Kapitel 10 Installieren und Konfigurieren von Tripwire
Die Tripwire Software unterstützt Sie dabei, die Unversehrtheit von kritischen Systemdateien und -verzeichnissen sicherzustellen, indem sie alle erfolgten Änderungen feststellt. In den Konfigurationsoptionen von Tripwire sind auch Warnmeldungen per E-Mail vorgesehen, wenn bestimmte Dateien geändert wurden, sowie eine automatische Prüfung der Dateiintegrität durch eine cron Funktion vor. Der Gebrauch von Tripwire für das Ermitteln von unerlaubten Zugriffen und Schäden ermöglicht es Ihnen, Änderungen im System zu verfolgen und die Wiederherstellung des Systems zu beschleunigen, indem die Anzahl der hierzu notwendigen und zurückzugewinnenden Dateien reduziert wird.
Tripwire vergleicht die Dateien und Verzeichnisse mit einer Basisdatenbank mit den Orten, an denen die Dateien abgelegt sind, den geänderten Daten sowie anderen Informationen. Die Datenbank wird erstellt, indem bestimmt Dateien und Verzeichnisse in einem bekannten sicheren Status aufgezeichnet werden. (Um eine maximale Sicherheit zu gewährleisten, sollte Tripwire installiert und die Datenbank erstellt werden, bevor das System das Risiko eines unberechtigten Zugriffs läft.) Nachdem die Basisdatenbank erstellt wurde, vergleicht Tripwire das aktuelle System mit der Datenbank und liefert einen Bericht aller Änderungen, Zusätze oder Löschvorgänge.
Der Gebrauch von Tripwire
Das folgende Flussdiagramm zeigt, wie Tripwire verwendet werden sollte:
Folgende Schritte sind für die korrekte Installation, den Gebrauch und die Wartung von Tripwire notwendig:
Installieren von Tripwire und benutzerdefiniertes Einstellen der Policy-Datei — Wenn Sie es noch nicht getan haben, installieren Sie Tripwire RPM (siehe Abschnitt namens RPM Installationsanweisungen). Benutzerdefinieren Sie anschließend die Beispieldateien für die Konfiguration (/etc/tripwire/twcfg.txt) und (/etc/tripwire/twpol.txt) und führen Sie das Konfigurationsskript (/etc/tripwire/twinstall.sh) aus. Mehr Informationen hierzu finden Sie unter Abschnitt namens Anweisungen für die Schritte nach der Installation.
Initialisieren der Tripwire Datenbank — Erstellen Sie eine Datenbank der zu prüfenden kritischen Dateien auf der Grundlage der neuen Tripwire Policy-Datei (/etc/tripwire/tw.pol). Weitere Informationen finden Sie unter Abschnitt namens Initialisieren der Datenbank.
Ausführen einer Tripwire Integritätsprüfung — Vergleichen Sie die neu erstellte Tripwire Datenbank mit den aktuellen Systemdateien, wobei fehlende oder geänderte Dateien ermittelt werden. Weitere Informationen finden Sie unter Abschnitt namens Ausführen einer Integritätsprüfung.
Analyse der Tripwire Berichtdatei — Zeigen Sie die Tripwire Berichtdatei mithilfe von twprint an, um Differenzen zu ermitteln. Weitere Informationen finden Sie unter Abschnitt namens Drucken der Berichte.
Ergreifen angemessener Sicherheitsmaßnahmen — Wenn an den genannten Dateien unrechtmäßige Änderungen vorgenommen wurden, können Sie die Originale über Sicherheitskopien wiederherstellen oder aber das Programm neu starten.
Aktualisieren der Tripwire Datenbank — Wurde die Integrität der Dateien effektiv und rechtmäßig geändert (z.B. wenn Sie absichtlich eine Datei bearbeiten oder ein bestimmtes Programm ersetzen), müssen Sie die Datenbankdatei von Tripwire anweisen, diese Änderungen in den zukünftigen Berichten nicht als Integritätsverletzungen auszuweisen. Weitere Informationen finden Sie unter Abschnitt namens Aktualisieren der Datenbank nach einer Integritätsprüfung.
Aktualisieren der Tripwire Policy-Datei — Wenn Sie die Liste der von Tripwire geprüften Dateien oder die Art und Weise ändern möchten, wie die Anwendung Differenzen bearbeitet, dann rufen Sie die Beispieldatei (/etc/tripwire/twpol.txt) auf, erstellen eine unterzeichnete Kopie (/etc/tripwire/tw.pol) und aktualisieren Sie die Tripwire Datenbank. Weitere Informationen finden Sie unter Abschnitt namens Aktualisieren der Policy-Datei.
In den entsprechenden Abschnitten dieses Kapitels finden Sie detaillierte Anweisungen für die Ausführung dieser Schritte.