Kapitel 19. Tripwire

Tripwire Datenintegritäts-Software überwacht die Verlässlichkeit von kritischen Systemdateien und Verzeichnissen, indem es Änderungen dieser erkennt. Es tut dies über eine automatische Verifikation, welche in regelmäßigen Intervallen ausgeführt wird. Sollte Tripwire erkennen, dass eine überwachte Datei geändert wurde, wird es den Systemadministrator per E-Mail benachrichtigen. Da Tripwire feststellen kann, welche Dateien hinzugefügt, geändert oder gelöscht wurden, ist es in der Lage ein schnelles Recovery nach einem unbefugten Eindringen in das System zu ermöglichen, indem es die Anzahl der wiederherzustellenden Dateien klein hält. Diese Eigenschaften machen Tripwire ein ausgezeichnetes Tool für Systemadministratoren zum Überwachen von unbefugten Zugriffen und zum Ermittlen vom Grad des Schadens an den Servern.

Tripwire vergleicht die Dateien und Verzeichnisse mit einer Datenbank aus Speicherplätzen, geänderten Daten sowie anderen Informationen. Die Datenbank enthät Baselines, wobei es sich um Momentaufnahmen bestimmter Dateien und Verzeichnisse handelt. Der Inhalt der Baseline-Datenbank sollte erstellt werden, bevor das System das Risiko eines unberechtigten Zugriffs läuft. Nachdem die Baseline-Datenbank erstellt wurde, vergleicht Tripwire dann das aktuelle System mit der Datenbank und liefert einen Bericht aller Änderungen, Zusätze oder Löschvorgänge.

Obwohl Tripwire ein sehr geschätztes Tool für die Prüfung der Sicherheit von Red Hat Linux ist, wird Tripwire nicht von Red Hat, Inc. unterstützt. Für weitere Informationen zu Tripwire, die Tripwire-Projekt-Webseite unter http://www.tripwire.com ist ein guter Platz zum Starten.

19.1. Der Gebrauch von Tripwire

Das folgende Flussdiagramm zeigt, wie Tripwire funktioniert:

Abbildung 19-1. Der Gebrauch von Tripwire

Folgende Schritte beschreiben im Detail die in Abbildung 19-1 gezeigten numerierten Blöcke.

1. Installieren von Tripwire und benutzerdefiniertes Einstellen der Policy-Datei

Installieren Sie die Tripwire RPM (siehe Abschnitt 19.2). Benutzerdefinieren Sie anschließend die Beispielkonfigurations- und Policydateien (jeweils /etc/tripwire/twcfg.txt und /etc/tripwire/twpol.txt) und führen Sie das Konfigurationsskript (/etc/tripwire/twinstall.sh) aus. Mehr Informationen hierzu finden Sie unter Abschnitt 19.3.

2. Initialisieren der Tripwire Datenbank

Erstellen Sie eine Datenbank der zu prüfenden kritischen Dateien auf der Grundlage der neuen Tripwire Policy-Datei (/etc/tripwire/tw.pol). Weitere Informationen finden Sie unter Abschnitt 19.4.

3. Ausführen einer Tripwire Integritätsprüfung

Vergleichen Sie die neu erstellte Tripwire Datenbank mit den aktuellen Systemdateien, wobei fehlende oder geänderte Dateien ermittelt werden. Weitere Informationen finden Sie unter Abschnitt 19.5.

4. Analyse der Tripwire Berichtdatei

Zeigen Sie die Tripwire Berichtdatei mithilfe von twprint an, um Differenzen zu ermitteln. Weitere Informationen finden Sie unter Abschnitt 19.6.1.

5. Ergreifen Sie im Falle unberechtigter Intergritätsverletzungen die angemessenen Sicherheitsmaßnahmen.

Wurden überwachte Dateien auf nicht angemessene Weise verändert, können Sie entweder die Originaldateien durch Backup-Kopieren ersetzen und das Programm neu starten oder das Betriebssystem vollkommen neu installieren.

6. Waren die Dateiveränderungen gütig, prüfen und aktualisieren Sie die Tripwire-Datenbankdatei.

Waren die Änderungen an überwachten Dateien beabsichtigt, bearbeiten Sie die Tripwire-Datenbankdatei so, dass sie diese Änderungen in zukünftigen Berichten ignoriert. Weitere Informationen finden Sie unter Abschnitt 19.7.

7. Scheitert die Policy-Datei bei der Prüfung, aktualisieren Sie die Tripwire Policy-Datei.

Um die die Liste der von Tripwire geprüften Dateien oder die Art und Weise ändern möchten, wie Integritätsverletzungen behandelt werden, aktualisieren Sie die Policy-Datei (/etc/tripwire/twpol.txt), erstellen eine unterzeichnete Kopie (/etc/tripwire/tw.pol) und aktualisieren Sie die Tripwire Datenbank. Weitere Informationen finden Sie unter Abschnitt 19.8.

In den entsprechenden Abschnitten dieses Kapitels finden Sie detaillierte Anweisungen für die Ausführung dieser Schritte.