Introduction à Tripwire

Extraits

[...] Introduction : Lorsque des pirates attaquent des systèmes UNIX, ils essayent souvent d'installer des backdoors afin d'y entrer à nouveau plus facilement. Pour cela ils peuvent installer des tunnels ou encore modifier un ou plusieurs fichiers comme login, ssh. Or, il est très difficile de vérifier l'intégrité d'un système UNIX entier. On peut avoir recours par exemple à des vérifications de type Checksum tel MD5, solution s'avérant peu efficace. Heureusement Tripwire est là pour accomplir cette fastidieuse vérification système. Il vous permet de stocker dans une base de données l'état des fichiers de votre système à un moment donné, puis de vérifier par la suite quels changements ont été portés à ces fichiers Installation de Tripwire : Tripwire s'installe très facilement à l'aide du fichier rpm disponible soit dans votre distribution soit à l'adresse http://www.tripwire.org et de la commande rpm (commande de mise à jour du système). [...]

[...] Vous pourrez y trouver des instructions pour le modifier. Si vous modifiez le fichier de politiques immédiatement après avoir installé le paquetage tripwire, assurez-vous de taper /etc/tripwire/twinstall.sh pour exécuter le script de configuration. Ce script signe le fichier de politiques modifié et le renomme tw.pol. Il s'agit du fichier de politiques actif utilisé par le programme tripwire lorsqu'il est exécuté Les phrases d'accès : Les fichiers Tripwire sont signés ou chiffrés afin qu'ils ne puissent pas être visualisés ou modifiés par des individus connaissant les phrases d'accès locale ou du site. [...]

[...] Vous pouvez configurer Tripwire de deux manières : soit en modifiant directement les deux fichiers .txt soit en utilisant twinstall.sh en tant que root. Le script twinstall.sh vous fait parcourir le processus permettant de définir des phrases d'accès, générer des clés cryptographiques qui protègent les fichiers de configuration et de politiques de Tripwire et de signer ces fichiers. Une fois configuré, la base de données de Tripwire doit être initialisée avec la commande /usr/sbin/tripwire –init. Une première vérification système peut alors être effectuée à l'aide de la commande /usr/sbin/tripwire –check. [...]

[...] Inutile d'ajouter un fichier tripwire-check au répertoire /etc/cron.daily car le fichier RPM le fait automatiquement. Ainsi une vérification journalière de l'intégrité du système sera effectuée Modification du fichier de politiques : La façon dont Tripwire contrôle votre système peut être gérée en modifiant le fichier de politiques de Tripwire (twpol.txt). Si vous modifiez ce fichier en fonction de la configuration particulière de votre système, vous augmentez l'efficacité des rapports de Tripwire car vous minimisez les fausses alertes concernant des fichiers ou des programmes en ignorant certains événements. [...]

[...] Premièrement, apportez tous les changements nécessaires à l'exemple de fichier de politiques (/etc/tripwire/twpol.txt). L'un des changements les plus apportés à ce fichier est de mettre un # devant tous les fichiers qui n'existent pas sur le système. Ensuite, vous devez indiquer à Tripwire de générer un nouveau fichier /etc/tripwire/tw.pol signé à l'aide de la commande /usr/sbin/twadmin –create-polfile site.key /etc/tripwire/twpol.txt La mise à jour de votre base de données est primordiale après la création d'un nouveau fichier /etc/tripwire/tw.pol. La façon la plus efficace pour faire cette opération est d'éliminer votre base de données Tripwire existante et d'en créer une nouvelle. [...]