Tripwire: подробная настройка.
Метки: Tripwire
Вторник, 1 июня 2010 г.
Просмотров: 242
Подписаться на комментарии по RSS
Игнорирование файлов и каталогов
Tripwire сканирует только перечисленные в файле правил объекты, но иногда не надо производить мониторинг каких-то неважных файлов. Например, если был установлен /etc -> $ReadOnly, то будет производиться мониторинг каталога /etc, всех его файлов, всех подкаталогов и всех файлов в подкаталогах.
Если не нужно производить мониторинг определенных файлов, их можно указать с помощью знака отрицания:
В данном случае файлы ld.cache.so и mtab будут проигнорированы.
Атрибуты правил
При написании правил вы можете указывать их атрибуты:
Чтобы установить аналогичные атрибуты для группы объектов, используется следующий синтаксис:
(объект -> режим объект -> режим объект -> режим . объект -> режим)
Можно использовать следующие атрибуты:
- rulename - позволяет присвоить правилу имя, которое будет выведено в отчете в случае нарушения правила. Кроме этого, имя можно использовать при сортировке с помощью grep. Пример: /bin -> $ReadOnly (rulename = binaries).
- emailto - если были обнаружены какие-то нарушения во время проверки целостности, на указанный в качестве значения опции адрес будет отправлено сообщение. Пример: /etc -> +us (email = paer@yahoo.com).
- severity - позволяет присваивать правилу произвольный уровень безопасности. При проверке целостности вы можете указать, мониторинг правил какого уровня нужно производить.
- recurse - если объект является каталогом, то Tripwire будет контролировать все его подкаталоги. Значение по умолчанию -1: Tripwire будет рекурсивно сканировать все его подкаталоги. Значение 0 - подкаталоги сканироваться не будут, Tripwire будет сканировать только свойства заданного каталога, а не содержащихся в нем файлов. Положительное значение (1, 2, 3 и т.д.) позволяет установить глубину сканирования. Атрибут recurse для файла игнорируется.
Создание и модификация правил
Теперь, когда был рассмотрен язык правил Tripwire, можно ознакомиться с файлом /etc/tripwire/twpol.txt и при необходимости изменить его. По умолчанию правила Tripwire оптимизированы под Red Hat, но не составит особого труда переделать его под другой совместимый с RH дистрибутив.
Постинсталляционная настройка
После того, как были внесены все необходимые изменения в файл правил twpol.txt, нужно запустить сценарий twinstall.sh (см. каталог /etc/tripwire) для выполнения постинсталляционных задач: установки пароля администратора, компиляции файла правил в двоичный формат (tw.pol) и т.д.
The Tripwire site and local passphrases are used to sign a variety of files, such as the configuration, policy, and database files.
Passphrases should be at least 8 characters in length and contain both letcers and numbers.
See the Tripwire manual for more information.
Creating key files. . .
(When selecting a passphrase, keep in mind that good passphrases typically have upper and lower case letters, digits and punctuation marks, and are at least 8 characters in length.)
Enter the site keyfile passphrase:
Verify the site keyfile passphrase:
Generating site key (this may take several minutes) . . .Key
generation complete.
(When selecting a passphrase, keep in mind that good passphrases typically have upper and lower case letters, digits and punctuation marks, and are at least 8 characters in length.)
Enter the local keyfile passphrase:
Verify the local keyfile passphrase:
Generating site key (this may take several minutes) ... Key
generation complete.
Signing configuration file...
Please enter your site passphrase:
Wrote configuration file: /etc/tripwire/tw . cfg
A clear-text version of the Tripwire policy file /etc/tripwire/twcfg . cfg has been preserved for your inspection. It is recommended that you delete this file manually after you have examined it.
Signing policy file...
Please enter your site passphrase:
Wrote policy file: /etc/tripwire/tw.pol
A clear-text version of the Tripwire policy file /etc/tripwire/ twpol.txt has been preserved for your inspection. This implements a minimal policy, intended only to test essential Tripwire functionality. You should edit the policy file to describe your system, and then use twadmin to generate a new signed copy of the Tripwire policy.
Инициализация базы данных
Все, что осталось сделать, - это создать базу данных, содержащую состояния всех файлов, перечисленных в файле правил. При проверке целостности состояния файлов будут сравниваться с этой базой данных:
Please enter your local passphrase:
Parsing policy file: /etc/tripwire/tw.pol
Generating the database...
*** Processing Unix File System ***
### Warning: File system error.
### Filename: /usr/sbin/fixrmtab
### No such file or directory
### Continuing...
Wrote database file: /var/lib/tripwire/polo.twd The database was successfully generated.
Если используется файл правил по умолчанию, скорее всего будут появляться приведенные выше ошибки. Это нормально - ведь файл правил создавался не для испытуемой системы. Это еще один повод для внесения изменений в этот файл.
Комментариев: 1
Отличный сайт специализированной(узкой) направленности, которых практически нет где материал в одной куче. Что то не нашел обратного адреса с авторами сайта, оставьте мне на 131516@mail.ru, если есть новости и подскажите плиз как подписаться тут... да, сайтик нужно раскручивать ))