Installation
Debian:
$ sudo apt-get install tripwire
Konfiguration
Anpassung der Datei /etc/tripwire/twpol.txt:
$ sudo twadmin --create-polfile twpol.txt
Danach kann die Textdatei twpol.txt gelöscht werden und die Datenbank muß initialisiert werden. Dies sollte genau 1x passieren. Muß die Datenbank ein zweites Mal initialisiert werden, kann die Integrität der überprüften Verzeichnisse und Dateien nicht mehr garantiert sein:
$ sudo tripwire --init
Verwendung von Tripwire
Integritäts-Überprüfung
$ sudo tripwire --check
Damit wird überprüft, ob sich an der aktuellen Konfiguration gegenüber der gespeicherten in der Datenbank etwas geändert hat. Auf STDOUT wird ein Report ausgeben, der gleiche Report wird unter /var/lib/tripwire/report abgelegt und kann mit folgenden Befehl ausgegeben werden:
$ sudo twprint --print-report --twrfile radius2.mediaprint.co.at-20030730-141748.twr
Update der Datenbank
Wenn eine Integritäts-Überprüfung Veränderungen gegenüber den Daten in der Datenbank ergeben, muß überprüft werden, ob diese Änderungen an der Datei ein Integritätsproblem darstellen oder nicht. Sind die Änderungen erklärbar muß die Datenbank auf den neuen Stand gebracht werden, da sonst bei der nächsten Integritäts-Überprüfung diese Veränderungen wieder angezeigt werden:
$ sudo tripwire --update --twrfile /var/lib/tripwire/report/???.twr
Das Datenbank-Update kann auch gleich nach einer Integritäts-Überprüfung erfolgen:
$ sudo tripwire --check -I
Dabei wird jetzt gleich die aktuelle Report-Datei für das Update der Datenbank herangezogen.
Update der Policy-Datei
Aus der Policy-Datei muß man wieder die editierbare ASCII-Datei erzeugen:
$ sudo twadmin --print-polfile > /etc/tripwire/twpol.txt
Der Dateiname für die ASCII-Datei ist frei wählbar
Danach kann die Konfigurationsdatei editiert und wieder abgespeichert werden. Jetzt muß die neue Policy-Datei erzeugt werden:
$ sudo tripwire --update-policy /etc/tripwire/twpol.txt
Wenn die Integrität der Dateien nicht vorhanden ist, schlägt das Update der Datenbank, welches ebenfalls durchgeführt wird fehl. Zu diesem Zweck muß der Secure-Modus von »high« (default) auf »low« manipuliert werden:
$ sudo tripwire --update-policy --secure-mode low /etc/tripwire/twpol.txt
Verwendung von Tripwire in der Produktion
Über einen Cron-Job kann täglich die Integrität des Systems überprüft werden und eine email mit der entsprechenden Auswertung versandt werden. Gibt es Änderungen gegenüber der Datenbank, müssen diese überprüft und danach entschieden werden, ob den Änderungen nachgegangen werden muß oder die Datenbank auf den letzten Stand gebracht werden muß. Das Update der Datenbank kann entweder interaktiv oder über den entsprechenden Reportbericht (zu findnen unter /var/lib/tripwire/report/) erfolgen:
$ sudo tripwire --check -I $ sudo tripwire --update --twrfile /var/lib/tripwire/report/radius2.mediaprint.co.at-20030731-093429.twr
Befehlssyntax
$ sudo tripwire --help all
Exit-Codes
Folgende Exit-Codes konnten bestimmt werden:
- added files: exit-code 1
- removed files: exit-code 2
- modified files: exit-code 4
Treten diese Fälle gleichzeitig auf, addieren sich die Exit-Codes:
- added and modified files: 1 + 4 = 5
- added and removed and modified files: 1 + 2 + 4 = 7
Der Exit-Code wird meist ausgegeben, wen Tripwire in einem Cronjob verwendet wird.
Schreibe eine Antwort