Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Tripwire: подробная настройка.

Рубрика: Безопасность -> Профилактика
Метки:
Вторник, 1 июня 2010 г.
Просмотров: 9116
Подписаться на комментарии по RSS

     Игнорирование файлов и каталогов

     Tripwire сканирует только перечисленные в файле правил объекты, но иногда не надо производить мониторинг каких-то неважных файлов. Например, если был установлен /etc -> $ReadOnly, то будет производиться мониторинг каталога /etc, всех его файлов, всех подкаталогов и всех файлов в подкаталогах.

     Если не нужно производить мониторинг определенных файлов, их можно указать с помощью знака отрицания:


/etc -> $Readonly !/etc/ld.cache.so !/etc/mtab

   В данном случае файлы ld.cache.so и mtab будут проигнорированы.

     Атрибуты правил

При написании правил вы можете указывать их атрибуты:

объект -> режим (атрибут = значение)

     Чтобы установить аналогичные атрибуты для группы объектов, используется следующий синтаксис:

(атрибут = значение)

(объект -> режим объект -> режим объект -> режим . объект -> режим)

     Можно использовать следующие атрибуты:

  • rulename - позволяет присвоить правилу имя, которое будет выведено в отчете в случае нарушения правила. Кроме этого, имя можно использовать при сортировке с помощью grep. Пример: /bin -> $ReadOnly (rulename = binaries).
  • emailto - если были обнаружены какие-то нарушения во время проверки целостности, на указанный в качестве значения опции адрес будет отправлено сообщение. Пример: /etc -> +us (email = paer@yahoo.com).
  • severity - позволяет присваивать правилу произвольный уровень безопасности. При проверке целостности вы можете указать, мониторинг правил какого уровня нужно производить.
  • recurse - если объект является каталогом, то Tripwire будет контролировать все его подкаталоги. Значение по умолчанию -1: Tripwire будет рекурсивно сканировать все его подкаталоги. Значение 0 - подкаталоги сканироваться не будут, Tripwire будет сканировать только свойства заданного каталога, а не содержащихся в нем файлов. Положительное значение (1, 2, 3 и т.д.) позволяет установить глубину сканирования. Атрибут recurse для файла игнорируется.

     Создание и модификация правил

     Теперь, когда был рассмотрен язык правил Tripwire, можно ознакомиться с файлом /etc/tripwire/twpol.txt и при необходимости изменить его. По умолчанию правила Tripwire оптимизированы под Red Hat, но не составит особого труда переделать его под другой совместимый с RH дистрибутив.

     Постинсталляционная настройка

     После того, как были внесены все необходимые изменения в файл правил twpol.txt, нужно запустить сценарий twinstall.sh (см. каталог /etc/tripwire) для выполнения постинсталляционных задач: установки пароля администратора, компиляции файла правил в двоичный формат (tw.pol) и т.д.

# ./twinstall.sh

The Tripwire site and local passphrases are used to sign a variety of files, such as the configuration, policy, and database files.

Passphrases should be at least 8 characters in length and contain both letcers and numbers.

See the Tripwire manual for more information.

Creating key files. . .

(When selecting a passphrase, keep in mind that good passphrases typically have upper and lower case letters, digits and punctuation marks, and are at least 8 characters in length.)

Enter the site keyfile passphrase:

Verify the site keyfile passphrase:

Generating site key (this may take several minutes) . . .Key

generation complete.

(When selecting a passphrase, keep in mind that good passphrases typically have upper and lower case letters, digits and punctuation marks, and are at least 8 characters in length.)

Enter the local keyfile passphrase:

Verify the local keyfile passphrase:

Generating site key (this may take several minutes) ... Key

generation complete.

Signing configuration file...

Please enter your site passphrase:

Wrote configuration file: /etc/tripwire/tw . cfg

A clear-text version of the Tripwire policy file /etc/tripwire/twcfg . cfg has been preserved for your inspection. It is recommended that you delete this file manually after you have examined it.

Signing policy file...

Please enter your site passphrase:

Wrote policy file: /etc/tripwire/tw.pol

A clear-text version of the Tripwire policy file /etc/tripwire/ twpol.txt has been preserved for your inspection. This implements a minimal policy, intended only to test essential Tripwire functionality. You should edit the policy file to describe your system, and then use twadmin to generate a new signed copy of the Tripwire policy.

     Инициализация базы данных

     Все, что осталось сделать, - это создать базу данных, содержащую состояния всех файлов, перечисленных в файле правил. При проверке целостности состояния файлов будут сравниваться с этой базой данных:

# tripwire --init

Please enter your local passphrase:

Parsing policy file: /etc/tripwire/tw.pol

Generating the database...

*** Processing Unix File System ***

### Warning: File system error.

### Filename: /usr/sbin/fixrmtab

### No such file or directory

### Continuing...

Wrote database file: /var/lib/tripwire/polo.twd The database was successfully generated.

     Если используется файл правил по умолчанию, скорее всего будут появляться приведенные выше ошибки. Это нормально - ведь файл правил создавался не для испытуемой системы. Это еще один повод для внесения изменений в этот файл.

Комментариев: 1

  1. 2010-06-11 в 07:07:40 | ЕвгенийКР (анонимно)

    Отличный сайт специализированной(узкой) направленности, которых практически нет где материал в одной куче. Что то не нашел обратного адреса с авторами сайта, оставьте мне на 131516@mail.ru, если есть новости и подскажите плиз как подписаться тут... да, сайтик нужно раскручивать ))

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена.

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email.
(При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д.)



(обязательно)