Um zu erkennen ob und welche Dateien durch “Fremdeinflüsse” verändert werden bietet sich die Möglichkeit ein Intrusion Detection System zu installieren.
Tripwire erstellt Fingerabdrücke (Prüfsummen) aller (je nach Konfiguration) zu schützenden
Verzeichnisse und Dateien .
Im folgenden gehe ich auf die Einrichtung von Tripwire ein.
Tripwire benutz die beiden Dateien tw.cfg (config) und tw.pol (policy).
Über die Dateien wird gesteuert, wo die entsprechenden Daten liegen und welche
Verzeichnisse und Dateien überwacht werden sollen. Diese beiden Dateien
werden später für den laufenden Betrieb verschlüsselt, so dass sie vor
unauthorisiertem Zugriff geschützt sind. Dazu benötigt man zwei
Schlüssel, den site key und dem local key, die folgendermaßen erstellt werden:
[code lang=”bash”]
twadmin –generate-keys –L /etc/tripwire/${HOSTNAME}-local.key
twadmin –generate-keys –S /etc/tripwire/site.key
[/code]
Es wird jeweils eine Passphrase abgefragt, die die Schlüssel schützt.
Die Datei tw.cfg enthält verschlüsselte Informationen,
wo welche Daten abgelegt werden. Die dazu korrespondierende Klartextversion
muss mindestens die folgenden Informationen enthalten:
- Ort des Policy-File
[code lang=”bash”]POLFILE = /etc/tripwire/tw.pol[/code]
- Ort der Datenbank mit den Prüfsummen/Fingerabdrücken
[code lang=”bash”]DBFILE = /var/lib/tripwire/$(HOSTNAME).twd[/code]
- Ort für das Logfile (Report)
[code lang=”bash”]REPORTFILE = /var/lib/tripwire/$(HOSTNAME)-$(DATE).twr[/code]
- Wo liegt der site- bzw. local key?
[code lang=”bash”]SITEKEYFILE = /etc/tripwire/site.key[/code]
[code lang=”bash”]LOCALKEYFILE = /etc/tripwire/$(HOSTNAME)-local.key[/code]
Um tw.cfg zu erzeugen gibt man folgendes ein :
[code lang=”bash”]twadmin –create-cfgfile –S ./site.key ./twcfg.txt[/code]
In der Datein tw.pol wird definiert mit welcher Genauigkeit (wie detailiert) welche Verzeichnisse überprüft werden.
Zuerst wir eine Datei twpol.txt im Klartext angelegt in alle Verzeichnisse entsprechend definiert werden.
Anschließend wird die Datei verschlüsselt und Tripwire zur Verfügung gestellt:
[code lang=”bash”]twadmin –-create-polfile ./twpol.txt[/code]
Nun kann das System initialisiert werden:
[code lang=”bash”]tripwire –-init[/code]
Tripwire ist Betriebsbereit. Die Integrität
der (vorher in der Konfiguration angegebenen) Daten lässt sich so prüfen:
[code lang=”bash”]tripwire -–check[/code]
Hilfen zur Erstellung der Policy-Datei findet man (Debian) unter:
[code lang=”bash”]/usr/share/doc/tripwire/examples/policyguide.txt.gz[/code]
Bei Neuerungen kann man mittels
[code lang=”bash”] tripwire –update -r /var/lib/tripwire/report/letzter-report.twr [/code]
die Datenbank mit einem aktuellen Filesystemabbild updaten.
Hier noch Links zum Thema