwire/*

Informations de configuration

Tripwire utilise un fichier de règles pour déterminer les fichiers dont l'intégrité est à vérifier. Le fichier de règles par défaut (/etc/tripwire/twpol.txt) vaut pour une installation par défaut et devra être mis à jour selon votre système.

Vous devriez adapter les fichiers de règles individuels à chaque distribution et/ou installation. Vous pouvez trouver certains fichiers de règles d'exemples dans /usr/doc/tripwire/ (remarquez que /usr/doc/ est un lien symbolique sur les systèmes LFS vers to /usr/share/doc/).

Si vous le souhaitez, copiez le fichier de règles que vous aimeriez essayer dans /etc/tripwire/ au lieu d'utiliser le fichier de règles par défaut, twpol.txt. Néanmoins, on vous recommande d'éditer votre propre fichier de règles. Inspirez-vous des exemples ci-dessus et lisez /usr/doc/tripwire/policyguide.txt pour des informations supplémentaires. twpol.txt est un bon fichier de règles pour apprendre Tripwire car il remarquera n'importe quelle modification dans système de fichiers et il peut même être utilisé comme une façon ennuyeuse de garder une trace des changements de désinstallation d'un logiciel.

Après que votre fichier de règles a été éditez selon vos désirs, vous pouvez commencer les étapes de configuration (effectuez en tant qu'utilisateur root) user:

twadmin --create-polfile --site-keyfile /etc/tripwire/site.key \
    /etc/tripwire/twpol.txt &&
tripwire --init

Selon votre système et le contenu du fichier de règles, la phase d'initialisation ci-dessus peut prendre un temps relativement long.

Informations d'utilisation

Tripwire identifiera les modifications de fichiers dans les fichiers critiques du système indiqués dans le fichier de règles. L'utilisation de Tripwire si vous modifiez souvent ces répertoires marquera toutes ces modifications. C'est souvent utile après que le système a atteint une configuration considérée comme stable par l'utilisateur.

Pour utiliser Tripwire après avoir créé un fichier de règles pour lancer un signalement, utilisez la commande suivante :

tripwire --check > /etc/tripwire/report.txt

Observez la sortie pour vérifier l'intégrité de vos fichiers. Un rapport automatique d'intégrité peut être obtenu en utilisant une fonctionnalité cron pour programmer à l'avance les exécutions.

Les rapports sont stockés en binaire et, si vous le désirez, chiffrés. Observez les rapports, en tant qu'utilisateur root, avec :

twprint --print-report -r /var/lib/tripwire/report/<report-name.twr>

Après que vous avez lancé une vérification d'intégrité, vous devriez examiner le rapport ((or le message électronique) puis modifier la base de données Tripwire pour refléter les fichiers modifiés sur votre système. Ceci pour que Tripwire ne vous notifie pas en permanence que des fichiers que vous avez volontairement modifiés sont une violation de sécurité. Pour faire cela, vous devez tout d'abord faire ls -l /var/lib/tripwire/report/ et remarquer le nom du fichier le plus récent qui commence par le nom de votre système tel que présenté par la commande uname -n et qui finit par .twr. Ces fichiers ont été créés pendant la création du rapport et le plus actuel est nécessaire pour mettre à jour la base de données Tripwire de votre système. En tant qu'utilisateur root, entrez la commande suivante en faisant le nom du rapport adéquat :

tripwire --update --twrfile /var/lib/tripwire/report/<report-name.twr>

Vous serez mis dans vim avec une copie du rapport face à vous. Si tous les changements ont été corrects, tapez simplement  :wq et après avoir entré votre clé locale, la base de données sera mise à jour. S'il y a des fichiers pour lesquels vous voulez encore être averti, supprimez le 'x' avant le nom du fichier dans le rapport et tapez  :wq.

Vous pouvez trouver un bon résumé des opérations de tripwire sur http://va-holladays.no-ip.info:2200/tools/security-docs/tripwire-v1.0.pdf.

Modifier le fichier de règles

Si vous n'êtes pas content de votre fichier de règles et si vous aimeriez le modifier ou en utiliser un nouveau, modifiez le fichier de règles puis exécutez les commandes suivantes en tant qu'utilisateur commands en tant qu'utilisateur root :

twadmin --create-polfile /etc/tripwire/twpol.txt &&
tripwire --init

Contenu

Programmes installés: siggen, tripwire, twadmin, et twprint
Bibliothèques installées: Aucune
Répertoires installés: /etc/tripwire, /var/lib/tripwire, et /usr/share/doc/tripwire

Descriptions courtes

siggen

est un outil rassembleur de signatures qui affiche les valeurs de la fonction de hachage pour les fichiers spécifiés.

tripwire

est le programme principal de vérification d'intégrité des fichiers.

twadmin

outil d'administration utilisé pour effectuer certaines fonctions administratives et certaines options de configuration liées aux fichiers Tripwire.

twprint

paffiche une base de données et des fichiers de rapport Tripwire au format texte en clair.

Last updated on : 2012-09-25 18:29:25 +020