rigacci.org

User Tools

Site Tools

Trace:
doc:appunti:linux:sa:tripwire

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
Last revisionBoth sides next revision
doc:appunti:linux:sa:tripwire [2011/08/10 16:02] niccolodoc:appunti:linux:sa:tripwire [2014/04/20 08:57] – [Modifiche alla policy predefinita] niccolo
Line 1: Line 1:
 ====== Tripwire ====== ====== Tripwire ======
  
-FIXME Questi appunti sono stati presi nel 2003, con **tripwire versione 2.3.1.2**. Verificare che siano ancora validi!+**NOTA:** Questi appunti sono stati presi nel 2003, con **tripwire versione 2.3.1.2**. Sono ancora validi con Debian Squeeze (tripwire 2.4.2).
  
 Durante l'installazione viene chiesta la //site key// e la //local key// per proteggere i file rispettivamente validi per tutto il sito e per l'installazione locale. Durante l'installazione viene chiesta la //site key// e la //local key// per proteggere i file rispettivamente validi per tutto il sito e per l'installazione locale.
Line 31: Line 31:
  
 Il cronjob **''/etc/cron.daily/tripwire''** è stato modificato in modo che non generi output su tty e cancelli i report tripwire troppo vecchi. Il cronjob **''/etc/cron.daily/tripwire''** è stato modificato in modo che non generi output su tty e cancelli i report tripwire troppo vecchi.
 +
 +===== Altri sistemi di monitoraggio =====
 +
 +**tripwire** pare che non sia più attivamente mantenuto e sviluppato. Delle alternative sono **[[http://qa.debian.org/popcon.php?package=samhain|samhain]]** e **[[http://qa.debian.org/popcon.php?package=osiris|osiris]]**, che tuttavia non hanno ancora raggiunto la popolarità di **[[http://qa.debian.org/popcon.php?package=tripwire|tripwire]]**.
 +
 +===== Modifiche alla policy predefinita =====
 +
 +Debian utilizza un filesystem rw dedicato agli script di ''init'' montandolo sotto **''/lib/init/rw''**. Per evitare che venga generato un warning **si toglie** la seguente riga:
 +
 +<file>
 +/lib/init/rw            -> $(SEC_INVARIANT) (recurse = 0) ;
 +</file>
 +
 +Questa impostazione **va tolta** altrimenti genera un warning per ogni file di log routato:
 +
 +<file>
 +/var/log                -> $(SEC_CONFIG) ;
 +</file>
 +
 +Alcuni file sono stati **tolti** perché non esistono
 +
 +<file>
 +/etc/rc.boot
 +/root/mail
 +/root/Mail
 +/root/.[xX]*
 +/root/.tcshrc
 +/root/.pinerc
 +/root/.gnome*
 +</file>
 +
 +In generale si sono tolti tutti i file in /root/ che non esistono. Per contro alcuni file che non esistevano sono stati creati (vuoti), ad esempio ''/root/.bash_profile''.
 +
 +Altri invece sono stati **aggiunti** (nelle opportune sezioni):
 +
 +<file>
 +/etc/rc.local           -> $(SEC_BIN) ;
 +/home/niccolo/Maildir   -> $(SEC_INVARIANT) (recurse = 0) ;
 +/dev/.udev              -> $(Device) (recurse = 0) ;
 +/dev/pts                -> $(Device) (recurse = 0) ;
 +/dev/shm                -> $(Device) ;
 +/proc                   -> $(SEC_INVARIANT) (recurse = 0) ;
 +</file>
 +
 +===== Installazioni non Debian =====
 +
 +In distribuzioni di bassa qualità (tipo CentOS) all'installazione del pacchetto non vengono generate le chiavi, ecco un breve prontuario sul da farsi:
 +
 +<code>
 +twadmin -m G -S /etc/tripwire/site.key
 +twadmin -m G -L /etc/tripwire/local.key
 +chmod 400 /etc/tripwire/site.key
 +chmod 400 /etc/tripwire/local.key
 +</code>
  
doc/appunti/linux/sa/tripwire.txt · Last modified: 2023/04/14 10:00 by niccolo