Instal·lar i configurar Tripwire a Debian

Instal·lem:

$ sudo apt-get update
$ sudo apt-get install tripwire

Diem que sí a tot. Ens preguntarà dues contrassenyes:

  • site key: Clau pels fitxers de configuració.
  • local key: Necessària per executar els binaris.

Inicialitzem la base de dades:

$ sudo tripwire --init

Saltaran molts errors de fitxers no trobats, per guardar aquesta llista executem:

$ sudo sh -c 'tripwire --check | grep Filename > test_results'

Ara hem d’eliminar tots aquests fitxers del fitxer de polítiques:

$ sudo nano /etc/tripwire/twpol.txt

I comentem tots els fitxers que hagin estat retornats per la comanda d’abans, fins que arribem als de /proc. Aquella secció hauria de quedar així:

{
/dev -> $(Device) ;
/dev/pts -> $(Device) ;
#/proc -> $(Device) ;
/proc/devices -> $(Device) ;
/proc/net -> $(Device) ;
/proc/tty -> $(Device) ;
/proc/sys -> $(Device) ;
/proc/cpuinfo -> $(Device) ;
/proc/modules -> $(Device) ;
/proc/mounts -> $(Device) ;
/proc/dma -> $(Device) ;
/proc/filesystems -> $(Device) ;
/proc/interrupts -> $(Device) ;
/proc/ioports -> $(Device) ;
/proc/scsi -> $(Device) ;
/proc/kcore -> $(Device) ;
/proc/self -> $(Device) ;
/proc/kmsg -> $(Device) ;
/proc/stat -> $(Device) ;
/proc/loadavg -> $(Device) ;
/proc/uptime -> $(Device) ;
/proc/locks -> $(Device) ;
/proc/meminfo -> $(Device) ;
/proc/misc -> $(Device) ;
}

Finalment, comentem /var/lock i /var/run.

Un cop el tenim editat tal com el volem, hem d’implementar-lo i reinicialitzar la base de dades:

$ sudo twadmin -m P /etc/tripwire/twpol.txt
$ sudo tripwire --init

Comprovem que estigui tot en ordre:

$ sudo tripwire --check

Eliminem fitxers que hem creat:

$ sudo rm test_results
$ sudo rm /etc/tripwire/twpol.txt

Per tornar a crear el text pla si ens fa falta:

$ sudo sh -c 'twadmin --print-polfile > /etc/tripwire/twpol.txt'

Prova de l’avís per correu-e

Instal·lem:

$ sudo apt-get install mailutils

Comprovem que funcioni:

$ sudo tripwire --check | mail -s "Tripwire report for `uname -n`" correu@exemple.com

Per acceptar el programari que acabem d’instal·lar:

$ sudo tripwire --check --interactive

Aquesta comanda realitzarà les proves que hem vist fins ara, però al final obre un fitxer amb la sortida. Aquest fitxer és llarg i conté molts detalls que ara mateix no ens fan falta. Ens hem de centrar amb la part de dalt, que apareix una casella marcada amb una X al costat dels fitxers modificats. Si no volem que a la propera sincronització de la base de dades aquests fitxers s’afegeixin els hem de desmarcar (en principi els volem marcats).

Configuració Cron

Bàsicament és la comanda que hem utilitzat abans però posant-la al Cron perquè s’executi cada dia. Si algun dia rebem algun informe, haurem d’entrar al servidor i operar en funció del que hagi passat.

Editem el crontab:

$ sudo crontab -e

L’executarem a les 03:30 del matí:

30 3 * * * /usr/sbin/tripwire --check | mail -s "Tripwire report for `uname -n`" correu@exemple.com

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *

Aquest lloc utilitza Akismet per reduir els comentaris brossa. Apreneu com es processen les dades dels comentaris.