Durchführung einer Konfiguration und mehrerer Prüfungen
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
- Rechnernamen ermitteln:
echo $HOSTNAME # -> linux
hostname # -> linux
- Lokalen Key erzeugen (1. Passphrase eingeben und merken!) und anzeigen (Binärformat):
twadmin --generate−keys −L /etc/tripwire/linux−local.key
ls −l /etc/tripwire/linux−local.key
- Site Key erzeugen (2. Passphrase eingeben und merken!) und anzeigen (Binärformat):
twadmin −−generate−keys −S /etc/tripwire/site.key
ls −l /etc/tripwire/site.key
- Konfigurations−Datei anpassen (normalerweise NICHT notwendig!)
vi /etc/tripwire/tw.cfg
- Konfigurations−Datei in binäre signierte Form umwandeln (die vorher
verwendete Passphrase des Site Keys eingeben!) und anzeigen (signiertes
Binärformat):
twadmin −−create−cfgfile −S /etc/tripwire/site.key /etc/tripwire/twcfg.txt
ls −l /etc/tripwire/tw.cfg
- Richtliniendatei erstellen (vorher aus der mitgelieferten Musterdatei
kopieren):
cp /usr/share/doc/packages/tripwire/twpol.txt /etc/tripwire/twpol.txt
vi /etc/tripwire/twpol.txt
Einfaches Beispiel für „twpol.txt“ (eigenes Heimatverzeichnis sichern):
/home/tom −> $(IgnoreNone); # Strichpunkt NICHT vergessen!:
(rulename = FirstRule, severity = 0) {
/home/tom/cat −> $(IgnoreNone); # Strichpunkt NICHT vergessen!:
}
- Richtlinien−Datei in binäre signierte Form umwandeln (die vorher verwendete
Passphrase des Site Key eingeben!) und anzeigen (signiertes Binärformat):
twadmin −−create−polfile −S /etc/tripwire/site.key /etc/tripwire/twpol.txt
ls −l /etc/tripwire/twpol.pol
- Gemäß Richtlinien−Datei aus dem Dateisystem eine binäre, signierte
Tripwire−Datenbank mit den ausgewählten Eigenschaften der ausgewählten
Verzeichnisse und Dateien generieren (die vorher verwendete Passphrase des
Local Key eingeben) und anzeigen:
tripwire −−init
ls −l /var/lib/tripwire/linux.twd
- Aktuellen Systemzustand gegen Tripwire−Datenbank prüfen (gibt ASCII−Report
auf Bildschirm aus, erzeugt binären Report in „/var/lib/tripwire/report“):
tripwire −−check
ls −l /var/lib/tripwire/report
# −> linux−20050218−103957.twr
Erzeugte binäre Reportdatei nochmal in ausführlicher ASCII−Form ausgeben:
twprint --print-report -r /var/lib/tripwire/report/linux−20050218−103957.twr
Einschränkungen der zu prüfenden Regeln anhand Regelname oder Severity:
tripwire --check --rule−name "FirstRule"
tripwire --check --severity "100"
- Mehrere Änderungen am Heimatverzeichnis vornehmen:
cd /home/tom
mkdir VERZ
touch VERZ/DATEI
touch .profile
echo "echo HiHi..." >> .bashrc
- Aktuellen Systemzustand nochmal gegen Tripwire−Datenbank prüfen (gibt
ASCII−Report auf dem Bildschirm aus und erzeugt binären Report in
„/var/lib/tripwire/report“):
tripwire --check
ls −l /var/lib/tripwire/report
# −> linux−20050218−143957.twr
Erzeugte binäre Reportdatei nochmal in ausführlicher ASCII−Form ausgeben:
twprint --print-report -r /var/lib/tripwire/report/linux−20050218−143957.twr
- Anhand eines erzeugten Berichts (ist als Parameter anzugeben) die
Tripwire−Datenbank updaten. Dazu wird der Bericht mit „[x]“ vor jeder
Änderung im Editor „vim“ angezeigt (Pfad zum Editor vorher in Variable
„VISUAL“ bekannt geben). Durch Löschen des „x“ wird eine Änderung für
die Datenbank akzeptiert („[X/x]“ => „[]/[ ]“
export VISUAL=/bin/vim
env=LANG=C ; tripwire --update -r /var/lib/tripwire/report/linux−20050203−143957.twr
- Aktuellen Systemzustand nochmal gegen Tripwire−Datenbank prüfen (gibt
ASCII−Report auf dem Bildschirm aus und erzeugt binären Report in
„/var/lib/tripwire/report“):
tripwire --check
ls −l /var/lib/tripwire/report
# −> linux−20050218−143957.twr
Die akzeptierten Änderungen sollten nun nicht mehr berichtet werden.
- Tägliche Läufe des Tripwire−Reporting als „cronjob“ einrichten und den
Bericht per Mail an USER@HOST versenden:
crontab −e
# MIN STD TAG MON WOTAG KMDO
# 22 2 * * * /usr/sbin/tripwire −−check | mail −s "Tripwire" USER@HOST
- Modifikationen der Richtlinien müssen in der ASCII−Richtliniendatei
vorgenommen werden. Dann ist die Tripwire−Datenbank anzupassen und die
binäre Richtlinien−Datei neu zu erzeugen („low/high“)
vi /etc/tripwire/twpol.txt
tripwire −−update−policy −−secure−mode low /etc/tripwire/twpol.txt
Dabei werden Verletzungen der Richtlinien berichtet (beim Standard "−−secure−mode low" wird dies nicht gemacht!).
AM SCHLUSS wird automatisch die Binärform der Richtlinien−Datei erzeugt!