Gedächtnisstützen IT

Konfiguration, Security, Unix/Linux

Tripwire

Installation

Debian:

$ sudo apt-get install tripwire

Konfiguration

Anpassung der Datei /etc/tripwire/twpol.txt:

$ sudo twadmin --create-polfile twpol.txt

Danach kann die Textdatei twpol.txt gelöscht werden und die Datenbank muß initialisiert werden. Dies sollte genau 1x passieren. Muß die Datenbank ein zweites Mal initialisiert werden, kann die Integrität der überprüften Verzeichnisse und Dateien nicht mehr garantiert sein:

$ sudo tripwire --init

Verwendung von Tripwire

Integritäts-Überprüfung

$ sudo tripwire --check

Damit wird überprüft, ob sich an der aktuellen Konfiguration gegenüber der gespeicherten in der Datenbank etwas geändert hat. Auf STDOUT wird ein Report ausgeben, der gleiche Report wird unter /var/lib/tripwire/report abgelegt und kann mit folgenden Befehl ausgegeben werden:

$ sudo twprint --print-report --twrfile radius2.mediaprint.co.at-20030730-141748.twr

Update der Datenbank

Wenn eine Integritäts-Überprüfung Veränderungen gegenüber den Daten in der Datenbank ergeben, muß überprüft werden, ob diese Änderungen an der Datei ein Integritätsproblem darstellen oder nicht. Sind die Änderungen erklärbar muß die Datenbank auf den neuen Stand gebracht werden, da sonst bei der nächsten Integritäts-Überprüfung diese Veränderungen wieder angezeigt werden:

$ sudo tripwire --update --twrfile /var/lib/tripwire/report/???.twr

Das Datenbank-Update kann auch gleich nach einer Integritäts-Überprüfung erfolgen:

$ sudo tripwire --check -I

Dabei wird jetzt gleich die aktuelle Report-Datei für das Update der Datenbank herangezogen.

Update der Policy-Datei

Aus der Policy-Datei muß man wieder die editierbare ASCII-Datei erzeugen:

$ sudo twadmin --print-polfile > /etc/tripwire/twpol.txt

Der Dateiname für die ASCII-Datei ist frei wählbar
Danach kann die Konfigurationsdatei editiert und wieder abgespeichert werden. Jetzt muß die neue Policy-Datei erzeugt werden:

$ sudo tripwire --update-policy /etc/tripwire/twpol.txt

Wenn die Integrität der Dateien nicht vorhanden ist, schlägt das Update der Datenbank, welches ebenfalls durchgeführt wird fehl. Zu diesem Zweck muß der Secure-Modus von »high« (default) auf »low« manipuliert werden:

$ sudo tripwire --update-policy --secure-mode low /etc/tripwire/twpol.txt

Verwendung von Tripwire in der Produktion

Über einen Cron-Job kann täglich die Integrität des Systems überprüft werden und eine email mit der entsprechenden Auswertung versandt werden. Gibt es Änderungen gegenüber der Datenbank, müssen diese überprüft und danach entschieden werden, ob den Änderungen nachgegangen werden muß oder die Datenbank auf den letzten Stand gebracht werden muß. Das Update der Datenbank kann entweder interaktiv oder über den entsprechenden Reportbericht (zu findnen unter /var/lib/tripwire/report/) erfolgen:

$ sudo tripwire --check -I
$ sudo tripwire --update --twrfile /var/lib/tripwire/report/radius2.mediaprint.co.at-20030731-093429.twr

Befehlssyntax

$ sudo tripwire --help all

Exit-Codes

Folgende Exit-Codes konnten bestimmt werden:

  • added files: exit-code 1
  • removed files: exit-code 2
  • modified files: exit-code 4

Treten diese Fälle gleichzeitig auf, addieren sich die Exit-Codes:

  • added and modified files: 1 + 4 = 5
  • added and removed and modified files: 1 + 2 + 4 = 7

Der Exit-Code wird meist ausgegeben, wen Tripwire in einem Cronjob verwendet wird.

Schreibe eine Antwort

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.