Beyond Linux® From Scratch (systemd Utgave) - Versjon -wip

Kapittel 4. Sikkerhet

Tripwire-2.4.3.7

Introduksjon til Tripwire

Tripwire pakken inneholder programmer som brukes til å verifisere integriteten til filene på et gitt system.

[Notat]

Notat

Utviklingsversjoner av BLFS kan ikke bygge eller kjøre noen pakker riktig hvis LFS eller avhengigheter har blitt oppdatert siden den siste stabile versjonene av bøkene.

Pakkeinformasjon

Tripwire Avhengigheter

Valgfri

MTA

Installasjon av

Kompilere Tripwire ved å kjøre følgende kommandoer: 

sed -e '/^CLOBBER/s/false/true/'         \
    -e 's|TWDB="${prefix}|TWDB="/var|'   \
    -e '/TWMAN/ s|${prefix}|/usr/share|' \
    -e '/TWDOCS/s|${prefix}/doc/tripwire|/usr/share/doc/tripwire-2.4.3.7|' \
    -i installer/install.cfg                               &&

find . -name Makefile.am | xargs                           \
    sed -i 's/^[[:alpha:]_]*_HEADERS.*=/noinst_HEADERS =/' &&

sed '/dist/d' -i man/man?/Makefile.am                      &&
autoreconf -fi                                             &&

./configure --prefix=/usr --sysconfdir=/etc/tripwire       &&
make CPPFLAGS=-std=c++11
[Notat]

Notat

Standardkonfigurasjonen er å bruke en lokal MTA. Hvis du ikke har en MTA installert og ikke ønsker å installere en, endre install/install.cfg å bruke en SMTP server i stedet. Ellers vil installasjonen mislykkes.

Denne pakken kommer ikke med en testpakke.

Nå, som root bruker: 

make install &&
cp -v policy/*.txt /usr/share/doc/tripwire-2.4.3.7
[Notat]

Notat

I løpet av make install, flere spørsmål blir spurt, inkludert passord. Hvis du vil lage et skript, må du anvende en sed før du kjører make install: 

sed -i -e 's@installer/install.sh@& -n -s <site-password> -l <local-password>@' Makefile

Selvfølgelig bør du gjøre dette med dummy passord og endre dem seinere.

Et annet problem ved skripting er at installasjonsprogrammet avsluttes når standard inngang ikke er en terminal. Du kan deaktivere denne oppførselen med følgende sed: 

sed '/-t 0/,+3d' -i installer/install.sh

Parameterforklaringer

sed ... installer/install.cfg: Denne kommandoen forteller pakken å installere programdatabasen og rapporter i /var/lib/tripwire og setter inn riktig plassering for mansider og dokumentasjon.

find ..., sed ..., og autoreconf -fi: Byggesystemet er ubrukelig som det er, og må endres for at byggingen skal lykkes.

CPPFLAGS=-std=c++11: Innstilling av C++ forprosessorens flagg til versjon 11 er nødvendig for å forhindre konflikt med standardversjon som er c++17 i nyere versjon av gcc.

make install: Denne kommandoen oppretter Tripwire sikkerhetsnøkler samt installerer binærfilene. Det er to nøkler: en stedsnøkkel og en lokal nøkkel som er lagret i /etc/tripwire/.

cp -v policy/*.txt /usr/doc/tripwire-2.4.3.7: Denne kommandoen installerer tripwire eksempel regelfiler med den andre tripwire dokumentasjonen.

Konfigurere Tripwire

Konfigurasjonsfiler

/etc/tripwire/*

Konfigurasjonsinformasjon

Tripwire bruker en regelfil til å finne ut hvilke filer som er integritetssjekket. Standard regelfil (/etc/tripwire/twpol.txt) er for en standardinstallasjon og må oppdateres for ditt system.

Regelfiler bør skreddersys til hver enkelt distribusjon og/eller installasjon. Noen eksempler på regelfiler kan finnes i /usr/share/doc/tripwire/.

