RSS

Tripwire – sprawdzanie integralności systemu

15 Sier

Idealną byłaby sytuacja gdyby administrator po zainstalowaniu systemu, skonfigurowaniu usług, założeniu kont i wprowadzeniu polityki bezpieczeństwa wykonał sobie na boku pełną kopie systemu lub obraz dysku. W razie włamanie lub awarii odzyskanie systemu stałoby się szybsze i łatwiejsze, jednak z własnego doświadczenia wiem że rzadko się to robi, bo po prostu się nie chce ;] Tripwire nie uchroni nas przed skutkami awarii systemu czy uszkodzenia dysków ale może być pomocne w wykryciu włamań. Sam Tripwiare nie wykrywa włamań ani w żadnym stopniu nie chroni nas przed nimi, jednym jego zadaniem jest sprawdzanie integralności plików systemowych i ich monitorowanie. Dopiero logi z tego programu mogą nam wiele pomóc, np gdy włamywacz zostawi jakąś tylną furtkę w naszym systemie lub podmieni pliki typu netstat ls ps itp. Tripwire jest narzędziem raczej dla serwerów niż maszyn typowo domowych.

Instalacja :
sudo -i
apt-get install tripwire

Podczas instalacji zostanie wygenerowana para kluczy i zostaniemy spytani czy chcemy użyć domyślnego pliku konfiguracyjnego oraz pliku z regułami.

Free Image Hosting at www.ImageShack.us
Free Image Hosting at www.ImageShack.us

Konfiguracja :
w katalogu etc/tripwire znajduje się kilka plików :
lazowski.us-local.key site.key tw.cfg twcfg.txt tw.pol twpol.txt

plik TWPOL.TXT zawiera reguły według których będzie skanowany nasz system

Zmienne Tripwire ułatwiające konfigurację :
$(IgnoreNone)-SHa ; # Pliki krytyczne które nie mogą być zmienione
$(ReadOnly) ; # Pliki binarne który nie powinny być zmieniane
$(Dynamic) ; # Pliki konfiguracyjne które się zmieniają
$(Growing) ; # Pliki które „rosną” i nie powinny nigdy zmienić właściciela (np logi)
$(Device); #zestaw atrybutów do monitorowania urządzeń
$(IgnoreNone); #wszystkie dostępne atrybuty z programu Tripwire
+tpug ; # Katalogi które nigdy nie zmieniają właściciela i uprawnień
33 ; # Pliki mniej ważne, minimalna ochrona
66 ; # Pliki mniej ważne ale z większą ochroną
100 ; # Pliki krytyczne
!/katalog/plik ; # wyłączenie ze sprawdzania danego pliku lub katalogu

Przykładowy wpis z pliku twpol.txt

(
rulename = "Tripwire Data Files", ### nazwa reguły
severity = $(SIG_HI) ###poziom ważności reguły
)
{
$(TWVAR)/$(HOSTNAME).twd -> $(SEC_CONFIG) -i ; ### /katalog/plik -> $(zmienna);
$(TWETC)/tw.pol -> $(SEC_BIN) -i ;
$(TWETC)/tw.cfg -> $(SEC_BIN) -i ;
$(TWETC)/$(HOSTNAME)-local.key -> $(SEC_BIN) ;
$(TWETC)/site.key -> $(SEC_BIN) ;

#don't scan the individual reports
$(TWVAR)/report -> $(SEC_CONFIG) (recurse=0) ;
}

Jeżeli skończyliśmy edytować plik konfiguracyjny i nanieśliśmy na nim jakieś zmiany musimy wydać polecenie
twadmin -m P /etc/tripwire/twpol.txt

Generowanie bazy :
Generujemy nową bazę z sygnaturami i opisem parametrów plików
tripwire -m i

Sprawdzanie integralności systemu.
tripwire -m c

Advertisements
 
Dodaj komentarz

Opublikował/a w dniu Sierpień 15, 2008 w Linux, ubuntu

 

Tagi:

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

 
%d blogerów lubi to: