Differences

This shows you the differences between two versions of the page.

--- doc:appunti:linux:sa:tripwire [2011/08/10 16:02] – niccolo
+++ doc:appunti:linux:sa:tripwire [2023/04/14 10:00] (current) – [Tripwire] niccolo
@@ Line 1: / Line 1: @@
 ====== Tripwire ======
-FIXME Questi appunti sono stati presi nel 2003, con **tripwire versione 2.3.1.2**. Verificare che siano ancora validi!
+**NOTA:** Questi appunti sono stati presi nel 2003, con **tripwire versione 2.3.1.2**. Sono ancora validi con Debian Squeeze (tripwire 2.4.2).
-Durante l'installazione viene chiesta la //site key// e la //local key// per proteggere i file rispettivamente validi per tutto il sito e per l'installazione locale.
+Durante l'installazione viene chiesta la //site key// e la //local key// per proteggere i file rispettivamente validi per tutto il sito e per l'installazione locale. Le chiavi vengono salvati in opportuni file: **/etc/tripwire/site.key** e **%%/etc/tripwire/<hostname>-local.key%%**. Se necessario è possibile rigenerare questi file eseguendo ''dpkg-reconfigure tripwire''.
 Modificato il file di configurazione di tripwire **''/etc/tripwire/twcfg.txt''**. Rispetto all'impostazione predefinita Debian si imposta:
@@ Line 31: / Line 31: @@
 Il cronjob **''/etc/cron.daily/tripwire''** è stato modificato in modo che non generi output su tty e cancelli i report tripwire troppo vecchi.
+===== Altri sistemi di monitoraggio =====
+**tripwire** pare che non sia più attivamente mantenuto e sviluppato. Delle alternative sono **[[http://qa.debian.org/popcon.php?package=samhain|samhain]]** e **[[http://qa.debian.org/popcon.php?package=osiris|osiris]]**, che tuttavia non hanno ancora raggiunto la popolarità di **[[http://qa.debian.org/popcon.php?package=tripwire|tripwire]]**.
+===== Modifiche alla policy predefinita =====
+Debian utilizza un filesystem rw dedicato agli script di ''init'' montandolo sotto **''/lib/init/rw''**. Per evitare che venga generato un warning **si toglie** la seguente riga:
+<file>
+/lib/init/rw            -> $(SEC_INVARIANT) (recurse = 0) ;
+</file>
+Questa impostazione **va tolta** altrimenti genera un warning per ogni file di log routato:
+<file>
+/var/log                -> $(SEC_CONFIG) ;
+</file>
+Alcuni file sono stati **tolti** perché non esistono
+<file>
+/etc/rc.boot
+/root/mail
+/root/Mail
+/root/.[xX]*
+/root/.tcshrc
+/root/.pinerc
+/root/.gnome*
+</file>
+In generale si sono tolti tutti i file in /root/ che non esistono. Per contro alcuni file che non esistevano sono stati creati (vuoti), ad esempio ''/root/.bash_profile''.
+Altri invece sono stati **aggiunti** (nelle opportune sezioni):
+<file>
+/etc/rc.local           -> $(SEC_BIN) ;
+/home/niccolo/Maildir   -> $(SEC_INVARIANT) (recurse = 0) ;
+/dev/.udev              -> $(Device) (recurse = 0) ;
+/dev/pts                -> $(Device) (recurse = 0) ;
+/dev/shm                -> $(Device) ;
+/proc                   -> $(SEC_INVARIANT) (recurse = 0) ;
+</file>
+===== Installazioni non Debian =====
+In distribuzioni di bassa qualità (tipo CentOS) all'installazione del pacchetto non vengono generate le chiavi, ecco un breve prontuario sul da farsi:
+<code>
+twadmin -m G -S /etc/tripwire/site.key
+twadmin -m G -L /etc/tripwire/local.key
+chmod 400 /etc/tripwire/site.key
+chmod 400 /etc/tripwire/local.key
+</code>