Hvis ønskelig, kopier regelfilen du vil prøve til /etc/tripwire/ i stedet for å bruke standard regelfil, twpol.txt. Det er imidlertid anbefalt at du redigerer regelfilen. Få ideer fra eksempler ovenfor og les /usr/share/doc/tripwire/policyguide.txt for tilleggsinformasjon. twpol.txt er en god regelfil for å lære om Tripwire da den vil merke eventuelle endringer i filsystemet og til og med kan brukes som en irriterende måte å holde styr på endringer for avinstallering av programvare.

Etter at regelfilen din er redigert til din tilfredshet kan du starte konfigurasjonstrinnene (kjør som root) bruker: 

twadmin --create-polfile --site-keyfile /etc/tripwire/site.key \
    /etc/tripwire/twpol.txt &&
tripwire --init

Avhengig av systemet ditt og innholdet i regelfilen, vil initialiseringsfasen ovenfor kan ta relativt lang tid.

Bruksinformasjon

Tripwire vil identifisere filendringer i de kritiske systemfilene som er spesifisert i regelfilen. Bruk av Tripwire mens du gjør hyppige endringer i disse mappene vil flagge alle disse endringene. Det er mest nyttig etter at et system har nådd en konfigurasjon som brukeren vurderer stabil.

Å bruke Tripwire etter å ha opprettet en regelfil for å kjøre en rapport, bruk følgende kommando: 

tripwire --check > /etc/tripwire/report.txt

Se utdataene for å sjekke integriteten til filene dine. En automatisk integritetsrapport kan produseres ved å bruke en cron fasilitet for å planlegge kjøringene.

Rapporter lagres binært og om ønskelig kryptert. Se rapporter, som root bruker, med: 

twprint --print-report -r /var/lib/tripwire/report/<report-name.twr>

Etter at du har kjørt en integritetssjekk, bør du undersøke rapporten (eller e-posten) og endre deretter Tripwire database for å gjenspeile de endrede filene på systemet ditt. Dette er for at Tripwire vil ikke varsle deg kontinuerlig om filer du har endret med vilje er et sikkerhetsbrudd. Å gjøre dette må du først ls -l /var/lib/tripwire/report/ og legg merke til navnet på den nyeste filen som starter med systemnavnet ditt som presentert av kommandoen uname -n og ender med .twr. Disse filene ble opprettet under rapportoppretting og den nyeste er nødvendig for å oppdatere Tripwire databasen til systemet ditt. Som root bruker, skriv inn følgende kommando og bruk det riktige rapportnavnet: 

tripwire --update --twrfile /var/lib/tripwire/report/<report-name.twr>

Du vil bli plassert i Vim med en kopi av rapporten foran deg. Hvis alle endringene var gode, så bare skriv :wq og etter å ha tastet inn din lokale nøkkel, databasen vil bli oppdatert. Hvis det er filer du fortsatt vil bli advart om, fjern 'x' før filnavnet i rapporten og skriv :wq.

Endre regelfilen

Hvis du er misfornøyd med regelfilen din og ønsker å endre den eller bruke en ny, endre regelfilen og utfør deretter følgende kommandoer som root bruker: 

twadmin --create-polfile /etc/tripwire/twpol.txt &&
tripwire --init

Innhold

Installerte Programmer: siggen, tripwire, twadmin, og twprint
Installerte Biblioteker: Ingen
Installerte Mapper: /etc/tripwire, /var/lib/tripwire, og /usr/share/doc/tripwire-2.4.3.7

Korte Beskrivelser

siggen

er et signaturinnsamlingsverktøy som viser hash funksjonsverdiene for de angitte filene

tripwire

er hovedprogrammet for kontroll av filintegritet

twadmin

administrativt og verktøy som brukes til å utføre visse administrative funksjoner knyttet til Tripwire filer og konfigurasjons alternativer

twprint

printer Tripwire database- og rapportfiler i klartekstformat