doc:appunti:linux:sa:tripwire
Differences
This shows you the differences between two versions of the page.
Next revision | Previous revision | ||
doc:appunti:linux:sa:tripwire [2011/02/21 11:16] – created niccolo | doc:appunti:linux:sa:tripwire [2023/04/14 10:00] (current) – [Tripwire] niccolo | ||
---|---|---|---|
Line 1: | Line 1: | ||
====== Tripwire ====== | ====== Tripwire ====== | ||
- | FIXME Questi appunti sono stati presi nel 2003, con **tripwire versione 2.3.1.2**. | + | **NOTA: |
- | Durante l' | + | Durante l' |
- | Modificato il file di configurazione di tripwire **''/ | + | Modificato il file di configurazione di tripwire **''/ |
< | < | ||
Line 11: | Line 11: | ||
GLOBALEMAIL=root@localhost | GLOBALEMAIL=root@localhost | ||
</ | </ | ||
- | | + | |
- | Non si vuole report se tutto e' OK, altrimenti una mail va a root (eventualmente ridiretto con un alias). Si cambia i permessi al file da 644 a 600 e si ricompila il file in tw.cfg (criptato e protetto): | + | Non si vuole report se tutto e' OK, altrimenti una mail va a root (eventualmente ridiretto con un alias). Si cambia i permessi al file da 644 a 600 e si ricompila il file in **'' |
< | < | ||
Line 18: | Line 18: | ||
</ | </ | ||
| | ||
- | Modificato il file della policy (cosa controllare e come) **''/ | + | Modificato il file della policy (cosa controllare e come) **''/ |
< | < | ||
- | twadmin --create-polfile --site-keyfile site.key | + | twadmin --create-polfile --site-keyfile site.key twpol.txt |
</ | </ | ||
| | ||
- | Creare | + | Per creare |
< | < | ||
Line 31: | Line 31: | ||
Il cronjob **''/ | Il cronjob **''/ | ||
+ | |||
+ | ===== Altri sistemi di monitoraggio ===== | ||
+ | |||
+ | **tripwire** pare che non sia più attivamente mantenuto e sviluppato. Delle alternative sono **[[http:// | ||
+ | |||
+ | ===== Modifiche alla policy predefinita ===== | ||
+ | |||
+ | Debian utilizza un filesystem rw dedicato agli script di '' | ||
+ | |||
+ | < | ||
+ | / | ||
+ | </ | ||
+ | |||
+ | Questa impostazione **va tolta** altrimenti genera un warning per ogni file di log routato: | ||
+ | |||
+ | < | ||
+ | / | ||
+ | </ | ||
+ | |||
+ | Alcuni file sono stati **tolti** perché non esistono | ||
+ | |||
+ | < | ||
+ | / | ||
+ | /root/mail | ||
+ | /root/Mail | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | </ | ||
+ | |||
+ | In generale si sono tolti tutti i file in /root/ che non esistono. Per contro alcuni file che non esistevano sono stati creati (vuoti), ad esempio ''/ | ||
+ | |||
+ | Altri invece sono stati **aggiunti** (nelle opportune sezioni): | ||
+ | |||
+ | < | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | /proc -> $(SEC_INVARIANT) (recurse = 0) ; | ||
+ | </ | ||
+ | |||
+ | ===== Installazioni non Debian ===== | ||
+ | |||
+ | In distribuzioni di bassa qualità (tipo CentOS) all' | ||
+ | |||
+ | < | ||
+ | twadmin -m G -S / | ||
+ | twadmin -m G -L / | ||
+ | chmod 400 / | ||
+ | chmod 400 / | ||
+ | </ | ||
doc/appunti/linux/sa/tripwire.1298283374.txt.gz · Last modified: 2011/02/21 11:16 by niccolo