Le package Tripwire contient les programmes utilisés par Tripwire pour vérifier l'intégrité des fichiers sur un système donné.
Téléchargement (HTTP): http://telia.dl.sourceforge.net/sourceforge/tripwire/tripwire-2.3.1-2.tar.gz
Téléchargement (FTP): ftp://ftp.fu-berlin.de/unix/security/tripwire/tripwire-2.3.1-2.tar.gz
Taille du téléchargement: 1,4 Mo
Estimation de l'espace disque requis: 63 Mo
Estimation du temps de construction: 2,35 SBU
Correctif requis pour plusieurs problèmes de construction (voir le correctif pour plus d'informations): http://www.linuxfromscratch.org/patches/blfs/5.0/tripwire-2.3.1-2-gcc3-build-fixes.patch
Compilez Tripwire en lançant les commandes suivantes:
patch -Np1 -i ../tripwire-2.3.1-2-gcc3-build-fixes.patch && cd src && make release && cd .. && cp install/install.{sh,cfg} . |
Installez Tripwire en lançant les commandes suivantes:
./install.sh && cp /etc/tripwire/tw.cfg /usr/sbin && cp policy/*.txt /usr/share/doc/tripwire |
make release : Cette commande crée les binaires Tripwire.
cp install.{sh,cfg} . : Ces fichiers sont copiés vers le répertoire principal de Tripwire de façon à ce que le script puisse être utilisé pour installer le package.
cp policy/*.txt /usr/share/doc/tripwire : Cette commande installe la documentation.
/etc/tripwire
Tripwire utilise un fichier de règles pour déterminer quels sont les fichiers dont l'intégrité est vérifié. Le fichier de règles par défaut (twpol.txt trouvé dans /etc/tripwire/) est celui disponible lors de l'installation de la RedHat 7.0 et est quelque peu ancien.
Les fichiers de règles sont aussi personnalisés et doivent être ajustés à la distribution/installation de chacun. Quelques fichiers de règles personnalisés peuvent être trouvés ci-dessous:
http://home.iprimus.com.au/glombowski/blfs/twpol-all.txt Vérifie l'intégrité de tous les fichiers http://home.iprimus.com.au/glombowski/blfs/twpol-lfs.txt Fichier de règles personnalisé pour un système de base LFS-3.0. http://home.iprimus.com.au/glombowski/blfs/twpol-suse7.2.txt Fichier de règles personnalisé pour un système Suse-7.2. |
Téléchargez le fichier de règles personnalisé que vous souhaitez essayer, copiez-le dans /etc/tripwire/ et utilisez-le à la place de twpol.txt. Il est néanmoins recommendé de créer votre propre fichier de règles. Récupérez des idées des exemples ci-dessus et lisez /usr/share/doc/tripwire/policyguide.txt. twpol.txt est un bon fichier de règles pour les débutants car il notera tout changement au système de fichiers et peut même être utilisé comme moyen de garder traces d'installation/désinstallation de logiciels.
Une fois que vous avez transféré votre fichier de règles dans /etc/tripwire/, vous pouvez commencer les étapes de configuration:
twadmin -m P /etc/tripwire/twpol.txt && tripwire -m i |
Lors de la configuration, tripwire va créer deux clés: une clé pour le site et une clé locale qui seront stockées sous /etc/tripwire/.
Pour utiliser tripwire après cela, lancez un rapport en lançant la commande suivante:
tripwire -m c > /etc/tripwire/report.txt |
View the output to check the integrity of your files. An automatic integrity report can be produced by using a cron facility to schedule the runs.
Please note that after you run an integrity check, you must check the report or email and then modify the Tripwire database of the files on your system so that Tripwire will not continually notify you that files you intentionally changed are a security violation. To do this you must first ls /var/lib/tripwire/report/ and note the name of the newest file which starts with linux- and ends in .twr. This encrypted file was created during the last report creation and is needed to update the Tripwire database of your system. Then, type in the following command making the appropriate substitutions for '?':
tripwire -m u -r /var/lib/tripwire/report/linux-???????-??????.twr |
You will be placed into vim with a copy of the report in front of you. If all the changes were good, then just type :x and after entering your local key, the database will be updated. If there are files which you still want to be warned about, please remove the x before the filename in the report and type :x.
If you are unhappy with your policy file and would like to modify it or use a new one, modify the policy file and then execute the following commands:
twadmin -m P /etc/tripwire/twpol.txt && tripwire -m i |
Le package Tripwire contient siggen, tripwire, twadmin et twprint.
Précédent | Sommaire | Suivant |
Mettre en place un pare-feu réseau | Niveau supérieur | Linux_PAM-0.77 |