Au-delà de Linux® From Scratch - Version 7.10

Chapitre 4. Sécurité

Tripwire-2.4.3.1

Introduction à Tripwire

Le paquet Tripwire contient des programmes utilisés pour vérifier l'intégrité des fichiers sur un système donné.

This package is known to build and work properly using an LFS-7.10 platform.

Informations sur le paquet

  • Téléchargement (HTTP) : https://github.com/Tripwire/tripwire-open-source/archive/2.4.3.1.tar.gz

  • Téléchargement (FTP) :

  • Somme de contrôle MD5 du téléchargement : 36c7f1beb5431db870506d5604c0d060

  • Taille du téléchargement : 812 Ko

  • Estimation de l'espace disque requis : 27 Mo

  • Estimation du temps de construction : 1.6 SBU (comprenant les réponses interactives durant l'installation)

[Note]

Note

L'archive des sources de tripwire montrée ci-dessus se télécharge avec le nom correct, tripwire-open-source-2.4.3.1.tar.gz, si vous utilisez un navigateur comme Firefox. Si vous préférez utiliser un programme en ligne de commande comme wget, vous obtiendrez normalement 2.4.3.1.tar.gz. Pour obtenir le paquet avec le bon nom, lancez : 

wget -c https://github.com/Tripwire/tripwire-open-source/archive/2.4.3.1.tar.gz \
     -O tripwire-open-source-2.4.3.1.tar.gz

.

Dépendances de Tripwire

Recommandées

OpenSSL-1.0.2h

Facultatives

Un MTA

Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/tripwire

Installation de Tripwire

Compilez Tripwire en lançant les commandes suivantes : 

sed -e 's|TWDB="${prefix}|TWDB="/var|'   \
    -e '/TWMAN/ s|${prefix}|/usr/share|' \
    -e '/TWDOCS/s|${prefix}/doc/tripwire|/usr/share/doc/tripwire-2.4.3.1| \
    -i   install/install.cfg                         &&                     

./configure --prefix=/usr --sysconfdir=/etc/tripwire &&
make
[Note]

Note

La configuration par défaut consiste à utiliser un MTA local. Si vous n'avez pas installé de MTA et si vous ne souhaitez pas en installer, modifiez install/install.cfg pour utiliser plutôt un serveur SMTP. Sans cela, l'installation échouera.

Ce paquet n'est pas fourni avec une suite de tests.

Maintenant, en tant qu'utilisateur root : 

make install &&
cp -v policy/*.txt /usr/share/doc/tripwire-2.4.3.1

Explication des commandes

sed ... install/install.cfg : Cette commande dit au paquet d'installer la base de données et les rapports du programme dans /var/lib/tripwire et indique les bons emplacements pour les pages de manuel et la documentation.

make install : Cette commande crée les clés de sécurité Tripwire et installe les binaires. Il y a deux clés : une clé distante et une clé locale qui sont stockées dans /etc/tripwire/.

[Note]

Note

Pendant make install, plusieurs questions sont posées, incluant les mots de passe. Si vous voulez faire un script, vous devez appliquer un sed avant de lancer make install:

sed -i -e 's@install/install.sh@& -n -s<site-password> -l<local-password>@' Makefile

bien sûr, vous devez faire cela avec des mots de passe triviaux et les changer ensuite.

cp -v policy/*.txt /usr/doc/tripwire-2.4.3.1 : Cette commande installe les fichiers de politique modèle de tripwire avec le reste de la documentation de tripwire.

Configuration de Tripwire

Fichiers de configuration

/etc/tripwire/*

Informations sur la configuration

Tripwire utilise un fichier de règles pour déterminer les fichiers dont l'intégrité est à vérifier. Le fichier de règles par défaut (/etc/tripwire/twpol.txt) vaut pour une installation par défaut et devra être mis à jour selon votre système.

Vous devriez adapter les fichiers de règles individuels à chaque distribution et/ou installation. Vous pouvez trouver certains fichiers de règles d'exemples dans /usr/share/doc/tripwire/.

