Nachdem Sie Tripwire RPM installiert haben, müssen Sie folgende Schritte zur Initialisierung der Software durchführen:
Obwohl es nicht von Ihnen verlangt wird, diese Beispiel-Tripwire-Konfigurationsdatei zu bearbeiten, könnte es in Ihrer Situation notwendig sein. Sie möchten vielleicht den Speicherplatz der Tripwire-Dateien ändern, E-Mail-Einstellungen benutzerdefinieren oder die Detailebene für Berichte benutzerdefinieren.
Untenstehend befindet sich eine Liste von erforderlichen benutzerkonfigurierbaren Variablen in der /etc/tripwire/twcfg.txt Datei:
POLFILE — gibt den Speicherplatz der Policy-Datei an; /etc/tripwire/tw.pol ist der Standardwert.
DBFILE — gibt den Speicherplatz der Datenbank-Datei an; /var/lib/tripwire/$(HOSTNAME).twd ist der Standardwert.
REPORTFILE — gibt den Speicherplatz der Berichtdateien an. Standardmäßig ist dieser Wert auf /var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr gesetzt.
SITEKEYFILE — gibt den Speicherplatz der Site-Schlüsseldatei an; /etc/tripwire/site.key ist der Standardwert.
LOCALKEYFILE — gibt den Speicherplatz der lokalen Schlüsseldatei an; /etc/tripwire/$(HOSTNAME)-local.key ist der Standardwert.
![]() | Wichtig |
---|---|
Wenn Sie die Konfigurationsdatei bearbeiten und eine der o.g. Variablen nicht definieren, ist die Konfigurationsdatei ungültig. In diesem Fall erscheint bei Eingabe des Befehls tripwire eine Fehlermeldung ausgegeben und die Datei verlassen. |
Der Rest der Konfigurationsvariablen in der Beispieldatei /etc/tripwire/twcfg.txt sind fakultativ. Dazu gehören folgende:
EDITOR — gibt den von Tripwire aufgerufenen Texteditor an. Standardwert ist /bin/vi.
LATEPROMPTING — wenn auf true gesetzt, konfiguriert diese Variable Tripwire so, dass Tripwire so lange wie möglich wartet, bevor sie den Benutzer nach einem Passwort fragt und reduziert dabei den Zeitraum währen dem sich das Passwort im Speicher befindet auf ein Minimum. Standardwert ist false.
LOOSEDIRECTORYCHECKING — wenn auf true gesetzt, konfiguriert diese Variable Tripwire so, dass eine Meldung ausgegeben wird, wenn sich eine Datei in einem beobachteten Verzeichnis ändert, und nicht die Änderung für das Verzeichnis selbst zu melden. Dies begrenzt Überladungen in Tripwire-Berichten. Der Standardwert ist false.
SYSLOGREPORTING — wenn auf true gesetzt, konfiguriert diese Variable Tripwire so, dass Tripwire über die "Benutzer" Einrichtung Informationen an den Syslog-Daemon meldet. Die Log-Ebene ist auf notice gesetzt.Weitere Informationen erhalten Sie auf den man-Seiten syslogd. Der Standardwert ist false.
MAILNOVIOLATIONS — wenn auf true gesetzt, konfiguriert diese Variable Tripwire so, dass Tripwire in regelmäßigen Abständen einen Bericht per E-Mail sendet, unabhängig davon, ob Verletzungen aufgetreten sind oder nicht. Standardwert ist true.
EMAILREPORTLEVEL — gibt die Detail-Ebene für gemailte Berichte an. Gültige Werte für diese Variable sind 0 bis 4. Standardwert ist 3.
REPORTLEVEL — gibt die Detailebene für Berichte an, die vom twprint Befehl erzeugt wurden. Dieser Wert kann auf der Befehlszeile missachtet werden, ist aber standardmäßig auf 3 gesetzt.
MAILMETHOD — gibt an, welches Mail-Protokoll Tripwire verwenden sollte. Gütige Werte sind SMTP und SENDMAIL. Standardwert ist SENDMAIL.
MAILPROGRAM — gibt an, welches Mail-Programm Tripwire verwenden sollte. Standardwert ist /usr/sbin/sendmail -oi -t.
Nach Bearbeitung der Beispiel-Konfigurationsdatei müssen Sie die Beispiel-Policydatei konfigurieren.
