Tripwire NEWBIE configuratie

De installatie & configuratie : download & installatie Afhankelijk van je download voer je de nodige commando's uit... ~# tar xvzf tripwire-2.3-47.i386.tar.gz of ~# rpm -ivh tripwire-2.3-47.i386.rpm Na de installatie van de rpm of tarball moet er nu een shell script uitgevoerd worden. ~# /etc/tripwire/twinstall.sh Configuratie van tripwire Het installatie script maakt default policy file en configuratie file aan in /etc/tripwire: twpol.txt twcfg.txt Nu moeten de standaard policy's geïnstalleerd worden. Dit doen we door het volgende uit te voeren: ~# /usr/sbin/twadmin -m P /etc/tripwire/twpol.txt Daarna installeren we de standaard database die gebruikt zal worden: ~# /usr/sbin/tripwire -m i Tripwire aanpassen naar jou systeem en jou wensen Als we de standaard policy gebruiken zullen er veel valse alarmen gegeven worden omdat er bepaalde files gewoon standaard niet op je systeem staan. Om deze valse alarmen uit het rapport te halen doen we eerst het volgende: ~# /usr/sbin/tripwire -m c | grep Filename >> twtest.txt Dit kan een tijdje duren. Als dit gedaan is , open /etc/tripwire/twpol.txt met een editor: * commentarieer alle files weg die ook in twtest.txt staan. * commentarieer alle files weg van /var/lock/subsys * commentarieer alle files weg van /var/run Uiteraard commentariëren we iets weg door een # voor die regel te zetten. De laatste stappen Telkens de policy file wordt aangepast moet het volgende gedaan worden: ~# /usr/sbin/twadmin -m P /etc/tripwire/twpol.txt ~# /usr/sbin/tripwire -m i Nu gaan we de policy clear text files deleten omdat er al geencrypteerde policy files bestaan: ~# rm /etc/tripwire/twcfg.txt /etc/tripwire/twpol.txt Als je deze clear text files wenst terug te zetten kan je dit altijd door: ~# /usr/sbin/twadmin -m p > /etc/tripwire/twpol.txt Automatiseren van rapport Nu is tripwire volledig geïnstalleerd en geconfigureerd naar jou wensen en volgens jou pc. Nu gaan we een nachtelijk rapport laten maken die dat rapport mailt naar root@localhost (natuurlijk kan je dit ook naar je eigen e-mail adres zenden). Zo kan je iedere dag controleren of er ongewenste files aangepast zijn. We maken eerst een simpel scriptje. Maak een file runtw.sh in /usr/local/bin met de volgende inhoud: #!/bin/sh /usr/sbin/tripwire -m c | mail -s "Tripwire Report from HOST" root(at)localhost maak hem uitvoerbaar: ~# chmod +x runtw.sh Nu zetten we het scriptje in /etc/crontab. Je voegt de volgende regel toe: 1 1 * * * root /usr/local/bin/runtw.sh Ziezo. Tripwire monitors nu de files die jij wenst. Na de installatie zal je een groot rapport in je root@localhost mailbox zien. Analyseer de files die aangepast zijn. Als er files staan die je niet gemonitored wil zien , commentarieer ze weg zoals uitgelegd in stap 3 & 4 . Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.1 or any later version published by the Free Software Foundation; with no Invariant Sections, with no Front-Cover Texts, and with no Back-Cover Texts. A copy of the license is available at http://www.gnu.org/copyleft/fdl.html.