rigacci.org

User Tools

Site Tools

Trace:
doc:appunti:linux:sa:tripwire

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Next revision		Previous revision
doc:appunti:linux:sa:tripwire [2011/02/21 11:16] – created niccolodoc:appunti:linux:sa:tripwire [2023/04/14 10:00] (current) – [Tripwire] niccolo
Line 1: Line 1:
 ====== Tripwire ====== ====== Tripwire ======
  
-FIXME Questi appunti sono stati presi nel 2003, con **tripwire versione 2.3.1.2**. Verificare che siano ancora validi!+**NOTA:** Questi appunti sono stati presi nel 2003, con **tripwire versione 2.3.1.2**. Sono ancora validi con Debian Squeeze (tripwire 2.4.2).
  
-Durante l'installazione viene chiesta la password per proteggere i file //site wide// e quella per i file //local-system wide//. Inserita la stessa password  +Durante l'installazione viene chiesta la //site key// e la //local key// per proteggere i file rispettivamente validi per tutto il sito e per l'installazione locale. Le chiavi vengono salvati in opportuni file: **/etc/tripwire/site.key** e **%%/etc/tripwire/<hostname>-local.key%%**. Se necessario è possibile rigenerare questi file eseguendo ''dpkg-reconfigure tripwire''.
  
-Modificato il file di configurazione di tripwire **''/etc/tripwire/twcfg.txt''**. Si imposta:+Modificato il file di configurazione di tripwire **''/etc/tripwire/twcfg.txt''**. Rispetto all'impostazione predefinita Debian si imposta:
  
 <file> <file>
Line 11: Line 11:
 GLOBALEMAIL=root@localhost                  GLOBALEMAIL=root@localhost                 
 </file> </file>
-                       + 
-Non si vuole report se tutto e' OK, altrimenti una mail va a root (eventualmente ridiretto con un alias). Si cambia i permessi al file da 644 a 600 e si ricompila il file in tw.cfg (criptato e protetto):+Non si vuole report se tutto e' OK, altrimenti una mail va a root (eventualmente ridiretto con un alias). Si cambia i permessi al file da 644 a 600 e si ricompila il file in **''tw.cfg''** (criptato e protetto con la //site key//):
  
 <code> <code>
Line 18: Line 18:
 </code> </code>
                                                                                                                                                                                                                                                                                          
-Modificato il file della policy (cosa controllare e come) **''/etc/tripwire/twpol.txt''**. Si cambia i permessi al file in 600 invece di 644. Ricompilato (criptato e protetto in tw.pol) con:+Modificato il file della policy (cosa controllare e come) **''/etc/tripwire/twpol.txt''**. Si cambia i permessi al file in 600 invece di 644. Ricompilato il file in **''tw.pol''** (criptato e protetto con la //site key//) con:
  
 <code> <code>
-twadmin --create-polfile --site-keyfile site.key  twpol.txt+twadmin --create-polfile --site-keyfile site.key twpol.txt
 </code> </code>
                                              
-Creare il database con i checksum:+Per creare il database con i checksum (viene chiesta la //local key//):
  
 <code> <code>
Line 31: Line 31:
  
 Il cronjob **''/etc/cron.daily/tripwire''** è stato modificato in modo che non generi output su tty e cancelli i report tripwire troppo vecchi. Il cronjob **''/etc/cron.daily/tripwire''** è stato modificato in modo che non generi output su tty e cancelli i report tripwire troppo vecchi.
 +
 +===== Altri sistemi di monitoraggio =====
 +
 +**tripwire** pare che non sia più attivamente mantenuto e sviluppato. Delle alternative sono **[[http://qa.debian.org/popcon.php?package=samhain|samhain]]** e **[[http://qa.debian.org/popcon.php?package=osiris|osiris]]**, che tuttavia non hanno ancora raggiunto la popolarità di **[[http://qa.debian.org/popcon.php?package=tripwire|tripwire]]**.
 +
 +===== Modifiche alla policy predefinita =====
 +
 +Debian utilizza un filesystem rw dedicato agli script di ''init'' montandolo sotto **''/lib/init/rw''**. Per evitare che venga generato un warning **si toglie** la seguente riga:
 +
 +<file>
 +/lib/init/rw            -> $(SEC_INVARIANT) (recurse = 0) ;
 +</file>
 +
 +Questa impostazione **va tolta** altrimenti genera un warning per ogni file di log routato:
 +
 +<file>
 +/var/log                -> $(SEC_CONFIG) ;
 +</file>
 +
 +Alcuni file sono stati **tolti** perché non esistono
 +
 +<file>
 +/etc/rc.boot
 +/root/mail
 +/root/Mail
 +/root/.[xX]*
 +/root/.tcshrc
 +/root/.pinerc
 +/root/.gnome*
 +</file>
 +
 +In generale si sono tolti tutti i file in /root/ che non esistono. Per contro alcuni file che non esistevano sono stati creati (vuoti), ad esempio ''/root/.bash_profile''.
 +
 +Altri invece sono stati **aggiunti** (nelle opportune sezioni):
 +
 +<file>
 +/etc/rc.local           -> $(SEC_BIN) ;
 +/home/niccolo/Maildir   -> $(SEC_INVARIANT) (recurse = 0) ;
 +/dev/.udev              -> $(Device) (recurse = 0) ;
 +/dev/pts                -> $(Device) (recurse = 0) ;
 +/dev/shm                -> $(Device) ;
 +/proc                   -> $(SEC_INVARIANT) (recurse = 0) ;
 +</file>
 +
 +===== Installazioni non Debian =====
 +
 +In distribuzioni di bassa qualità (tipo CentOS) all'installazione del pacchetto non vengono generate le chiavi, ecco un breve prontuario sul da farsi:
 +
 +<code>
 +twadmin -m G -S /etc/tripwire/site.key
 +twadmin -m G -L /etc/tripwire/local.key
 +chmod 400 /etc/tripwire/site.key
 +chmod 400 /etc/tripwire/local.key
 +</code>
  
doc/appunti/linux/sa/tripwire.1298283374.txt.gz · Last modified: 2011/02/21 11:16 by niccolo