LINUX:Tripwire

De WIKI sur Linux (ADB)
Aller à la navigation Aller à la recherche

retour au menu de Rkhunter

But

Si vous avez installé Tripwire, il faut le configurer pour pouvoir l'utiliser et qu'il soit pris en compte par Rkhunter. Il est basé sur la prise de signature de fichiers importants du système que l'on juge à risque. A partir de cette base de données de signatures digitales, le processus les compare avec celui du fichier correspondant. Un rapport est émis en fin de traitement. Un site décrit le programme à cet URL: https://www.computersecuritystudent.com/UNIX/FEDORA/lesson14/index.html


Installation

Il faut installer le module principal: 

dnf install tripwire


Configuration

Sa configuration est plus compliquée. Elle s'effectue en plusieurs étapes. Les fichiers de configuration se trouvent dans le répertoire "/etc/tripwire".


Modifier le fichier de configuration

Dans le fichier définissant les variables d'environnement "/etc/tripwire/twcfg.txt", on ajoute la ligne suivante pour définir l'adresse mail: 

GLOBALEMAIL            =root

Dans ce cas, nous avons utilisé l'utilisateur "root". Modifiez le selon vos désirs.


Modifier le fichier de la politique de traitement

Dans le fichier définissant la liste des fichiers dont la signature digitale sera relevée /etc/tripwire/twpol.txt", Il faut éliminer ou mettre en commentaire les fichiers inexistant sur la machine ou que nous ne voulons pas surveiller; de même, on peut ajouter les fichiers que l'on veut surveiller.

Si un fichier n'existe pas, il sera repris en erreur lors de la création de la base des signatures digitales et lors de la vérification comparative des signatures consignées dans la base et celles des fichiers. Un traitement automatisé décrit ci-après permettra de simplifier cette tâche.


Création de clés de cryptage

La première étape primordiale est la création de deux clés de cryptage; celles-ci serviront à crypter des deux fichiers de configuration et à crypter la base des signatures digitales.

Il faut lancer la commande suivante: 

tripwire-setup-keyfiles

Elle va nous demander fournir deux "passphrases" qui vont créer deux fichiers de clé de cryptage:

  • "site.key": la clé de site
  • "serverdb.home.dom-local.key": la clé locale

qui se retrouvent dans le répertoire "/etc/tripwire". Retenez ces deux "passphrases"; il vous seront régulièrement demandés par la suite.


Cryptage des deux fichiers de configuration

Cette même commande cryptera ensuite dans la foulée de configuration de base suivant la clé de site:

  • "twcfg.txt" qui contient les variables d'environnement et qui devient le fichier crypté "tw.cfg",
  • "twpol.txt" qui contient la liste des fichiers dont on doit prendre la signature et qui devient le fichier crypté "tw.pol".

Les commandes suivantes permettent de les recrypter séparément:

  • pour le fichier "twcfg.txt":
twadmin --create-cfgfile -Q <passphrase_de_site> -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt
  • pour le fichier "twpol.txt":
twadmin --create-polfile -Q <passphrase_de_site> -S /etc/tripwire/site.key /etc/tripwire/twpol.txt

Si vous ne fournissez pas la passphrase, elle vous sera demandée interactivement.


Création de la base des signatures digitales

Enfin vient la création de la base des signatures digitales cryptée des fichiers à surveiller grâce à la commande suivante: 

tripwire --init -P <passphrase_locale>

Si vous ne fournissez pas la passphrase, elle vous sera demandée interactivement.




retour au menu de Rkhunter

Récupérée de "https://www.adbweb.gslb.eu/wiki/index.php?title=LINUX:Tripwire&oldid=2172"