--==  TRIPWIRE  ==--

A downloader sur tripwire.com

Le seul paquet telechargable(en gratuit) de tripwire etait un RPM configurer pour RED HAT
(a confirmer), je l'ai quand meme installé sur une SuSE 8, l'installation se déroule toute
seul, mais ensuite il faut adapter le fichier "twpol.txt" car tout les fichiers et répertoire
qui y sont préconfigurer ne sont pas present sur ma distrib.

La page MAN estICI
 
#####  ce document ne détaille pas l'installation du programme  ######
 "je vous rappelle que c'est un RPM..." :-) 


la première commande a lancer est:

    verseau#twinstall.sh

Elle a l'air de genéré des clefs et te demande donc plusieurs "passphrase",
celle-çi te seront demandé quand tu lanceras des commandes de configuration
ou d'initialisation (commandes sensible au niveau de la sécurité). 

PS: apparemment, on dirait qu'elle regénere les version cryptés des fichiers *.txt de configuration 
(j'avais fait une première instal sans définire la variable "EDITOR" dans twcfg.txt)
Voici le contenu(chez moi) du repertoire de configuration ICI OUIIIII, je sais, c'est de la frime pitoyable (vnc+expressions régulières), tout ça pour ça..eh,eh,eh ## modification des fichiers de conf de tripwire ## Aprés avoir modifié dans un éditeur (texte clair), le fichier "twpol.txt", la commande çi-dessous va re-créer un fichier de référence (crypté): "tw.pol" verseau#twadmin -m P twpol.txt A ce moment là, le fichier de "stratégie/politique" de tripwire est a jour. tu peux lancer la commande d'initialisation de la base tripwire: verseau#tripwire --init Elle va se calquer sur le fichier "tw.pol" pour créer la base de données (adaptée a ta config, cette fois çi). La commande suivante, va vérifier le système suivant la base de données (entre autres, selection des cibles et comparer sa sortie et celle de la base de donnée (sortie initial). verseau#tripwire --check Cette commande (çi-dessous), te permet de visualiser (dans le fichier "twreport.txt) un rapport, qui suit un scan de tripwire ("tripwire --check"). verseau#twprint -m r --twrfile /var/lib/tripwire/report/verseau-*.twr > /root/twreport.txt La commande çi-dessous permet la visualisation du contenu de la base de donnée tripwire (/var/lib/tripwire/verseau.twd, chez moi), attention le fichier peut etre gros :). verseau#twprint -m d --print-report > database.txt Si tu veux mettre ta base de donnée a jour, la commande suivante: verseau#tripwire --check --interactive va scanner ton système (ou ce que tu auras défini), elle ouvrira automatiquement un éditeur de texte(vi chez moi, mais modifiable dans le twcfg.txt) contenant un rapport ou les fichiers crées/modifiés/disparus apparaissent et, suivant que tu decoche ou laisse cocher la case correspondant a l'objet modifier, mettra a jour ta database une fois le fichier fermé.(euh...je crois que j'ai pas été clair là...!) La mise a jour de la base suivant un rapport(scan) s'effectue avec la commande suivante(selection du rapport pour la M.A.J): verseau#tripwire --update --twrfile /var/lib/trpwire/report/rapport.twr La page man de "twadmin" estICI La page man de "twprint" estICI ################################# # # # Voici un exemple de rapport # # # ################################# Note: Report is not encrypted. Tripwire(R) 2.3.0 Integrity Check Report Report generated by: root Report created on: Sat Oct 25 02:39:34 2003 Database last updated on: Never =============================================================================== Report Summary: =============================================================================== Host name: verseau Host IP address: 192.168.0.3 Host ID: None Policy file used: /etc/tripwire/tw.pol Configuration file used: /etc/tripwire/tw.cfg Database file used: /var/lib/tripwire/verseau.twd Command line used: /usr/sbin/tripwire --check =============================================================================== Rule Summary: =============================================================================== ------------------------------------------------------------------------------- Section: Unix File System ------------------------------------------------------------------------------- Rule Name Severity Level Added Removed Modified --------- -------------- ----- ------- -------- Invariant