Le package Tripwire contient les programmes utilisés par Tripwire pour vérifier l'intégrité des fichiers sur un système donné.
Téléchargement (HTTP): http://prdownloads.sourceforge.net/tripwire/tripwire-2.3.1-2.tar.gz
Téléchargement (FTP): ftp://ftp.fu-berlin.de/unix/security/tripwire/tripwire-2.3.1-2.tar.gz
Taille du téléchargement: 1,4 Mo
Estimation de l'espace disque requis: 63 Mo
Estimation du temps de construction: 2,35 SBU
Correctif requis pour plusieurs problèmes de construction (voir le correctif pour plus d'informations): http://www.linuxfromscratch.org/patches/blfs/5.1/tripwire-2.3.1-2-gcc3-build-fixes.patch
MTA (voir Chapter 21, Logiciels serveur de courier)
Compilez Tripwire en lançant les commandes suivantes:
patch -Np1 -i ../tripwire-2.3.1-2-gcc3-build-fixes.patch &&
make -C src release &&
cp install/install.{sh,cfg} .
La configuration par défaut utilise un MTA local. Si vous n'avez pas de MTA installé et que vous ne souhaitez pas en installer, modifiez install.cfg pour utiliser à la place un serveur SMTP. Installez Tripwire en lançant les commandes suivantes:
./install.sh &&
cp /etc/tripwire/tw.cfg /usr/sbin &&
cp policy/*.txt /usr/share/doc/tripwire
make release : Cette commande crée les binaires Tripwire.
cp install.{sh,cfg} . : Ces fichiers sont copiés vers le répertoire principal de Tripwire de façon à ce que le script puisse être utilisé pour installer le package.
cp policy/*.txt /usr/share/doc/tripwire : Cette commande installe la documentation.
Tripwire utilise un fichier de règles pour déterminer quels sont les fichiers dont l'intégrité est vérifié. Le fichier de règles par défaut (twpol.txt trouvé dans /etc/tripwire/) est celui disponible lors de l'installation de la RedHat 7.0 et est quelque peu ancien.
Les fichiers de règles sont aussi personnalisés et doivent être ajustés à la distribution/installation de chacun. Quelques fichiers de règles personnalisés peuvent être trouvés ci-dessous:
http://home.iprimus.com.au/glombowski/blfs/twpol-all.txt Vérifie l'intégrité de tous les fichiers http://home.iprimus.com.au/glombowski/blfs/twpol-lfs.txt Fichier de règles personnalisé pour un système de base LFS-3.0. http://home.iprimus.com.au/glombowski/blfs/twpol-suse7.2.txt Fichier de règles personnalisé pour un système Suse-7.2.
Téléchargez le fichier de règles personnalisé que vous souhaitez essayer, copiez-le dans /etc/tripwire/ et utilisez-le à la place de twpol.txt. Il est néanmoins recommandé de créer votre propre fichier de règles. Récupérez des idées des exemples ci-dessus et lisez /usr/share/doc/tripwire/policyguide.txt. twpol.txt est un bon fichier de règles pour les débutants car il notera tout changement au système de fichiers et peut même être utilisé comme moyen de garder traces d'installation/désinstallation de logiciels.
Une fois que vous avez transféré votre fichier de règles dans /etc/tripwire/, vous pouvez commencer les étapes de configuration:
twadmin -m P /etc/tripwire/twpol.txt &&
tripwire -m i
Lors de l'installation, tripwire va créer deux clés : une clé pour le site et une clé locale qui seront stockées sous /etc/tripwire/.
Pour utiliser tripwire après cela, lancez un rapport en lançant la commande suivante:
tripwire -m c > /etc/tripwire/report.txt
Visualisez la sortie pour vérifier l'intégrité de vos fichiers. Un rapport d'intégrité automatique peut être produit en utilisant l'outil cron pour plannifier les lancements.
Merci de noter qu'après avoir lancé une vérification d'intégrité, vous devez vérifier le rapport ou l'envoyer par courrier électronique et modifier la base de données Tripwire avec les fichiers de votre système pour que Tripwire ne continue pas à vous indiquer que les fichiers que vous avez modifié volontairement représentent une violation de sécurité. Pour cela, vous devez tout d'abord lancer ls -l /var/lib/tripwire/report/ et noter le nom du fichier le plus récent commençant par linux- et finissant avec .twr. Ce fichier crypté a été créé lors de la création du dernier rapport et est nécessaire pour mettre à jour la base de données Tripwire de votre système. Ensuite, tapez la commande suivante en substituant de manière appropriée les '?' :
tripwire -m u -r /var/lib/tripwire/report/linux-???????-??????.twr
Vous serez amené dans vim avec une copie du rapport devant vous. Si tous les changements sont bons, tapez simplement :x et après avoir saisi votre clé locale, la base de données sera mise à jour. S'il existe des fichiers pour lesquels vous souhaitez toujours être prévenu, merci de supprimer le x devant le nom du fichier dans le rapport et tapez :x.
Le package Tripwire contient siggen, tripwire, twadmin et twprint.