Artikel » Linux » Tripwire IDS für Dateien und Verzeichnisse unter Debian Artikel-Infos
   

Tripwire IDS für Dateien und Verzeichnisse unter Debian
07.09.2007 von cray

Wichtig ist, daß die Konfigurationsdateien von Tripwire vor unberechtigtem Zugriff geschützt werden. Gelingt es einem Angreifer dieses Dateien zu manipulieren, so kann er die Überwachung unterlaufen. Aus diesem Grund sind alle Konfigurationsdateien mit Hilfe der Public-Key Verschlüsselung signiert.

Zuerst installieren wir tripwire:

code

apt-get install tripwire
[/qoute]

Bei der installation wird man per Dialog nach mehreren Passwörtern gefragt die dienen für die oben genannten Keyfiles! (merke Dir das Passwort gut glücklich

Wenn es doch vergessen wurde kann man den installationsablauf nochmal mit dpkg-reconfigure tripwire wiederholen und neue keyfiles erstellen lassen.

* /etc/tripwire/twcfg.txt - Konfigurationsdatei von Tripwire
* /etc/tripwire/twpol.txt - Datei enthält Definition der Überwachungsfunktionen

Um die zuvor gemachte Konfiguration zu aktivieren, muss das Config-File einmalig verschlüsselt werden. Beim Absetzen des Kommandos wird nach dem Passwort für den Schlüsselt gefragt. (das man sich bei der Installation merken sollte)

[quote]
twadmin -m F -v -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt



Als nächstes wird auch die Policy-Dateien mit dem „site key“ verschlüsselt“:

code

twadmin -m P -v -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key /etc/tripwire/twpol.txt



Damit Tripwire weiss welche Dateien es überpfrüfen soll müssen wir jetzt noch die Datenbank initalisieren und erstellen...

code

tripwire -m i -v -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key -p /etc/tripwire/tw.pol -L /etc/tripwire/$(hostname)-local.key



Damit kennt Tripwire nun alle Dateien auf dem System. Wenn man nun durch eine z.B. installation eines Programmes neue Dateien raufschreibt oder verändert würde die Datenbank nicht mehr aktuell sein darum sollte man _per Hand_!!! follgenden Befehl die Dateiliste wieder aktuallisieren!

code

tripwire -m u



Es empfielt sich einen Crontab Eintrag zu erstellen der einem jeden Tag darüber informiert ob sich was im System geändert hat. Dazu nutzen wir follgendes Bash Script.

code

nano /root/tripcheckdaily



mit dem Inhalt:

code

#!/bin/sh -e

tripwire=/usr/sbin/tripwire

[ -x $tripwire ] || exit 0

umask 027

$tripwire --check --quiet --email-report



die Rechte vergeben:

code

chmod 700 /root/tripcheckdaily



und anschließend den Crontab erstellen mit:

code

crontab -e



und follgeden Zeile einfügen:

code

59 2 * * * /root/tripcheckdaily > /dev/null 2>&1



Damit wird jetzt jede nacht um 2:59 ein Dateicheck gemacht und das ganze per Email verschickt.

Man kann das ganze auch manuell direkt auf dem Server überprüfen mit:

[quote]
tripwire --check
[quote]

Druckansicht   druckbare Version anzeigen
Seite empfehlen   Artikel empfehlen
Artikel einsenden   Artikel einsenden
0 Kommentar(e)   kommentieren
 
Seitenanfang nach oben