rigacci.org

User Tools

Site Tools

Trace:
doc:appunti:linux:sa:tripwire

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
Next revisionBoth sides next revision
doc:appunti:linux:sa:tripwire [2011/08/10 16:02] niccolodoc:appunti:linux:sa:tripwire [2011/08/11 12:39] – [Modifiche alla policy predefinita] niccolo
Line 1: Line 1:
 ====== Tripwire ====== ====== Tripwire ======
  
-FIXME Questi appunti sono stati presi nel 2003, con **tripwire versione 2.3.1.2**. Verificare che siano ancora validi!+**NOTA:** Questi appunti sono stati presi nel 2003, con **tripwire versione 2.3.1.2**. Sono ancora validi con Debian Squeeze (tripwire 2.4.2).
  
 Durante l'installazione viene chiesta la //site key// e la //local key// per proteggere i file rispettivamente validi per tutto il sito e per l'installazione locale. Durante l'installazione viene chiesta la //site key// e la //local key// per proteggere i file rispettivamente validi per tutto il sito e per l'installazione locale.
Line 32: Line 32:
 Il cronjob **''/etc/cron.daily/tripwire''** è stato modificato in modo che non generi output su tty e cancelli i report tripwire troppo vecchi. Il cronjob **''/etc/cron.daily/tripwire''** è stato modificato in modo che non generi output su tty e cancelli i report tripwire troppo vecchi.
  
 +===== Altri sistemi di monitoraggio =====
 +
 +**tripwire** pare che non sia più attivamente mantenuto e sviluppato. Delle alternative sono **[[http://qa.debian.org/popcon.php?package=samhain|samhain]]** e **[[http://qa.debian.org/popcon.php?package=osiris|osiris]]**, che tuttavia non hanno ancora raggiunto la popolarità di **[[http://qa.debian.org/popcon.php?package=tripwire|tripwire]]**.
 +
 +===== Modifiche alla policy predefinita =====
 +
 +Debian utilizza un filesystem rw dedicato agli script di ''init'' montandolo sotto **''/lib/init/rw''**. Per evitare che venga generato un warning **si toglie** la seguente riga:
 +
 +<file>
 +/lib/init/rw            -> $(SEC_INVARIANT) (recurse = 0) ;
 +</file>
 +
 +Questa impostazione **va tolta** altrimenti genera un warning per ogni file di log routato:
 +
 +<file>
 +/var/log                -> $(SEC_CONFIG) ;
 +</file>
 +
 +Alcuni file sono stati **tolti** perché non esistono
 +
 +<file>
 +/etc/rc.boot
 +/root/mail
 +/root/Mail
 +/root/.[xX]*
 +/root/.tcshrc
 +/root/.pinerc
 +/root/.gnome*
 +</file>
 +
 +In generale si sono tolti tutti i file in /root/ che non esistono. Per contro alcuni file che non esistevano sono stati creati (vuoti), ad esempio ''/root/.bash_profile''.
 +
 +Altri invece sono stati **aggiunti** (nelle opportune sezioni):
 +
 +<file>
 +/etc/rc.local           -> $(SEC_BIN) ;
 +/home/niccolo/Maildir   -> $(SEC_INVARIANT) (recurse = 0) ;
 +/dev/.udev              -> $(Device) (recurse = 0) ;
 +/dev/pts                -> $(Device) (recurse = 0) ;
 +/dev/shm                -> $(Device) ;
 +/proc                   -> $(SEC_INVARIANT) (recurse = 0) ;
 +</file>
doc/appunti/linux/sa/tripwire.txt · Last modified: 2023/04/14 10:00 by niccolo