Tripwire Datenintegritäts-Software überwacht die Verlässlichkeit von kritischen Systemdateien und Verzeichnissen, indem es Änderungen dieser erkennt. Es tut dies über eine automatische Verifikation, welche in regelmäßigen Intervallen ausgeführt wird. Sollte Tripwire erkennen, dass eine überwachte Datei geändert wurde, wird es den Systemadministrator per E-Mail benachrichtigen. Da Tripwire feststellen kann, welche Dateien hinzugefügt, geändert oder gelöscht wurden, ist es in der Lage ein schnelles Recovery nach einem unbefugten Eindringen in das System zu ermöglichen, indem es die Anzahl der wiederherzustellenden Dateien klein hält. Diese Eigenschaften machen Tripwire ein ausgezeichnetes Tool für Systemadministratoren zum Überwachen von unbefugten Zugriffen und zum Ermittlen vom Grad des Schadens an den Servern.
Tripwire vergleicht die Dateien und Verzeichnisse mit einer Datenbank aus Speicherplätzen, geänderten Daten sowie anderen Informationen. Die Datenbank enthät Baselines, wobei es sich um Momentaufnahmen bestimmter Dateien und Verzeichnisse handelt. Der Inhalt der Baseline-Datenbank sollte erstellt werden, bevor das System das Risiko eines unberechtigten Zugriffs läuft. Nachdem die Baseline-Datenbank erstellt wurde, vergleicht Tripwire dann das aktuelle System mit der Datenbank und liefert einen Bericht aller Änderungen, Zusätze oder Löschvorgänge.
Obwohl Tripwire ein sehr geschätztes Tool für die Prüfung der Sicherheit von Red Hat Linux ist, wird Tripwire nicht von Red Hat, Inc. unterstützt. Für weitere Informationen zu Tripwire, die Tripwire-Projekt-Webseite unter http://www.tripwire.com ist ein guter Platz zum Starten.
Das folgende Flussdiagramm zeigt, wie Tripwire funktioniert:
Folgende Schritte beschreiben im Detail die in Abbildung 19-1 gezeigten numerierten Blöcke.
Installieren Sie die Tripwire RPM (siehe Abschnitt 19.2). Benutzerdefinieren Sie anschließend die Beispielkonfigurations- und Policydateien (jeweils /etc/tripwire/twcfg.txt und /etc/tripwire/twpol.txt) und führen Sie das Konfigurationsskript (/etc/tripwire/twinstall.sh) aus. Mehr Informationen hierzu finden Sie unter Abschnitt 19.3.
Erstellen Sie eine Datenbank der zu prüfenden kritischen Dateien auf der Grundlage der neuen Tripwire Policy-Datei (/etc/tripwire/tw.pol). Weitere Informationen finden Sie unter Abschnitt 19.4.
Vergleichen Sie die neu erstellte Tripwire Datenbank mit den aktuellen Systemdateien, wobei fehlende oder geänderte Dateien ermittelt werden. Weitere Informationen finden Sie unter Abschnitt 19.5.
Zeigen Sie die Tripwire Berichtdatei mithilfe von twprint an, um Differenzen zu ermitteln. Weitere Informationen finden Sie unter Abschnitt 19.6.1.
Wurden überwachte Dateien auf nicht angemessene Weise verändert, können Sie entweder die Originaldateien durch Backup-Kopieren ersetzen und das Programm neu starten oder das Betriebssystem vollkommen neu installieren.
Waren die Änderungen an überwachten Dateien beabsichtigt, bearbeiten Sie die Tripwire-Datenbankdatei so, dass sie diese Änderungen in zukünftigen Berichten ignoriert. Weitere Informationen finden Sie unter Abschnitt 19.7.
Um die die Liste der von Tripwire geprüften Dateien oder die Art und Weise ändern möchten, wie Integritätsverletzungen behandelt werden, aktualisieren Sie die Policy-Datei (/etc/tripwire/twpol.txt), erstellen eine unterzeichnete Kopie (/etc/tripwire/tw.pol) und aktualisieren Sie die Tripwire Datenbank. Weitere Informationen finden Sie unter Abschnitt 19.8.
In den entsprechenden Abschnitten dieses Kapitels finden Sie detaillierte Anweisungen für die Ausführung dieser Schritte.
Zurück | Zum Anfang | Vor |
Anfordern von SSH für Fernverbindungen | Zum Kapitelanfang | Installation von Tripwire-RPM |