→ retour au menu de Rkhunter

But

Si vous avez installé Tripwire, il faut le configurer pour pouvoir l'utiliser et qu'il soit pris en compte par Rkhunter. Il est basé sur la prise de signature de fichiers importants du système que l'on juge à risque. A partir de cette base de données de signatures digitales, le processus les compare avec celui du fichier correspondant. Un rapport est émis en fin de traitement. Un site décrit le programme à cet URL: https://www.computersecuritystudent.com/UNIX/FEDORA/lesson14/index.html

Installation

Il faut installer le module principal:

dnf install tripwire

Configuration

Sa configuration est plus compliquée. Elle s'effectue en plusieurs étapes. Les fichiers de configuration se trouvent dans le répertoire "/etc/tripwire".

Création de clés de cryptage

La première étape primordiale est la création de deux clés de cryptage; celles-ci serviront à crypter des deux fichiers de configuration et à crypter la base des signatures digitales.

Il faut lancer la commande suivante:

tripwire-setup-keyfiles

Elle va nous demander fournir deux "passphrases" qui vont créer deux fichiers de clé de cryptage:

• "site.key": la clé de site
• "serverdb.home.dom-local.key": la clé locale

qui se retrouvent dans le répertoire "/etc/tripwire". Retenez ces deux "passphrases"; il vous seront régulièrement demandés par la suite.

Cryptage des deux fichiers de configuration

Cette même commande cryptera ensuite dans la foulée de configuration de base suivant la clé de site:

• "twcfg.txt" qui contient les variables d'environnement et qui devient le fichier crypté "tw.cfg",
• "twpol.txt" qui contient la liste des fichiers dont on doit prendre la signature et qui devient le fichier crypté "tw.pol".

Les commandes suivantes permettent de les recrypter séparément:

• pour le fichier "twcfg.txt":

twadmin --create-cfgfile -Q <passphrase_de_site> /etc/tripwire/twcfg.txt

• pour le fichier "twpol.txt":

twadmin --create-polfile  -Q <passphrase_de_site> /etc/tripwire/twpol.txt

→ retour au menu de Rkhunter