Um zu erkennen, ob und welche Dateien durch „Fremdeinflüsse“ verändert werden bietet sich die Möglichkeit ein Intrusion Detection System zu installieren.

Tripwire erstellt Fingerabdrücke (Prüfsummen) aller (je nach Konfiguration) zu schützenden
Verzeichnisse und Dateien .

Im Folgenden gehe ich auf die Einrichtung von Tripwire ein.

Tripwire benutz die beiden Dateien tw.cfg (config) und tw.pol (policy).

Über die Dateien wird gesteuert, wo die entsprechenden Daten liegen und welche
Verzeichnisse und Dateien überwacht werden sollen. Diese beiden Dateien
werden später für den laufenden Betrieb verschlüsselt, so dass sie vor
unauthorisiertem Zugriff geschützt sind. Dazu benötigt man  zwei
Schlüssel, den site key und dem local key, die folgendermaßen erstellt werden:

twadmin --generate-keys –L /etc/tripwire/${HOSTNAME}-local.key

twadmin --generate-keys –S /etc/tripwire/site.key

Es wird jeweils eine Passphrase abgefragt, die die Schlüssel  schützt.

Die Datei tw.cfg enthält verschlüsselte  Informationen,
wo welche Daten abgelegt werden. Die dazu korrespondierende Klartextversion
muss mindestens die folgenden Informationen enthalten:

• Ort des  Policy-File

POLFILE = /etc/tripwire/tw.pol

• Ort der Datenbank mit den Prüfsummen/Fingerabdrücken

DBFILE = /var/lib/tripwire/$(HOSTNAME).twd

• Ort für das Logfile (Report)

REPORTFILE = /var/lib/tripwire/$(HOSTNAME)-$(DATE).twr

• Wo liegt der site- bzw. local key?

SITEKEYFILE = /etc/tripwire/site.key
LOCALKEYFILE = /etc/tripwire/$(HOSTNAME)-local.key

Um tw.cfg zu erzeugen gibt man Folgendes ein:
twadmin --create-cfgfile –S ./site.key ./twcfg.txt

In der Datein  tw.pol wird definiert mit welcher Genauigkeit (wie detailiert) welche Verzeichnisse überprüft werden.

Zuerst wir eine Datei twpol.txt im Klartext angelegt  in alle Verzeichnisse entsprechend definiert werden.

Anschließend wird die Datei verschlüsselt und Tripwire zur Verfügung gestellt:
twadmin –-create-polfile ./twpol.txt
Nun kann das System initialisiert werden:
tripwire –-init
Tripwire ist betriebsbereit. Die Integrität
der (vorher in der Konfiguration angegebenen) Daten lässt sich so prüfen:
tripwire -–check

Hilfen zur Erstellung der Policy-Datei findet man (Debian) unter:

/usr/share/doc/tripwire/examples/policyguide.txt.gz

Bei  Neuerungen kann man mittels

tripwire  --update -r /var/lib/tripwire/report/letzter-report.twr  

Die Datenbank mit einem aktuellen Filesystemabbild updaten.

Hier noch Links zum Thema

• http://www.alwanza.com/howto/linux/tripwire.html
• http://www.different-thinking.de/tripwire_howto.php
• http://www.linuxjournal.com/article/8758