![]() | Warnung |
---|---|
Aus Sicherheitsgründen sollten Sie sämtliche Kopien der reinen Textdatei /etc/tripwire/twcfg.txt entweder löschen oder in einem sicheren Speicherplatz hinterlegen nachdem Sie das Installations-Skript ausgeführt oder eine unterzeichnete Konfigurationsdatei neu generiert haben. Alternativ hierzu können Sie die Berechtigungen ändern, so dass sie nicht auf der ganzen Welt lesbar ist. |
Obwohl es nicht verlangt wird, sollten Sie diese vielkommentierte Beispiel-Tripwire-Policydatei bearbeiten, um die speziellen Anwendungen, Dateien und Verzeichnisse in Ihrem System in Betracht zu ziehen. Sich allein auf die unveränderte Beispiel-Konfiguration von RPM zu verlassen, könnte eventuell kein ausreichender Schutz für Ihr System sein.
Eine Änderung der Policy-Datei erhöht die Nützlichkeit der Tripwire-Berichte, da falsche Alerts für Dateien und Programme, die Sie nicht verwenden auf ein Minimum reduziert und Funktionalitäten wie E-Mail-Zustellung hinzugefügt werden.
![]() | Anmerkung |
---|---|
Zustellung über E-Mail ist nicht standardmäßig konfiguriert. Weitere Informationen zur Konfiguration dieses Merkmals erhalten Sie unter Abschnitt 19.8.1. |
Ändern Sie die Beispiel-Policydatei nach Durchführung des Konfigurations-Skripts finden Sie unter Abschnitt 19.8 Anweisungen zur Neugenerierung einer unterzeichneten Policy-Datei.
![]() | Warnung |
---|---|
Aus Sicherheitsgründen sollten Sie sämtliche Kopien der reinen Textdatei /etc/tripwire/twpol.txt entweder löschen oder in einem sicheren Speicherplatz hinterlegen nachdem Sie das Installations-Skript ausgeführt oder eine unterzeichnete Konfigurationsdatei neu generiert haben. Alternativ hierzu können Sie die Berechtigungen ändern, so dass sie nicht auf der ganzen Welt lesbar ist. |
Geben Sie als root /etc/tripwire/twinstall.sh am Shell-Prompt ein um das Konfigurations-Skript durchzuführen. Das twinstall.sh Skript fragt Sie nach den lokalen und Site-Passworten. Diese Passwörter werden dazu verwendet, kryptographische Schlüssel zum Schutz der Tripwire-Dateien zu generieren. Das Skript erstellt und unterzeichnet daraufhin diese Dateien.
Bei der Auswahl der lokalen und Site-Passwörter sollten sie folgende Richtlinien befolgen:
Verwenden Sie mindestens acht alphanumerische und symbolische Zeichen, aber überschreiten Sie 1023 nicht für die einzelnen Passwörter.
Verwenden Sie keine Anführungszeichen im Passwort.
Die Tripwire-Passwörter sollten sich vollkommen vom root oder allen anderen Passwörtern des Systems unterscheiden.
Verwenden Sie sowohl für den Site-Schlüssel als auch für den lokalen Schlüssel einmalige Passwörter.
Das Passwort für den Site-Schlüssel schützt die Konfigurations- und Policy-Dateien von Tripwire. Das Passwort für den lokalen Schlüssel schützt die Datenbank- und Bericht-Dateien von Tripwire.
![]() | Warnung |
---|---|
Es gibt keine Möglichkeit, eine unterzeichnete Datei zu entschlüsseln, wenn Sie Ihr Passwort vergessen. Wenn Sie Passwörter vergessen, können die Dateien nicht mehr verwendet werden, und Sie müssen das Konfigurations-Skript erneut durchführen. |
Durch Verschlüsselung der Konfigurations-, Policy-, Datenbank- und Bericht-Dateien schützt Tripwire sie davor, dass sie jemandem angezeigt werden, der die lokalen und Site-Passwörter nicht kennt. Dies bedeutet, dass selbst wenn eine unbefugte Person root-Zugriff zum System bekommt, wird es ihr nicht gelingen, die Tripwire-Dateien so zu ändern, dass sie nicht mehr gefunden werden.
Nachdem sie verschlüsselt und unterzeichnet wurden, sollten die Konfigurations- und Policy-Dateien, die anhand der Durchführung des twinstall.sh Skript generiert wurde, nicht mehr umbenannt oder verschoben werden.
Zurück | Zum Anfang | Vor |
Installation von Tripwire-RPM | Zum Kapitelanfang | Initialisieren der Tripwire-Datenbank |