Localización de descarga (HTTP): http://telia.dl.sourceforge.net/sourceforge/tripwire/tripwire-2.3.1-2.tar.gz Localización de descarga (FTP): Versión usada: 2.3.1-2 Tamaño del paquete: 1.5 MB Estimación del espacio necesario en disco: 63 MB |
El paquete tripwire contiene los programas de tripwire que se usan para verificar la integridad de los ficheros en un sistema.
tripwire depende de: gcc-2.95.3 |
Descarga el parche para la configuración de tripwire desde http://downloads.linuxfromscratch.org/blfs-patches.
Instala tripwire ejecutando los siguientes comandos:
export PATH_HOLD=$PATH &&
export PATH=/opt/gcc2/bin:$PATH &&
ln -s make /usr/bin/gmake &&
cd src &&
gmake release &&
cd .. &&
cp install/install.{sh,cfg} . &&
patch -Np0 -i ../tripwire-cfg.patch &&
./install.sh &&
cp /etc/tripwire/tw.cfg /usr/sbin &&
cp policy/*.txt /usr/share/doc/tripwire |
Deshaz las modificaciones anteriores:
rm /usr/bin/gmake && export PATH=$PATH_HOLD |
ln -s make /usr/bin/gmake : La razón por la que creamos el enlace gmake es que tripwire sólo se instalará si dicho enlace existe. Puedes borrarlo al terminar la instalación.
gmake release : Este comando crea los binarios de tripwire.
cp install.{sh,cfg} . : Estos ficheros se copian al directorio principal de tripwire para poder usar el guión para instalar el paquete.
cp policy/*.txt /usr/share/doc/tripwire : Este comando instala la documentación.
Tripwire usa un fichero de políticas para determinar a qué ficheros se les chequeará su integridad. El fichero de políticas por defecto (twpol.txt en /etc/tripwire/) es para una instalación por defecto de Redhat 7.0 y está muy desactualizado.
Los ficheros de políticas son personales y deberían ser adaptados a cada distribución y/o instalación en particular. Encontrarás algunos de estos ficheros personalizados aquí abajo:
http://home.iprimus.com.au/glombowski/blfs/twpol-all.txt Comprueba la integridad de todos los ficheros http://home.iprimus.com.au/glombowski/blfs/twpol-lfs.txt Fichero de políticas adaptado para un sistema LFS 3.0 base http://home.iprimus.com.au/glombowski/blfs/twpol-suse7.2.txt Fichero de políticas adaptado para un sistema SuSE 7.2 |
Descarga el fichero de políticas que quieras probar, cópialo a /etc/tripwire/, y úsalo en lugar de twpol.txt. Sin embargo, recomendamos que crees tu propio fichero de políticas personalizado basándote en las ideas que aportan los ficheros anteriores y leyendo /usr/share/doc/tripwire/policyguide.txt. twpol.txt es un buen fichero de políticas para principiantes, ya que advertirá sobre cualquier cambio en el sistema de ficheros y puede incluso servir como una forma molesta de rastrear los cambios producidos al desinstalar software.
Después de copiar tu fichero de políticas a /etc/tripwire/ puedes comenzar con la configuración:
twadmin -m P /etc/tripwire/twpol.txt && tripwire -m i |
Durante la configuración tripwire creará 2 claves: una para el sitio y una local, que serán almacenadas en /etc/tripwire/.
Para usar tripwire depués de esto, genera un informe con el siguiente comando:
tripwire -m c > /etc/tripwire/report.txt |
Mira la salida para verificar la integridad de tus ficheros. Puedes generar un informe automático a través de fcron.
Ten en cuenta que después de ejecutar un chequeo de integridad debes verificar el informe o correo electrónico y seguidamente modificar la base de datos de los ficheros de tu sistema para que tripwire no te avise contínuamente que los ficheros que modificaste intencionadamente son una violación de la seguridad. Para lograrlo, primero ejecuta ls /var/lib/tripwire/report/ y anota el nombre del fichero más nuevo que comience con linux- y termina con .twr. Este fichero encriptado se creó durante el último informe y es necesario para actualizar la base de datos de tripwire para tu sistema. Luego ejecuta lo siguiente, reemplazando adecuadamente los '?':
tripwire -m u -r /var/lib/tripwire/report/linux-???????-??????.twr |
Entrarás en vim con una copia del informe frente a tí. Si los cambios son correctos, sólo tipea :x y, después de ingresar tu clave local, la base de datos será actualizada. Si hay ficheros sobre los que quieres que se te advierta, solo elimina la 'x' delante del nombre del fichero en el informe y ejecuta :x.