El paquete Tripwire contiene los programas usados para verificar la integridad de los ficheros en un sistema.
Descarga (HTTP): http://www.frenchfries.net/paul/tripwire/tripwire-portable-0.9.tar.gz
Suma MD5 del paquete: 02610d0593fe04d35d809ff6c5becc02
Tamaño del paquete: 869 KB
Estimación del espacio necesario en disco: 22 MB
Tiempo estimado de construcción: 2.96 SBU
MTA (Mira Capítulo 22, Servidores de Correo)
Compila Tripwire ejecutando los siguientes comandos:
sed -i -e 's@TWDB="${prefix}@TWDB="/var@' install/install.cfg &&
./configure --prefix=/usr --sysconfdir=/etc/tripwire &&
make
Ahora, como usuario root:
make install &&
cp policy/*.txt /usr/share/doc/tripwire
La configuración por defecto es usar un MTA local. Si no tienes instalado un MTA local y no desas instalarlo, modifica install.cfg para usar un servidor SMTP en su lugar.
sed -i -e 's@TWDB="${prefix}@TWDB="/var@' install/install.cfg: Este comando le indica al paquete que instale la base de datos e informes del programa en /var/lib/tripwire.
make install: Este comando crea las llaves de seguridad de Tripwire al tiempo que instala los binarios. Hay dos llaves: una llave del sitio y una llave local, que son guardadas en /etc/tripwire/.
cp policy/*.txt /usr/share/doc/tripwire : Este comando instala la documentación.
Tripwire usa un fichero de políticas para determinar a qué ficheros se les chequeará su integridad. El fichero de políticas por defecto (/etc/tripwire/twpol.txt) es para una instalación basada en Redhat y debería ser actualizado para tu sistema.
Los ficheros de políticas son personales y deberían ser adaptados a cada distribución y/o instalación en particular. Encontrarás algunos de estos ficheros personalizados aquí abajo:
http://home.iprimus.com.au/glombowski/blfs/twpol-all.txt Comprueba la integridad de todos los ficheros http://home.iprimus.com.au/glombowski/blfs/twpol-lfs.txt Fichero de políticas adaptado para un sistema base LFS 3.0 http://home.iprimus.com.au/glombowski/blfs/twpol-suse7.2.txt Fichero de políticas adaptado para un sistema SuSE 7.2
Descarga el fichero de políticas que quieras probar, cópialo a /etc/tripwire/, y úsalo en lugar de twpol.txt. Sin embargo, recomendamos que crees tu propio fichero de políticas personalizado basándote en las ideas que aportan los ficheros anteriores y leyendo /usr/share/doc/tripwire/policyguide.txt. twpol.txt es un buen fichero de políticas para principiantes, ya que advertirá sobre cualquier cambio en el sistema de ficheros y puede incluso servir como una forma molesta de rastrear los cambios producidos al desinstalar software.
Después de copiar tu fichero de políticas a /etc/tripwire/ puedes comenzar con la configuración:
twadmin --create-polfile --site-keyfile /etc/tripwire/site.key \
/etc/tripwire/twpol.txt &&
tripwire --init
Para usar Tripwire tras crear un fichero de políticas y generar un informe, utiliza el siguiente comando:
tripwire --check > /etc/tripwire/report.txt
Mira la salida para verificar la integridad de tus ficheros. Puedes generar un informe automático a través de una utilidad cron para planificar las ejecuciones.
Ten en cuenta que después de ejecutar un chequeo de integridad debes verificar el informe o correo electrónico y seguidamente modificar la base de datos de Tripwire de los ficheros de tu sistema para que Tripwire no te avise contínuamente que los ficheros que modificaste intencionadamente son una violación de la seguridad. Para lograrlo, primero ejecuta ls -l /var/lib/tripwire/report/ y anota el nombre del fichero más nuevo que comience con linux- y termina con .twr. Este fichero encriptado se creó durante el último informe y es necesario para actualizar la base de datos de Tripwire para tu sistema. Luego ejecuta lo siguiente, reemplazando adecuadamente los [?]:
tripwire --update -twrfile \
/var/lib/tripwire/report/linux-[???????]-[??????].twr
Entrarás en vim con una copia del informe frente a tí. Si los cambios son correctos, sólo teclea :x y, después de ingresar tu clave local, la base de datos será actualizada. Si hay ficheros sobre los que quieres que se te advierta, solo elimina la 'x' delante del nombre del fichero en el informe y ejecuta :x.
Una utilidad de reunión de firmas que muestra los valores de la función hash de los ficheros especificados.
El programa principal de comprobación de integridad de ficheros.
Herramienta administrativa utilizada para realizar ciertas funciones administrativas relacionadas con los ficheros y las opciones de configuración de Tripwire.
Muestra la base de datos de Tripwire y los ficheros de informe en formato de texto claro.
Last updated on 2005-04-09 16:21:16 +0200