Chapter 19. Tripwire

Le logiciel Tripwire aide à assurer l'intégrité de répertoires et de systèmes de fichiers importants en identifiant tout changement apporté à ceux-ci. Pour ce faire, il effectue des vérifications automatiques à intervalle régulier. Si Tripwire détecte qu'un fichier sous surveillance a été modifié, il en informe l'administrateur système par courrier électronique. Parce que Tripwire peut identifier de façon positive les fichiers qui ont été ajoutés, modifiés ou supprimés, il peut accélérer la restauration de fichiers après une violation en réduisant au minimum le nombre de fichiers qui doivent être remis en état. Grâce à ces capacités, Tripwire est un excellent outil pour les administrateur système à la recherche d'un outil de détection des violations et d'évaluation des dégâts survenus sur leurs serveurs.

Tripwire compare des fichiers et des répertoires avec des informations, telles que des emplacements de fichier, des dates de modification de fichier et d'autres données. La base de données contient des baselines — qui sont des instantanés de répertoires et de fichiers spécifiques à un moment donné. Le contenu de la base de données référentielle doit être créée avant que le système ne coure le risque d'être victime d'une intrusion. Une fois la base de données référentielle créée, Tripwire compare le système en cours avec cette base de données et produit un rapport des modifications, des ajouts et des suppressions effectués.

Bien qu'étant un outil valide qui permet de contrôler l'état de sécurité de votre système, Tripwire n'est pas pris en charge par Red Hat, Inc. Pour d'avantage d'informations, reportez-vous au site Internet du projet Tripwire à l'adresse suivante http://www.tripwire.org.

19.1. Comment utiliser Tripwire

L'organigramme suivant illustre l'utilisation de Tripwire:

Figure 19-1. Utilisation de Tripwire

Les éléments suivants décrivent de façon détaillée les blocs illustrés en Figure 19-1.

1. Installation de Tripwire et personnalisation du fichier de politiques.

Installez le RPM de Tripwire (voir Section 19.2 Installation du RPM de Tripwire). Ensuite, personnalisez les exemples de fichiers de configuration et de politiques (à savoir /etc/tripwire/twcfg.txt et /etc/tripwire/twpol.txt), et exécutez le script de configuration /etc/tripwire/twinstall.sh. Pour de plus amples informations, reportez-vous à la Section 19.3 Personnalisation de Tripwire.

2. Initialisation de la base de données de Tripwire

Créez une base de données des fichiers système critiques devant être contrôlés en fonction des directives contenues dans le tout nouveau fichier de politiques Tripwire signé, /etc/tripwire/tw.pol. Pour de plus amples informations, reportez-vous à la Section 19.4 Initialisation de la base de données de Tripwire.

3. Exécution d'une vérification d'intégrité Tripwire

Comparez la base de données de Tripwire nouvellement créée avec les fichiers système pour vérifier s'il en manque ou si certains d'entre eux ont été modifiés. Reportez-vous à la Section 19.5 Exécution d'une vérification d'intégrité.

4. Analyse d'un fichier rapport de Tripwire

Visualisez le fichier rapport Tripwire au moyen de /usr/sbin/twprint afin d'identifier les violations d'intégrité du système. Pour en savoir plus, reportez-vous à la Section 19.6.1 Affichage des rapports de Tripwire.

5. Si des violations d'intégrité surviennent, prenez les mesures de sécurité appropriées

les fichiers contrôlés ont été modifiés de façon non voulue, vous pouvez remplacer les fichiers originaux par des copies de sauvegarde, réinstaller le programme ou réinstaller complètement le système d'exploitation.

6. Si les modifications étaient valides, vérifiez et mettez à jour le fichier de la base de données de Tripwire.

Si les modifications de l'intégrité du système sont intentionnelles, vous devez indiquer au fichier de la base de données Tripwire de ne plus souligner ces modifications dans les rapports suivants. Pour plus de détails, veuillez lire la Section 19.7 Mise à jour de la base de données de Tripwire.

7. Si le dossier de politiques échappe à la vérification, mettez à jour le fichier de politiques Tripwire.

Pour changer la liste des fichiers que Tripwire contrôle ou la façon dont il traite ces violations d'intégrité, mettez à jour le fichier de politiques fourni (/etc/tripwire/twpol.txt), régénérez une copie signée (/etc/tripwire/tw.pol), et mettez à jour la base de données Tripwire. Pour plus de renseignements, reportez-vous à la Section 19.8 Mise à jour du fichier de politiques.

Pour obtenir des instructions plus détaillées sur ces différentes étapes, consultez les sections de ce chapitre les concernant.