Directories 66 0 0 0 Temporary directories 33 0 0 0 Tripwire Data Files 100 0 0 0 Critical devices 100 0 0 0 User binaries 66 0 0 0 Tripwire Binaries 100 0 0 0 Libraries 66 0 0 0 File System and Disk Administraton Programs 100 0 0 0 Kernel Administration Programs 100 0 0 0 Networking Programs 100 0 0 0 System Administration Programs 100 0 0 0 Hardware and Device Control Programs 100 0 0 0 System Information Programs 100 0 0 0 Application Information Programs 100 0 0 0 Critical Utility Sym-Links 100 0 0 0 Critical system boot files 100 0 0 0 Critical configuration files 100 0 0 0 System boot changes 100 0 0 0 OS executables and libraries 100 0 0 0 Security Control 100 0 0 0 Login Scripts 100 0 0 0 Operating System Utilities 100 0 0 0 Shell Binaries 100 0 0 0 * Root config files 100 0 0 5 Total objects scanned: 32403 Total violations found: 5 =============================================================================== Object Detail: =============================================================================== ------------------------------------------------------------------------------- Section: Unix File System ------------------------------------------------------------------------------- ------------------------------------------------------------------------------- Rule Name: Root config files (/root) Severity Level: 100 ------------------------------------------------------------------------------- ---------------------------------------- Modified Objects: 5 ---------------------------------------- Modified object name: /root Property: Expected Observed ------------- ----------- ----------- * Modify Time Sat Oct 25 02:36:54 2003 Sat Oct 25 02:39:31 2003 * Change Time Sat Oct 25 02:36:54 2003 Sat Oct 25 02:39:31 2003 Modified object name: /root/.viminfo Property: Expected Observed ------------- ----------- ----------- * Size 6224 6187 * Modify Time Sat Oct 25 02:36:54 2003 Sat Oct 25 02:39:31 2003 * Change Time Sat Oct 25 02:36:54 2003 Sat Oct 25 02:39:31 2003 * CRC32 AD1yZS AYHi+D * MD5 AqApXLW2fX+y9dfSVovOo+ DrWSAlP5ZcyUDf6Hq36aW0 Modified object name: /root/.vnc/verseau:2.log Property: Expected Observed ------------- ----------- ----------- * Size 6444 6490 * Modify Time Sat Oct 25 02:27:20 2003 Sat Oct 25 02:40:43 2003 * Change Time Sat Oct 25 02:27:20 2003 Sat Oct 25 02:40:43 2003 * CRC32 DJweGd Cd600X * MD5 D1bz/edxjtdVE2ZClsRH7q CtezauNK9WsHRYAStFQZPF Modified object name: /root/script Property: Expected Observed ------------- ----------- ----------- * Modify Time Sat Oct 25 02:37:08 2003 Sat Oct 25 02:39:31 2003 * Change Time Sat Oct 25 02:37:08 2003 Sat Oct 25 02:39:31 2003 Modified object name: /root/script/tripwire.sh Property: Expected Observed ------------- ----------- ----------- * Inode Number 20143 15221 * Size 251 255 * Modify Time Sat Oct 25 02:36:54 2003 Sat Oct 25 02:39:31 2003 * Change Time Sat Oct 25 02:36:54 2003 Sat Oct 25 02:39:31 2003 * CRC32 A+zANZ Bs2e6v * MD5 A3pCxxJgZXk4Gtu9w6byqR Ak7gWv49MP/xZKLLZgAE5M =============================================================================== Error Report: =============================================================================== No Errors ------------------------------------------------------------------------------- *** End of report *** Tripwire 2.3 Portions copyright 2000 Tripwire, Inc. Tripwire is a registered trademark of Tripwire, Inc. This software comes with ABSOLUTELY NO WARRANTY; for details use --version. This is free software which may be redistributed or modified only under certain conditions; see COPYING for details. All rights reserved. ######################################## FIN DU RAPPORT ####### Philippe Chadefaux(http://www.ac-creteil.fr), détail un peu la mise en place et l'utilisation de tripwire, je ne ferais pas mieux, mais reprendrais quand meme quelques une de ces explications. Les régles qui s'applique: $(Device) = pour les "devices" (périphérique de dev je pense :() $(Dynamic) = pour les fichier souvent lus mais rarement modifiés, ex:fichier de conf $(Growing) = pour les fichier dont seul l'attribut "taille" peut changer, ex: les logs $(IgnoreAll) = ignore tout $(IgnoreNone)= tout vérifier $(ReadOnly) = fichier en lecture seul, ex: binaire, certains contenu ftp et web Mon fichier twpol.txt