Bevor Sie mit Tripwire arbeiten, sollten Sie wissen, wo für die Anwendung wichtige Dateien abgelegt sind. Tripwire speichert die zugehörigen Dateien je nach Funktion an verschiedenen Stellen:
Im Verzeichnis /usr/sbin finden Sie folgende Programme:
tripwire
twadmin
twprint
Im Verzeichnis /etc/tripwire/ finden Sie folgende Dateien:
twinstall.sh — Initialisierungs-Skript für Tripwire.
twcfg.txt — Von Tripwire RPM gelieferte Beispielkonfigurationsdatei.
tw.cfg — Vom twinstall.sh Skript erstellte unterzeichnete Konfigurationsdatei.
twpol.txt — Von Tripwire RPM gelieferte Beispiel-Policy-Datei.
tw.pol — Vom twinstall.sh Skript erstellte unterzeichnete Policy-Datei.
Schlüsseldateien — Vom Skript twinstall.sh erstellte Lokal-und Site-Schlüssel, die mit einer .key Dateierweiterung enden.
Nach Durchführen des twinstall.sh Installationskripts finden Sie folgende Dateien im /var/lib/tripwire/ Verzeichnis:
Tripwire-Datenbank — Datenbank Ihrer Systemdateien, die eine .twd Dateierweiterung hat.
Tripwire-Berichte — Im report/ Verzeichnis werden Tripwire-Berichte hinterlegt.
Der nächste Abschnitt erklärt Näheres über die Rollen dieser Dateien im Tripwire-System.
Die folgende Beschreibung enthält Einzelheiten zu den Rollen, die die im vorhergehenden Abschnitt aufgeführten Dateien im Tripwire-System spielen.
Dies ist die verschlüsselte Tripwire-Konfigurationsdatei, in der systemspezifische Informationen, wie der Speicherplatz von Tripwire-Datendateien, hinterlegt werden. Das twinstall.sh Installationsskript und twadmin Befehl erzeugen diese Datei anhand von Informationen in der Textversion der Konfigurationsdatei /etc/tripwire/twcfg.txt.
Nach Durchführen des Installations-Skripts kann der Systemadministrator die Parameter durch Bearbeiten von /etc/tripwire/twcfg.txt ändern und anhand des twadmin Befehls eine unterzeichnete Kopie der tw.cfg Datei neu erzeugen. Weitere Informationen hierzu finden Sie unter Abschnitt 19.9.
Die aktive Tripwire Policy-Datei ist eine verschlüsselte Datei mit Kommentaren, Regeln, Anweisungen und Variablen. Sie bestimmt die Art, mit der Tripwire Ihr System prüft. Jede in dieser Datei enthaltene Regel gibt ein Systemobjekt an, das geprüft werden soll. Weiterhin bestimmen diese Regeln, welche Änderungen in einem Bericht angezeigt und welche ignoriert werden sollen.
Systemobjekte sind die Dateien und Verzeichnisse, die überprüft werden sollen. Jedes Objekt besitzt einen Namen. Eine Eigenschaft bezieht sich auf ein einzelnes Objektmerkmal, das Tripwire überprüft. Anweisungen verwalten die bedingte Verarbeitung von Regelsätzen in einer Policy-Datei. Bei der Installation wird die Beispiel-Text-Policydatei /etc/tripwire/tw.pol verwendet, um die aktive Tripwire-Policydatei zu generieren.
Nach Durchführen des Installations-Skripts kann der Systemadministrator die Parameter durch Bearbeiten von /etc/tripwire/twcfg.txt ändern und anhand des twadmin Befehls eine unterzeichnete Kopie der tw.cfg Datei neu erzeugen. Weitere Informationen hierzu finden Sie unter Abschnitt 19.9.
Nach der ersten Initialisierung verwendet Tripwire die Regeln der unterzeichneten Policy-Dateien, um diese Datenbankdatei zu erstellen. Diese Datei enthält eine Übersicht über das System in einem bekannten sicheren Status. Tripwire vergleicht diese Basisdatei mit dem aktuellen System, um eventuelle Änderungen zu ermitteln. Dieser Vorgang ist die sog. Integritätsprüfung.
Bei der Integritätsprüfung erstellt Tripwire Berichtdateien im /var/lib/tripwire/report Verzeichnis. In diesen Dateien sind kurz die Änderungen dargestellt, die während der Intergriätsprüfung nicht den Regeln der Policy-Dateien entsprechen. Tripwire-Berichte werden unter Beachtung folgender Konventionen benannt: host_name-date_of_report-time_of_report.twr. Diese Berichte führen die Unterschiede zwischen der Tripwire-Datenbank und Ihren aktuellen System-Dateien im Einzelnen auf.
Zurück | Zum Anfang | Vor |
Aktualisieren der Tripwire-Konfigurationsdatei | Zum Kapitelanfang | Zusätzliche Ressourcen |