Si vous le souhaitez, copiez le fichier de règles que vous aimeriez essayer dans /etc/tripwire/ au lieu d'utiliser le fichier de règles par défaut, twpol.txt. Néanmoins, on vous recommande d'éditer votre propre fichier de règles. Inspirez-vous des exemples ci-dessus et lisez /usr/share/doc/tripwire/policyguide.txt pour des informations supplémentaires. twpol.txt est un bon fichier de règles pour apprendre Tripwire car il remarquera n'importe quelle modification dans le système de fichiers et il peut même être utilisé comme une façon ennuyeuse de garder une trace des changements de désinstallation d'un logiciel.

Après que votre fichier de règles a été éditez selon vos désirs, vous pouvez commencer les étapes de configuration (effectuez en tant qu'utilisateur root) : 

twadmin --create-polfile --site-keyfile /etc/tripwire/site.key \
    /etc/tripwire/twpol.txt &&
tripwire --init

Selon votre système et le contenu du fichier de règles, la phase d'initialisation ci-dessus peut prendre un temps relativement long.

Informations d'utilisation

Tripwire identifiera les modifications de fichiers dans les fichiers critiques du système indiqués dans le fichier de règles. L'utilisation de Tripwire si vous modifiez souvent ces répertoires marquera toutes ces modifications. C'est souvent utile après que le système a atteint une configuration considérée comme stable par l'utilisateur.

Pour utiliser Tripwire après avoir créé un fichier de règles pour lancer un signalement, utilisez la commande suivante : 

tripwire --check > /etc/tripwire/report.txt

Observez la sortie pour vérifier l'intégrité de vos fichiers. Un rapport automatique d'intégrité peut être obtenu en utilisant une fonctionnalité cron pour programmer à l'avance les exécutions.

Les rapports sont stockés en binaire et, si vous le désirez, chiffrés. Observez les rapports, en tant qu'utilisateur root, avec : 

          twprint --print-report -r /var/lib/tripwire/report/<report-name.twr>

Après avoir lancé une vérification d'intégrité, vous devriez examiner le rapport (ou le message électronique) puis modifier la base de données Tripwire pour refléter les fichiers modifiés sur votre système. Ceci pour que Tripwire ne vous notifie pas en permanence que des fichiers que vous avez volontairement modifiés sont une violation de sécurité. Pour faire cela, vous devez tout d'abord faire ls -l /var/lib/tripwire/report/ et remarquer le nom du fichier le plus récent qui commence par le nom de votre système tel que présenté par la commande uname -n et qui finit par .twr. Ces fichiers ont été créés pendant la création du rapport et le plus actuel est nécessaire pour mettre à jour la base de données Tripwire de votre système. En tant qu'utilisateur root, entrez la commande suivante en faisant le nom du rapport adéquat : 

tripwire --update --twrfile /var/lib/tripwire/report/<report-name.twr>

Vous serez mis dans vim avec une copie du rapport face à vous. Si tous les changements sont corrects, tapez simplement :wq et après avoir entré votre clé locale, la base de données sera mise à jour. S'il y a des fichiers pour lesquels vous voulez encore être averti, supprimez le 'x' avant le nom du fichier dans le rapport et tapez :wq.

Modifier le fichier de règles

Si vous n'êtes pas content de votre fichier de règles et si vous aimeriez le modifier ou en utiliser un nouveau, modifiez le fichier de règles puis exécutez les commandes suivantes en tant qu'utilisateur root : 

twadmin --create-polfile /etc/tripwire/twpol.txt &&
tripwire --init

Contenu

Programmes installés: siggen, tripwire, twadmin et twprint
Bibliothèques installées: Aucune
Répertoires installés: /etc/tripwire, /var/lib/tripwire et /usr/share/doc/tripwire

Descriptions courtes

siggen

est un outil rassembleur de signatures qui affiche les valeurs de la fonction de hachage pour les fichiers spécifiés.

tripwire

est le programme principal de vérification d'intégrité des fichiers.

twadmin

outil d'administration utilisé pour effectuer certaines fonctions administratives et certaines options de configuration liées aux fichiers Tripwire.

twprint

affiche une base de données et des fichiers de rapport Tripwire au format texte en clair.

Last updated on 2016-09-01 17:32:06 +0200